Virus Worm W32.Chir.B@mm

W32.Chir.B @ mm adalah Virus email massal yang mengirim dirinya sendiri ke semua alamat email yang ada dalam alamat Microsoft Outlook.Biasanya tiba(datang) sebagai sebuah pesan email dengan sifatnya sebagai berikut:

From:
Salah satu berikut ini

  • [USER NAME]@yahoo.com
  • imissyou@btamail.net.cn

Subject: [USER NAME] is coming!
Attachments: PP.exe

Sekali dieksekusi, worm akan menyalin dirinya sebagai file berattribut Tersembunyi, Sistem, read only :
C:\WINDOWS\SYSTEM\runouce.exe

kemudian menciptakan entri registry berikut sehingga dijalankan setiap kali Windows dijalankan:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe”

Worm ini juga memanfaatkan sumber daya jaringan dan upaya untuk mengakses dan memodifikasi file.

Worm juga mencari di semua drive dan jaringan lokal serta menginfeksi file dengan ekstensi berikut:

  • . htm
  • .html
  • .exe
  • .scr

Worm juga membuat file yang bernama readme.eml ( default extension file outlook) hampir ke semua directory ( folder )

menciptakan Readme.eml dalam folder yang sama di mana file HTML tersebut berada. File HTML ini dimodifikasi untuk membuka Readme.eml ketika file HTML dilihat, jika eksekusi JavaScript diaktifkan.

Peringatan!!!

Karena Virus ini adalah jenis infektor file ( .htm , .html , .exe , scr ) , jika komputer anda ada tanda-tanda terinfeksi Virus ini ( ada file readme.eml yang ber-icon amplop ber ukuran 15 kb ) harap jangan membuka file dokumen seperti Word dokumen ataupun excel . Karena bila anda membuka , maka file dokumen anda akan terinfeksi dan menjadi rusak…. dan yang pasti anda akan kehilangan data anda..

Cara membersihkannya…

  • Karena Virus ini meng-infeksi segala lini.. :) harap melepas kabel LAN dari komputer , bila komputer adalah komputer jaringan.Sehingga tidak tertular lagi dari komputer lain.
  • Matikan System RESTORE , karena system restore bisa dimanfaatkan Virus untuk kembali meng-infeksi komputer.
  • Hapus atau rename file yang bernama “runouce.exe” yang berada di “C:\WINDOWS\SYSTEM\runouce.exe”
  • Masuk registry dengan cara ketik regedit di menu Run , lalu cari registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe” bila sudah ketemu silakan dihapus registry ini. atau bisa gunakan msconfig ataupun tool seperti hijack this.
  • Karena saat ini ( 15 November 2009 ) anti Virus seperti smadav dan ansav belum deteksi silakan gunakan cleaner NOD32 stand alone yang terbaru silakan cari >disini<
  • Sample telah saya kirim ke smadav dan ansav… :)
  • Untuk membersihkan dengan cara yang aman dan sukses .. :) anda harus booting dari Operating system yang belum terinfeksi. Misalnya menggunakan Mini Windows XP ( windows XP live CD ) yang ada di Hiren boot CD Bila belum punya silakan download di http://www.hirensbootcd.net/
  • Setelah Masuk ke Mini Windows Xp Gunakan Cleaner NOD32 stand alone yang sudah di RAR dan silakan di scan semua drive dengan pilihan options clean bila tidak bisa diclean rename atau delete.
  • Setelah bersih bila ada file program yang rusak misalnya Winamp . Untuk mengatasinya silakan uninstall lalu install program tsb lagi.
  • Atau bisa juga menggunakan cara seperti http://mpu4elcom.wordpress.com/2009/01/01/virus/
  • Tapi sebelumnya blok file runonce.exe dan runouce.exe lewat gpedit.msc ataupun policies regedit…
About these ads

Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Tulisan ini dipublikasikan di Virus dan tag , , . Tandai permalink.

39 Balasan ke Virus Worm W32.Chir.B@mm

  1. MasTer Q berkata:

    Thanks bos, sangat membantu ne, izin copas yea, ,

  2. dewancc berkata:

    WOw makasih bnget niee… ternyata musuh ane itu namanya chir b untung ada apiraa… ckck…

    http://www.dewawebsite.com
    http://www.dewancc.blogspot.com
    http://www.cl0ser.com

  3. kav2008 berkata:

    Antivrius lokal juga bisa ko , seklain file yang telah ternfeksinya. Bahkan secara manual pun bisa
    http://codenesia.com/artikel/membersihkan-file-yang-terinfeksi-runouce.aspx

  4. whisnu berkata:

    Salam kenal bro…
    terima kasih atas pencerahan yg bgtu amat sangat berharga sekali:)
    dataq di drive D kena virus amplop smua, smua data word excel gabisa dibuka, klo dibuka jd kotak2 gtu, pusing bgt ni bro, data penting semua, dan dah terlanjut diinstal ulang tp tetep kotak2 juga. skrang dah saya scan NOD32 stand alone, sudah terhapus virus nya (ronouce) dan file2 bericon eml. tp data tetep gamau dibuka juga. help..help ada yang tau solusinya???????.thx b4

  5. onies berkata:

    salam kenal…

    komputer kerja saya di kantoR juga baru kena virus ini.. semua file office, acrobat, bahkan outlook saya tak bisa dibuka.. saya coba scan dan download anvir avira yg free dan skrng udah ilang n bersih dr virus2nya.. saya coba search “.eml” sudah tdk ada lagi file2 tersebut..padahal sebelumnya malah seambrek…

    thank you.. sangat membantu..
    saya ijin untuk share dengan teman saya lewat blog ya…

  6. Mpu-Elcom berkata:

    Oke…silakan… :)

  7. donny berkata:

    Terima kasih banyak infonya bos, pake stand alone itu selain bersih juga exenya ga rusak…mantap…

  8. Ade Eka Putra berkata:

    Untuk memperbaiki file excel dan word yang sudah dirusak, bagaimana perbaikannya?
    Perlu banget nih. Makasih

  9. Mpu-Elcom berkata:

    @Ade Eka Putra: Coba buka dengan Open Office , karena ada sebagian file yang rusak bisa terlihat normal ( bisa diperbaiki ) di Open Office , lalu save as dengan extension yang diinginkan… , kalau untuk word bisa coba pakai wordpad..

  10. Dan berkata:

    Komputer saya juga sama.Terkena virus ini. Tp setelah aq hapus dr windows n registrasi, kemudian d restart balik lagi.. File2 office jg tidak bisa di buka. Truz akhirnya saya buat folder baru d windows32 dngan nama runouce.Exe

  11. sucker berkata:

    jebulee…terlambat saya, virus sudah menginfeksi..damn!!!
    thx infonya..

  12. Mpu-Elcom berkata:

    @sucker: sama..sama.

  13. Mpu-Elcom berkata:

    @Dan: untuk menahan runouce.exe bisa dari gpedit.msc / registry dengan menambahkan di DisallowRun

  14. Also that we would do without your excellent phrase

  15. zen converter berkata:

    Yes, really. So happens. Let’s discuss this question. Here or in PM.

  16. subhishine berkata:

    please please…kisanak-kisanak skalian..tolong help me..
    dah terlanjur terinfeksi RUNOUNCE..file doc, xls semuanya kacauu jadi kotak-kotak…

    ada yang tau cara balikinnya ga?..
    file-file tu file seumur hidup dari gw pertama punya komputer…ancur smua..
    kecuali file dg extensi docx yg 2007 alhamdulillah ga kena…

    please ada yg bisa bantu?….

  17. Mpu-Elcom berkata:

    @subhishine: coba buka dengan wordpad atau open office barang kali masih bisa di edit….

  18. Awesome post, hey I found this post while googling for lyrics. Thanks for sharing I’ll email my friends about this too.

  19. fagundez berkata:

    bang, tolong dong tulisin langkah2 blok runouce.exe lewat gpedit.msc ato regedit

  20. Mpu-Elcom berkata:

    @fagundez: caranya : gpedit.msc ataupun regedit sebenarnya sama aja… tapi untuk mudahnya pakai regedit aja , karena regedit bisa dieksekusi disemua windows , kalau gpedit.msc secara default hanya terdapat Windows XP pro…
    caranya:
    copi script dibawah ini dan paste di notepad , kemudian save>>allfile>>dengan extensi .reg misalnya policies.reg:
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    “NoDriveTypeAutoRun”=dword:00000ff
    “DisallowRun”=dword:00000001
    “NoDesktopCleanupWizard”=dword:00000001
    “NoRecentDocsNetHood”=dword:00000001
    “NoSMBalloonTip”=dword:00000001
    “NoAutoTrayNotify”=dword:00000001
    “ClearRecentDocsOnExit”=dword:00000001
    “NoRecentDocsHistory”=dword:00000001
    “NoSharedDocuments”=dword:00000001
    “MaxRecentDocs”=dword:0000000f
    “NoComputersNearMe”=dword:00000001
    “NoNetConnectDisconnect”=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
    “1″=”boot.exe”
    “2″=”jseup.exe”
    “3″=”cscript.exe”
    “4″=”wscript.exe”
    “5″=”boot.com”
    “6″=”runouce.exe”

    setelah menjadi file ber-ekstensi .reg ( policies.reg ) dobel klik file tersebut , atau klik kanan pilih merge … :)

  21. wiwi berkata:

    saya dulu pernah kena worm ini tp sekarang udah g lg saya kira. saya cek sudah tdk ada file runouce.exe tp pas saya scan dgn avira banyak terdapat worm w32.chir.b ini dan iframe.b jg ada, avira menunjukan pd phat E:\RECYCLER gt dan yg terkena worm ini rata2 file yg berekstensi .htm dan .eml tp ketika saya cek di drive E: tdk ada folder RECYCLER. saya coba show folder atau file yg di hide jg tetep g ada. knp y? makasih

  22. Mpu-Elcom berkata:

    @wiwi:folder recycler untuk di windows vista dan windows 7 sudah tidak ada lagi…. , mungkin kalau ada sisa recycler dari windows XP…

  23. anonim berkata:

    maaf mas boleh nanya . . kalo file2 exe yang udah kena tuh virus masih isa dibenerin enggak ya . . soalnya kalo install ulang kebanyakan nih T__T

  24. anto berkata:

    ane kesulitan tuh bikin blok nih virus…padahal dah ikuti caranya yg make notepad itu…sudah d save pas d klik2x ga bisa…apa yang salah yaa..???

  25. Mpu-Elcom berkata:

    @anto: untuk aman dari virus Virus Worm W32.Chir.B@mm , silakan buat assosiasi file .html , .eml , .htm , .js , .jse open default-nya pakai notepad.
    Caranya:
    Di menu Run ketik : cmd lalu enter
    Setelah keluar tanpilan prompt >>ketik: assoc .eml=txtfile lalu enter dst…

  26. Mpu-Elcom berkata:

    @anonim:kalau file exe-nya bisa dikembalikan dengan NOD stand alone , tetapi untuk dokumen yang sudah dibuka waktukomputer masih terinfeksi yang tidak bisa dikembalikan..( dokumen rusak )

  27. Githa berkata:

    gan. laptop saya terserang virus ini nih.
    cara mudah dan amannya ngebersihinnya gimana?
    udh 459 file terserangg.
    Pleasee!! help me!!
    jelaskan perlahan donk ke saya.
    thx b4 :)

  28. Mpu-Elcom berkata:

    @Githa: silakan pakai YM aja… biar mudah saya bantu anda… mpu_elcom silakan di add…

  29. Muhammad Arief berkata:

    assalamu’alaikum………..
    Halo Boss, bisa bantu Arif pecahkan masalah komputerku ini :

    komputerku selalu menampilkan pesan error yang sama, itu-itulah terus. seperti : svchost.exe Drive Not Ready; Run.dll; Win32; dll. sudah pernah ku install ulang, format hardisk, dan juga sempat ganti hardisk dan memori, tapi hasilnya tetepa juga ga ada perubahan. selain itu, jika buat main game selalu hang. padahal dulu komputer Arf ini sangat ampuh dan no problem buat main game.

    tolong sharing ilmunya ya Boss…

    wassalamu’alaikum…..

  30. Mpu-Elcom berkata:

    @melihat keterangan yang terinfeksi adalah .dll ada kemungkinan kena virus Ramnit atau Win32 chir.b untuk menanganinya silakan clear Cmos / lepas battery Cmos beberapa saat …kemudian setelah bios default silakan booting dari cd hiren boot pilih mini windows xp / atau lepas harddisk dan scan harddisk di komputer yang telah update anti virusnya….

  31. Assalamualaikum Wr. Wb
    gan, kompi aq trkena Virus Win 32 chir.b…!
    kata agan “silahkan copy ini ke Notepad [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    “NoDriveTypeAutoRun”=dword:00000ff
    “DisallowRun”=dword:00000001
    “NoDesktopCleanupWizard”=dword:00000001
    “NoRecentDocsNetHood”=dword:00000001
    “NoSMBalloonTip”=dword:00000001
    “NoAutoTrayNotify”=dword:00000001
    “ClearRecentDocsOnExit”=dword:00000001
    “NoRecentDocsHistory”=dword:00000001
    “NoSharedDocuments”=dword:00000001
    “MaxRecentDocs”=dword:0000000f
    “NoComputersNearMe”=dword:00000001
    “NoNetConnectDisconnect”=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
    “1″=”boot.exe”
    “2″=”jseup.exe”
    “3″=”cscript.exe”
    “4″=”wscript.exe”
    “5″=”boot.com”
    “6″=”runouce.exe”

    trus sya pas ingin di Merge koq ad bacaan Error Cannot Import Blablablabla…!
    gn Solusinya Pliss..!

  32. Asslamualaikum Wr. Wb.
    Gan saya mnta Solusi nih, tdi akan agan Coment bgini [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    “NoDriveTypeAutoRun”=dword:00000ff
    “DisallowRun”=dword:00000001
    “NoDesktopCleanupWizard”=dword:00000001
    “NoRecentDocsNetHood”=dword:00000001
    “NoSMBalloonTip”=dword:00000001
    “NoAutoTrayNotify”=dword:00000001
    “ClearRecentDocsOnExit”=dword:00000001
    “NoRecentDocsHistory”=dword:00000001
    “NoSharedDocuments”=dword:00000001
    “MaxRecentDocs”=dword:0000000f
    “NoComputersNearMe”=dword:00000001
    “NoNetConnectDisconnect”=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
    “1″=”boot.exe”
    “2″=”jseup.exe”
    “3″=”cscript.exe”
    “4″=”wscript.exe”
    “5″=”boot.com”
    “6″=”runouce.exe”

    Knpa yah pas saya ingin Merge koq ad bacaan “error Cannot Import…. The Specified file is not a registry script. You can only Import binary registry files from within the registry Editor.

    gan gmna tuh, mnta Solusinya…!

  33. Mpu-Elcom berkata:

    @Fikri Yg Tlah Terlupakan: untuk perintah yang sifatnya vbs silakan dihapus “3″=”cscript.exe”
    “4″=”wscript.exe” agar bisa berjalan…

  34. MOHAMAD berkata:

    tank you

  35. Tia berkata:

    hai bantu aku dong :( kompi aku eror iya bener setelah aku baca, itu awal permulaan kompi aku eror, setelah diinstal ulang winamp aku rusak dan semua file, aku juga ga bisa colokin modem, modem ga bekerja padahal semua konfigurasi udah bener. pas aku mau simpan notepad kok ga bisa ya, ada tulisan this file contain unicode, jadi ga bisa di simpan pakai ANSI terus harus pakai apa ya pilihannya unicode,utf-8 unicode endian

  36. Mpu-Elcom berkata:

    @Tia : Sebenarnya itu kemungkinan besar terkena Virus infektor , yang mudah scan dengan Cleaner anti Virus seperti : Ramnit killer , sality killer , Virut killer silakan cari dihalaman lain blog ini ….
    Atau seandainya terkoneksi internet , saya bisa bantu dengan menggunakan team Viewer …

  37. The Indonesia berkata:

    gan bisa bantu lewat team viewer kalo gk lewat email: richo_syahputra26@yahoo.com
    Thank You..

  38. andita berkata:

    gan help me dong
    laptop saya udah kena virus di atas tadi lah ANVIR yang ampuh buat ilangin file nya apa gan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s