Win32 Ramnit B | Ramnit C | Ramnit H

Kemarin , saya menghadapi Virus yang lumayan unik… :) . Saya bilang unik karena berbeda dengan Virus yang pernah saya hadapi…

Ciri-ciri Virus :

  1. Virus akan menulis folder recycler dan didalamnya , ada folder recycle bin ( misalnya: S-1-5-21-839522115-789336058-1644491937-500 ) dan didalamnya ada file exe yang perkiraan ukurannya : 104 kb , dan juga file ber-extensi .cpl ( control panel ).
  2. Selama UFD tertancap dikomputer , file tersebut diatas akan terus bertambah jumlahnya.
  3. Virus ini juga akan membuat file dan folder di %programfiles%/microsoft/watermark.exe
  4. kalau kita lihat dengan aplikasi process Explorer , Virus ini akan selalu menjalankan svchost.exe sendiri untuk menjaga file-file infektornya agar tidak bisa dihapus.
  5. Akan menginfeksi file exe , dan merubahnya menjadi nama baru. Misalnya : explorer.exe menjadi explorermgr.exe

Setelah saya lelah menghadapi Virus ini , akhirnya saya mencoba mencari solusinya:

Diantaranya :

  1. Info yang saya dapat dari http://techblog.avira.com/2010/11/25/closer-look-at-w32ramnit-c/en

Closer look at W32/Ramnit.C

In this month’s ITW malware set from the Wildlist organization two new variants of W32/Ramnit appeared. W32/Ramnit is a Worm spreading via infected executable files and infected HTML Files. It is a quite widespread malware – which is why we decided to dig deeper into it.

Upon execution the malware creates a new file in the directory where it was started. This file is named “mgr.exe”. It then gets executed and creates a copy of itself in “C:\%ProgramDir%\Microsoft\WaterMark.exe” which also gets executed after creation and in turn infects the EXE, DLL and HTML files found on the system and tries to connect to a server.

W32/Ramnit.C adds an extra section with the name “.text” to the PE Files (EXE, DLL) found. The file analysed now contains two “.text” sections after the infection.

The last section marked with a red frame is the new appended one and carries the malicious code. The file infector changes the entry point of the PE-file so that the malicious code is executed before the regular code. Right after execution of such an infected file, the aforementioned “mgr.exe” file will be created and starts infecting the files.

But W32/Ramnit.C is not only spreading via PE-files. The virus is also adding a Visual Basic for Scripting (VBS) script to HTML files on the infected system. The VBS script is concatenated at the end of the HTML file and 86.498 Bytes in size – which is very much compared to a hidden Iframe or something similar.

The VBS script contains a “DropFileName” which is “svchost.exe” and the data which is a PE file compressed using UPX as hex string. And it also has code which is used to transcode that string and write the result to that file to the hard disk.

The newly created “svchost.exe” is written in the temporary folder which is defined in the system. On Windows 7 this is for example “C:\Users\<Username>\AppData\Local\Temp” by default. After creation the script executes the malicious, fake “svchost.exe” using WSHshell.Run.

The connection to a server which W32/Ramnit.C initiates uses TCP port 443. This port is normally used for HTTPS and thus isn’t filtered by many firewall solutions. Another measure to avoid detection by firewalls is that W32/Ramnit.C uses injects itself into a hidden executed Internet Explorer process for the communication to its C&C server.

This malware spreads via web sites, for example, as infected webmasters upload infected web pages and binary files to their servers – unknowingly. Avira anti malware solutions protect users from W32/Ramnit as they detect and block it.


  1. Dan juga http://www.precisesecurity.com/threats/worms/w32-ramnit-b

W32.Ramnit.B is a computer worm that will spread itself by creating a copy on removable USB drives. W32.Ramnit.B also scan local drives for .exe, .dll and .html files to append an encrypted payload .

Technical Information:

Files added by W32.Ramnit.B
Windows registry entries created by W32.Ramnit.B

Alias:

Damage Level: Medium

Systems Affected: Windows 9x, 2000, XP, Vista, Windows 7

Manual Removal of W32.Ramnit.B:

1. Temporarily Disable System Restore (Windows Me/XP). [how to]
2. Update the virus definitions.
3. Reboot computer in SafeMode [how to]
4. Run a full system scan and clean/delete all infected file(s)
5. Delete/Modify any values added to the registry. [how to edit registry]
6. Exit registry editor and restart the computer.

Scan with Norton Power Eraser:
A free removal tool from Norton Antivirus was developed to remove unfamiliar threats without using the traditional AV signatures. Download the tool and start scanning with Norton Power Eraser.

Technical Details and Additional Information:

Other functionalities of this Trojan:
– Connects to a predefined domain to download more threats
– Injects itself on svchost.exe process

Malicious Files Added by W32.Ramnit.B:
1. %ProgramFiles%\Microsoft\WaterMark.exe
2. %System%\dmlconf.dat
3. %DriveLetter%\RECYCLER\S-6-8-78-6074043183-3137731366-826674213-1246\PdCMovQB.exe
4. %DriveLetter%\RECYCLER\S-6-8-78-6074043183-3137731366-826674213-1246\tYZldSpD.cpl
5. %DriveLetter%\autorun.inf
6. %DriveLetter%\Copy of Shortcut to (1).lnk
7. %DriveLetter%\Copy of Shortcut to (2).lnk
8. %DriveLetter%\Copy of Shortcut to (3).lnk
9. %DriveLetter%\Copy of Shortcut to (4).lnk

Associated Windows Registry Entries:
Entry to be deleted:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_24C2&SUBSYS_013A1028&REV_01\3&172e68dd&0&E8\Device Parameters\”DetectedLegacyBIOS” = “1″

Entry to be restored to original values:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe”

Dari artikel diatas… saya dapat tambahan tool Removal baru dari Norton yaitu :

Norton Power Eraser

Tapi dari pengalaman saya Virus ini sungguh sangat cerdik , karena seakan-akan Bukan Virus infektor.. Coba besok saya coba dulu… kalau sudah bisa berhasil , nanti akan saya share lebih lanjut… :)

Dan pada akhirnya , solusinya adalah :

  1. Download : NOD32 Stand alone , di komputer yang aman dari Virus…. dan jadikan file RAR , ZIp , 7zip agar tidak bisa ter infeksi Virus….
  2. Masuk System / booting komputer dengan opsi safe mode ( tekan F8 waktu awal booting )
  3. Matikan svchost.exe , bisa menggunakan Task manager  ( Ctrl+Alt+Del ) klik tab processes , dan end task svchost.exe . Dan bila keluar dialog untuk shutdown komputer. Ketik di menu Run… shutdown -a untuk membatalkan shutdown tersebut.Dan usahakan meng-end process  semua file yang bisa ditutup / end process kecuali task manager ( digunakan untuk memonitor file svchost.exe ) , karena setiap kali ada file .dll , .exe , .html yang dijalankan akan menjalankan file svchost.exe yang akan sekalian menulis “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe” dan juga membuat folder %programfiles%/microsoft/watermark.exe
  4. Scan Dengan Cleaner seperti NOD32 Stand Alone yang berada posisi zip file , atau scan Di Mini Windows XP ( Live CD )
  5. Rubah registry yang dirubah virus , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe” menjadi : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe Sebelum me-Restart Komputer…. dan untuk memastikan komputer masih terinfeksi apa tidak , kita bisa mencoba melihat regedit….. :)
  6. Reset memory Cmos , karena menurut pengalaman , Virus ini adalah salah satu Virus yang bertempat di memory Cmos .Sehingga walaupun diinstall ulang Virus akan terus ada selama belum di clear Cmos.Untuk cara Clear Cmos kita bisa melepas battery Cmos ataupun merubah jamper jbat dari posisi normal ke posisi clear.
  7. Setelah sistem bersih dari virus silahkan diinstall anti virus dengan update  terbaru… untuk menjaga dari infeksi virus kembali…
  8. Baru Install Ulang……. Kalau diperlukan… :)   jangan Lupa Amankan Semua data Sebelum di Format
  9. Ramnit A meng-infeksi file html , Ramnit H menginfeksi file .dll dan .exe
  10. Tetapi menurut pengalaman saya, trik diatas sudah tidak memerlukan install Ulang… Semoga bisa.. :)
About these ads

Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Tulisan ini dipublikasikan di Virus dan tag , , . Tandai permalink.

83 Balasan ke Win32 Ramnit B | Ramnit C | Ramnit H

  1. areal berkata:

    gan saya juga punya maslah yang sama tapi yang menimpa saya adalah Win32 Ramnit-f semua file pada berexstensi exe di drive terinfeksi semua itu saya liat ketika saya menscannya dengan avast. dan .gak bisa direpair. file exe yang di d juga kena infeksi adalah file kerjaan saya gan..ada solusi ngk gan?
    cara reset cmos di laptop gmana gan?…..terimakasih sebelumnya
    kalo bisa balas ke email saya gan

  2. Mpu-Elcom berkata:

    @areal: coba masuk safe mode ( F8 ) , dan coba matikan / endtask dengan taskmgr / Ctrl+Alt+del atau menggunakan process Explorer.Yang perlu dimatikan adalah svchost.exe , nanti bila keluar kotak dialog untuk restart ketik shutdown -a di menu Run.lalu gunakan Nod 32 stand alone dalam bentuk rar. setelah dijalankan dan siap scan close Rar archive nya.Pilih clean untuk opsi pertama dan delete untuk opsi kedua… , sebelum di restart Rubah registry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe” menjadi : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe ” karena bila tidak dirubah akan membuat windows tidak bisa masuk ke windows.. :)

  3. labarasi berkata:

    Salam kenal empu, kunjungi dan berbagi ke tempat saya juga empu

  4. yogi ginanjar berkata:

    gan yang aq sama cuma nyerang di flash disk gimana gan aq udah bingung tolong bantu gan

  5. firza berkata:

    piye kabare Om ?

  6. Mpu-Elcom berkata:

    apik wae… :)

  7. Mpu-Elcom berkata:

    @yogi ginanjar:kalau flashdisk sudah dibersihkan terus ada Virusnya lagi.. itu berarti komputernya sudah terinfeksi Virus ,

  8. teguh berkata:

    juragan…..komputerku kenek Ramnit.A sampe M……tak scan sama McAffe muncul peringatan kalo netframe-nya error…..trus tak scan pake avast 4.8 update 04-02-2011 banyak file dll, exe, vbs, html yang kedetect virus Ramnit, Dropper, Gumm, Sality32, LinkRunner, dll. Abis discan trus restart dan log 0n window… muncul logo windows…. abis itu….abrakadabra…….yang muncul cuman kursor doank…….dengan background black screen…..gelap deh…..
    Mohon pencerahan donk……
    maturnuwun……

  9. Mpu-Elcom berkata:

    @teguh: Ramnit adalah jenis Virus infektor , yang menginfeksi hampir semua File berextensi .dll , .exe , .scr ,,, dan untuk membersihkan kita membutuhkan Cleaner Virus seperti NOD 32 stand alone . jadi berfungsi untuk mengembalikan file yang sudah terinfeksi kembali normal.Kalau Avast dll itu , diinstall bila komputer sudah bersih dari Virus infektor .kalau belum , maka File yang terinfeksi akan terhapus karena dideteksi sebagai Virus….

  10. obiedlabs berkata:

    makasih bos, mosok tehnisi seperti saya baru tau nih cara.

  11. Ferdinan berkata:

    Mas,mau tanya.. Dia kan infeksi file html juga.. nah,,klo pake power eraser itu bakal hapus semua file yg terinfeksi atau bisa bersihin file-nya?
    Soalnya file-file html yg terinfeksi yg di komputer saya itu penting. Mengerika sekali kalau ternyata harus dihapus..
    Kalau ternyata bakal hapus,kira-kira cara buat menyelamatkan file html itu gimana ya?

    Trims..

  12. Mpu-Elcom berkata:

    @Ferdinan: jangan discan pakai power eraser , gunakan prosedur yang saya anjurkan . kalau untuk file html coba buat copy-an didesktop lalu scan dengan NOD stand alone kalau , file tersebut terhapus .. maka solusinya mungkin nunggu … atau gunakan manual… tapi mungkin akan lama dan menyusahkan ….tapi biasanya clamwin… lebih hebat untuk menghapus script… coba aja…

  13. rizki berkata:

    Mas..nod32 stand alone nya donlot dimana?gak dapet2..boleh minta link nya?
    Terimakasih..

  14. rizki berkata:

    Oiya..belum rampung tanyanya..
    Svchost nya ada 3 mas..sudah saya end process tiga2 nya tp nongol lagi terus.. (tentunya saya sudah melakukan nya di safe mode)
    Tentang clear cmos..saya pakai laptop jd bakal susah utk clear cmos..bagaimana kemungkinannya bila tidak di-clear?
    Trus bagaimana kalau flash bios?apa bisa utk menggantikan langkah clear cmos?
    Maaf kalau pertanyaan saya terdengar bodoh..
    Tetimakasih

  15. rizki berkata:

    tanya mas..
    – itu nod32 standalone nya donlot dimana?bisa kasih link nya?
    – trus saya coba end process svchost,kok muncul lagi terus ya?
    – tentang clear cmos, saya pakai laptop mas, kayaknya bakal susah kalo harus clear cmos. kira2 ada cara lain? kalo update bios cmos nya kehapus gak ya? maaf kalo pertanyaan saya terdengar bodoh.

    terima kasih

  16. Mpu-Elcom berkata:

    @rizki: memang akan keluar lagi….yang penting jangan menjalankan program ( aplikasi ) di saat komputer belum bersih , kecuali …untuk pembersihan virus untuk lebih jelasnya gunakan process explorer , dan yang harus di endtask adalah svchost yang ada dibawah explorer.exe

  17. Mpu-Elcom berkata:

    Link sudah tak tambahkan di postingan… /update … :)

  18. mr. ajie berkata:

    diatas kan penyelesaian permasalahan mpu..

    bagaimana cara untuk mencegahnya..

    pakai antivirus apa yang direkomendasikan bung mpu?

    trims

  19. jos_gandos berkata:

    apakah file applikasi yang sudah terinfeksi tersebut akan selamanya rusak/berbahaya??

  20. Mpu-Elcom berkata:

    @jos_gandos: file yang sudah di bersihkan / cleaning dengan cleaner anti Virus , misal:NOD32 stand alone , file tersebut akan normal kembali , atau sekalipun rusak file tersebut sudah tidak berbahaya…

  21. Mpu-Elcom berkata:

    @rizki: 1. Untuk download NOD-nya silakan klik Cleaner dan Anti Virus>>NOD stand alone di halaman : http://mpu4elcom.wordpress.com/software
    2. Untuk svchost.exe memang akan muncul kembali… untuk memonitor-nya silakan task manager tidak ditutup , sehingga bila muncul svchost.exe kita bisa meng-endtask-nya.
    3. Clear cmos ini bila diperlukan , kita bisa menggunakan hiren boot CD >>dos program>>Bios&cmos tool>>kill cmos.
    Dan untuk update bios / flash bios tidak saya sarankan… karena sangat beresiko untuk yang belum pernah melakukan.Bila flash bios gagal laptop akan blank… kalau tidak bisa clear cmos gunakan aja mini windows XP yang ada di Hiren boot cd.Bila discan drive B: atau X: terinfeksi scan aja lagi..

  22. Mpu-Elcom berkata:

    @mr. ajie : Untuk pencegahan kita gunakan anti virus gabungan. 1. anti Virus local , untuk mencegah dari virus local dan 2. Gunakan anti virus luar yang anda sukai , kalau untuk anti Virus yang Free saya gunakan Avast 5.x karena lumayan biarpun gratis anti virus ini cukup melindungi.
    kalau secara settingan.Matikan atau ganti asosiasi file berextensi .lnk ( shortcut ) dan .cpl ( control panel ) dengan txtfile.
    contoh : assoc .lnk=txtfile dan assoc .cpl=txtfile.. semoga berguna… :)
    dan yang pasti matikan autorun windows , turnoff autorun>>all drive di gpedit.msc

  23. Hendra berkata:

    Pak, mau nanya..klo batere Cmos dilepas..apa bisa dipasang kembali atau dilepas total?
    Trus, klo dilepas apa pengaruhnya di komputer?

  24. Mpu-Elcom berkata:

    @Hendra: Untuk yang awam cara mudah clear Cmos adalah dengan cara melepas battery Cmos. Efeknya : 1. Jam / clock akan kembali ke waktu Bios diset pabrik. 2. Settingan bios akan kembali standard default / asal settingan pabrik.

  25. antivirus berkata:

    di drive c: saya ada folder $RECYCLE.BIN dan System Volume Information yang coba saya delete tapi pasti kembali lagi.. sudah saya coba gugel ternyata ada dua pendapat, ada yang bilang itu adalah folder system windows dan ada yang bilang itu adalah virus. ketika saya masukan eksternal harddrive, langsung muncul folder $RECYCLE.BIN. sudah saya coba bermacam2 av tdk ada yg mendetect semacam mse, avira, avg, pcmav, smadav, jg penghapusan manual lewat linux, tp tetep muncul terus. mohon pencerahannya.. saya menggunakan win7 he 64bit..

  26. dhimz berkata:

    1. bang empu..mw nanya neh..kalo mw lepas cmos , data yg hilang hanya di C ato smua drive ? oo ia.. tolong donk tutor nya cara melalukan reset CMOS.
    2. trus seandainya sudah selesai di scan dengan NOD32, lalu saya gunakan Deep Freeze untuk mencegah msk nya kembali virus2 ato file yg rusak. apa sudah tidak da gejala lagi untuk virus masuk kembali?
    trims.

  27. fachri berkata:

    cara turnoff autorun gpedit.msc gmn ?g ada tulisan turn off nya. maap newbie

  28. Mpu-Elcom berkata:

    @dhimz : 1. reset / clear cmos , tidak menghapus data di harddisk , kalau yang menghilangkan partisi / data adalah clear MBR , kalau clear Cmos cukup cari jamper clear cmos , posisikan clear ( biasanya 2-3 ) kemudian kembalikan ke posisi 1-2 di motherboard . atau lepas battery jam / clock yang bulat di motherboard beberapa saat… lalupasang kembali.
    2. Deep freeze adalah program juga ( dia juga file executable ) jadi selama tidak dibuka mungkin aman , untuk membuka deep freeze silakan scan dulu pakai anti virus update terbaru…. semua drive , baru buka deepfreeze

  29. Mpu-Elcom berkata:

    @antivirus : folder $RECYCLE.BIN adalah folder default untuk recycle bin di windows 7 / vista. dan kalau folder System Volume Information adalah folder tempat file system restore.
    Kalau pendapat saya , lebih baik secara berkala kita menghapus folder yang ada didalam folder tersebut. Untuk menghindari adanya file vIRUS.karena disamping aman dari ancaman Virus , trik tersebut juga membuat harddisk portable kita tidak penuh dengan file tidak berguna ( file : recycle bin , system restore ).

  30. Jontorabis berkata:

    nanya dong, sebenarnya svchost.exe itu dari virus atau emang dari windows??, soalnya sebelum saya terkena Ramnit.C , svchost.exe itu dah ada dari dulu, mohon pencerahannya ??

  31. Mpu-Elcom berkata:

    @Jontorabis:memang sebenarnya svchost.exe adalah milik windows untuk menjalankan service , tapi karena memang svchost sangat penting akhirnya ada pembuat virus yang menjalankan svchost.exe sebagai virus untuk mengelabui pengguna agar tidak merasa terkena virus… :)

  32. slv berkata:

    waduhhhh di komputer ku jg kena virus itu,, tiap kali di scan pke smadav pasti ada 1 value registry.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit”
    udah di delete dari system c tapi ga ke hapus…
    gi mna yah..???
    mana yg kena’ komputer server di warnet lagi….
    serverbilling jd suka mati mendadak…. :'(
    help donkkkk

  33. who am I?? berkata:

    virusnya kok balik lg mas klo di restart.. ane pikir dah bersih..
    trus yg bener clear cmos dulu baru bersihin, apa bersihin dulu baru clear cmos?
    mohon bantuannya..

  34. Mpu-Elcom berkata:

    @who am I: itulah hebatnya Ramnit… :) anda klik kanan aja dia sudah jalan lagi… , untuk itu jangan ditutup task manager ( Ctrl+Alt+Del ) di Tab processes awasi selalu svchost.exe jangan sampai jalan.Bila ada yang jalan kill / end task , dan bila tampil dialog shutdown komputer batalkan dengan cara : ketik : shutdown -a di menu run task manager.

  35. Mpu-Elcom berkata:

    @slv: silakan jalankan aja cara yang saya share…. :) kalau anda hati-hati dan benar , mudah2an sukses… ;)

  36. mikami berkata:

    saya ingin tanya, klo recycler,watermark.exe juga udah di dan copy shortcut sdh hilang karena saya hapus registrynya lalu msh ada file exe dan dll yg terjangkit, apakah komputer sdh bebas dr ramnit?
    menurut saya sih tinggal membereskan data yg masih terjangkiti.Tp apakah exe dan dll yg terjangkit benar-benar rusak atau msh bisa direpair??

  37. Mpu-Elcom berkata:

    @mikami: 1.Selama ada file exe atau dll yang terinfeksi ramnit, bila kita meng-eksekusi-nya , maka akan ada svchost .exe yang berjalan dikomputer kita. sekaligus svchost.exe tersebut akan membuat folder mikrosoft dan didalamnya ada file watermark.exe. jadi kita harus membersihkan sampai tuntas.Dan kita install anti Virus terbaru…. untuk menjaga dari penyebaran virus ramnit.
    2. Untuk merepair / memulihkan kembali file yang terinfeksi…. gunakan cleaner anti Virus… seperti NOD32 stand alone….dan file cleaner tersebut harus kondisi di ZIP atau di RAR…

  38. altair berkata:

    kalo aq kena ni virus makan semua file tugasku (.html) sama installer game (exe)

    ada solusi gg ya soalnya cuma bisa d delete sama antivirusnya.

    makasih

  39. Mpu-Elcom berkata:

    @altair: jangan di-scan dengan anti virus seperti : avast , avira , atau sejenisnya , yang sifatnya hanya mendeteksi Virus.Silakan gunakan Cleaner anti Virus misalnya: NOD32 stand Alone , malware cleaner ( norman ) . baru setelah virus bisa dibersihkan , silakan install anti Virus seperti : Avast atau avira.. untuk menjaga agar tidak ter infeksi lagi. Dan jangan lupa selalu update

  40. sasai blog berkata:

    emang benar gan. Virus bersarang di memori kita. ane sampai 5 kali format OS.
    thank infonya bisa langsung ane praktekkan

  41. Mpu-Elcom berkata:

    @sasai blog: Oke… :D semoga berhasil…

  42. fadma berkata:

    virus Ramnit A, menginveksi data2 di hardisk partisi gak ya??
    terima kasih

  43. Mpu-Elcom berkata:

    @fadma: Ramnit A adalah Virus Ramnit yang menginfeksi file html…. , jadi kalau documents anda adalah kumpulan html…ya akan terinfeksi… kalau Ramnit H , itu infektor file berextensi .exe , .dll ….

  44. lihuai berkata:

    mas kl kena virus ramnit!remnants bahaya g??
    thx

  45. Imank berkata:

    bang, bolh kasi link tuk dunlud Nod 32 stand alone.rar, coz laptopku 22’a udah kejangkit ma virus ramnit a/h….tolong mpu…….

  46. Imank berkata:

    ada yg ketinggalan mpu, klo Reset memory Cmos laptop acer gmna carane mpu…udah nanya2 ama mbah google g ketemu.

  47. Mpu-Elcom berkata:

    @Imank: cara reset teraman saya gunakan killcmos… yang ada di CD hiren Boot>>masuk menu dos program>>bios & cmos tools>>killcmos….
    Untuk link..nya > download NOD 32 stand alone <

  48. Mpu-Elcom berkata:

    @lihuai: kalau menurut saya bahaya… karena Virus ramnit akan merusak file : html , dll , dan exe … kalau kita tidak bisa menangani dengan benar maka system komputer kita bisa rusak… :)

  49. rinze berkata:

    bang,koq aku cari folder microsoft di program files ngga ada tp pas aku pake nod32 banyak bgt file yg terinfeksi ramnit. Bknnya klo kna ramnit,bakal muncul foldr microsoft yg didlmnya ada watermark.exe? Trus aku nekat colokin fd yg ada ramnitx tp tetep aja ngga muncul. Anehnya pas colokin fd yg bersih malah 4skawan shortcut ada.

  50. Mpu-Elcom berkata:

    @rinze:menurut pengalaman saya memang ramnit akan berjalan : 1. lewat .html , .exe ataupun file .dll yang terinfeksi ramnit. , lalu akan membuat dan eksekusi file svchost.exe sendiri… 2. Selanjutnya : svchost.exe buatan ramnit akan membuat : a. folder microsoft yang isinya file watermark.exe b. menulis registry di winlogon agar watermark.exe selalu tereksekusi c. svchost.exe-nya ramnit juga menjaga… agar file watermark.exe tidakbisa dihapus… d. menulis file .cpl dan .exe didalam folder recycler… disetiap UFD yang ditancapkan di komputer terinfeksi… secara terus menerus dengan nama yang berbeda2 … :)

  51. wiwit adi nugroho berkata:

    gan,,,
    di flashdisk tmn q ada virus…
    1.recycle
    2.copy of shortcut (1) – (4)
    trs kl folder recycle di buka ada virus new heur level 9

    gmn tu gan cara ilanginnya???
    di PC saya udh di scan smua tp ga da virus

  52. Mpu-Elcom berkata:

    @wiwit adi nugroho: coba hapus folder dan file tersebut… jika flashdisk tersebut di-remove dan di pasang lagi keluar file yang sudah dihapus… berarti…yang ada virusnya adalah komputer yang ditancapi flashdisk tersebut….solusinya silakan baca: >membersihkan virus Ramnit<

  53. Endar berkata:

    Tulisan yang sangat membantu sekali, Mas Mpu-Elcom. Banyak sekali komputer maupun FD yang sudah diobrak-abrik sama virus Ramnit ini, termasuk laptop dan FD saya. Mau tanya, laptop saya menggunakan Deep Freeze (Deep Freeze selalu on dan tidak pernah dibuka/diganti password). Pada suatu waktu, saya masukkan FD saya yang saya tahu sudah terkena virus Ramnit (1 folder Recycler dan 4 Copy Of Shortcut.lnk), dengan tujuan untuk memindah data dari FD ke hard disk di laptop, kemudian mem-full format FD agar virus tersebut hilang. Saya tenang-tenang saja dengan pikiran bahwa selama ini, Deep Freeze selalu jago dalam mengamankan laptop saya, kalau kena virus, paling2 cuma restart dan back to normal, selalu berhasil walau berurusan dengan virus Ramnit yang ada di FD saya. Namun kali ini beda, sebelum memindah data2, dengan tenangnya saya sempat play mp3 yang ada di FD, terus saya coba connect ke internet untuk mengetahui mengenai virus Ramnit ini (waduh, kesalahan besar). Tapi sama sekali Mozilla tidak mau buka. Saya tahu, ini kerjaan Ramnit, apalagi semua program kelihatan lamban dan berat, baik saat dibuka/ditutup. Segera saya keluarkan USB dengan paksa (tanpa di-eject terlebih dulu) dan disconnect internet. Saya restart dengan harapan back to normal, tapi yang terjadi, proses hanya sampai di Windows booting dan setelah itu hanya keluar kursor + blank black screen. Sudah cuma itu saja. Berkali-kali saya mencoba, tetap seperti itu. Pertanyaan saya, apakah Deep Freeze juga bisa terkena Ramnit? Padahal sama sekali saya tidak membuka Deep Freeze (sebelumnya normal dan selalu berhasil)? Apakah jika laptop saya di re-install (format ulang) kemudian saya pasang Deep Freeze lagi nantinya akan aman dari virus Ramnit ini (setelah pengalaman tersebut di atas)? Deep Freeze vs Ramnit, hebatan mana ya, karena selama ini saya tergantung sama Deep Freeze. Pada Mpu-Elcom, mohon pencerahannya, terima kasih. O ya, antivirus yang saya gunakan ada 4, Smadav update terbaru 2011, Ansav update 2011, dan juga Bit Defender, plus program pembersih autorun.inf, Flash Disinfector (sepertinya semuanya tidak bisa detect dan keok oleh virus yang satu ini).

  54. TAMriN GANTeNK berkata:

    niY VIrUS bikIN puYenG AJA, W Ud BEraPA kaLI KEna VirUS W32/RAmnIT.c, GAra GAra MAke ProgRAm chEAt YANg MENGANduNG viruS … klO Ud kNA vIruS InI, NGA cuKUP HANya DiiNSTAL uLAng. FOrMAT HDD duLU BAru iNSTALL uLANg, eMANg siaLAN nIY vIrUS … BikiN RepOT

    ArMStrOng_PrODucT@YAHOo.cO.ID

  55. Mpu-Elcom berkata:

    @Endar: anda sadar tidak , bahwa deepfreeze adalah program juga ( executable ) ?… biarpun.. deepfreeze untuk membuka harus restart.. tetapi bila file exenya terinfeksi…tamatlah deepfreeze…karena ramnit akan menginfksi file .exe .dll dan .html..

  56. bono berkata:

    thank u bang..sangat membantu….dah 3 hari ternyta kurang harus jalanin nod32 ny di safemode. pantes tuh ramnit masih exect trs di laeppy ane.

  57. irfan berkata:

    jangan berbelit-belit…ah…pengalaman saya pake aja avast antivirus…dijamin virus ngaciiiiirrrrr.

  58. Cliff berkata:

    btw, menambahkan info aja… svchost.exe yang harus di end process di task manager itu yang user namenya nama user di komputermu, bukan SYSTEM ato NETWORK SERVICE ataupun LOCAL SERVICE… thx btw

  59. papiworkshop berkata:

    Terima Kasih atas pencerahannya,,

  60. Hoznay berkata:

    gan, ane kena juga nih (.dll, .exe, .html)
    mau install ulang, tapi deepfreeze ga bisa di akses nih, di icon tray ga ada gan, plus tmbol aksesnya ga bisa dibuka (cntrl + alt + shift + f6)….
    pusing bgt ama nih virus, udah nyoba clean pake si bebek kuning versi ramnit di safe mode tetep aja masih muncul2 lagi nih gan…..mohon pencerahannya………

  61. Hoznay berkata:

    tambahan
    deepfreeze nya aktif + jalan gan, cuma ga bisa akses buat buka tutup…..

  62. Mpu-Elcom berkata:

    @Hoznay: deepfreeze dikarenakan masih terinfeksi virus…RAMnit Scan menggunakan cara… yang sudah ada … gunakan safemode command prompt… :)

  63. qtenx berkata:

    kalo di drive c:\WINDOWS itu bnyk foldet uninstall itu knp yah? virus ga?

  64. Mpu-Elcom berkata:

    @qtenx: kalau uninstall yang terdapat didalam folder Windows itu bukan Virus … , tetapi uninstall untuk windows update , kita juga bisa melihat uninstall tersebut di control panel >>Add or Remove Program dengan cara beri cek list ( centang ) pada Show updates

  65. Gagas berkata:

    Siang Mpu, Mau tny saya kan pake Symantec kira-kira bisa ilang gak tuh`Virus Ramnit`nya ?
    Virusny saya juga bingun Entah berasal dr HDD Eks saya atau dr Komputer saya…

    HDD Di Komp rumah gak kebaca Folder Yg kalo di hapus nimbul lagi,Tp kalo di laptop saya Kebaca Alias Terlihat… Jadi Mestinya Apa yg mesti saya scan Atau Instal Ulang ??
    Laptop?HDD?Komputer?

    NB : Komputer saya memang buat game Online MPU

  66. Mpu-Elcom berkata:

    @gagas: ciri komputer / laptop yang terinfeksi RAMnit adalah , bila UFD / flashdisk ditancapkan ke komputer / laptop tersebut akan muncul shortcut copy of copy … walaupun dihapus akan muncul lagi… silakan gunakan RAMnit killer Buatan PCMAV … :) ( terima kasih PCMAV anti Virus )

  67. Ardi berkata:

    Pagi bos , PC sy kena Ramnit kaya`nya svchost.exe banyak muncul di task mgr dan beberapa program tidak bisa jalan , OS Win XP SP 3, AV : Avira free virus ini masuk ketika sy masukkan FD ke PC tapi sy cari file watermark.exe di program file koq g ada ya.., di mana kira2 virus ini berjalan?

  68. Mpu-Elcom berkata:

    @Ardi: Coba scan aja sama PCMAV EXpress for ramnit / RAmnit killer buatan PCMAV Anti Virus….
    dan yang penting lagi buat assosiasi file .cpl=txtfile caranya : di cmd ( command prompt ) , ketik : assoc .cpl=txtfile

  69. Easybaby berkata:

    mpu komputer sya kena virus ramnit.H. terus yg terinfeksi datanya Nvdia3dvision. jadi stiap saya maen game, gamenya error sendiri terus di bilang komputer saya low on disk memory. setelah itu ram saya bekerja dengan keras. seperti sya lgi bermain game pdahal komputer tidak saya gunakan sama sekali tidak ad running program.

    mohon pencerahannya dan bantuanya… thanks

  70. Mpu-Elcom berkata:

    @Easybaby: kalau memang benar kena ramnit gunakan >Ramnit killer< posisi safemode ( booting tekan f8 ) dan jalankan beberapa kali untuk memastikan tidak ada yang terinfeksi… :) …tetapi kalau memory low itu bisa disebabkan partisi system ( biasanya c , itu kehabisan free space ).bisa juga karena terlalu banyak toolbar / program yang distartup… solusinya uninstall program yang tidak terpakai

  71. 22nov berkata:

    gan saya mempunyai masalah dengan autorun.inf…yang tidak bisa dihapus.cara menghapusnya gimana ya?
    virus tsb terinfeksi di drive laptop saya gan..help.thx u.wassalam

  72. bud1309 berkata:

    agan gimana neh komputer ane kena virus ramnit.H, gak bisa di karantina dan diberihkan pkek smadav, trus pas ane coba cara agan, ternyata safe mode nya gak bisa (ke-restart), trs game ane (skyrim) juga gak bisa di cracknya, trus ane gak tau cara ngelepas battery di pc bagian yang mana gan? mohon blessingnya trims :D

  73. mahasiswa berkata:

    Permisi gan. PC saya baru baru ini positif terkena ramnit. Udah coba banyak cara tapi tetep aja virus ini balik lagi dan balik lagi. Dari semua cara yang saya coba selalu ini yang jadi masalah:

    – Gak ada key “Userinit” di registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\.

    Akhirnya step yang melibatkan “hapus/ubah key Userinit” saya skip. Alhasil virus masih merajalela di PC saya. Kira-kira bagaimana ya solusinya? dimohon bantuannya gan, saya udah stress berat sama virus satu ini.

  74. Mpu-Elcom berkata:

    @mahasiswa: ramnit iku virus infektor…html,exe,dll…jadi untuk cara yang paling bagus gunakan Mini Windows XP..lalu scan dengan ramnitkiller didalam mini windows..dan yang tidak kalah penting..rubah assosiasi file cpl dan html defaultnya ke notepad. ( assoc .cpl=txtfile , assoc .html=txtfile )

  75. pian berkata:

    tolong share ke kami dong,,,,,komp sya bila mo internet muncul taksbar yg pilihanya:: don’t send ato send…….., trus internetan jd ngeblenk ga bisa konek lg, di scan pake smadav jawabnya komp anda sedang kurang baik. scan pake avast file tidak bisa di hapus. tolong dong share solusinya….trims

  76. adeetz berkata:

    mnegerikan virus ramnit ckckckc

  77. Mpu-Elcom berkata:

    @pian siapkan ramnitkiller , salitykiller dan virutkiller.jalankan dan biarkan scan sampai selesai dan ulang lagi process scan

  78. Indra berkata:

    mas ini saya uda nyoba cara mas ..cuma saya rada bingung utk ngubah KEY nya itu dimana ya dan gmn nyari KEY yg seperti mas kasi tau itu…soalnya pas saya buka KEY dr registry itu byk KEy dan saya bingung harus mana yg saya ubah..mohon petunjuknya lebih jelas lagi ..trima kasih

  79. Mpu-Elcom berkata:

    @Indra: Kalau terkena Virus Ramnit cukup gunakan RAmnit killer… mampu mengembalikan registry dan file yang terinfeksi…. gunakan safe mode lepas jaringan dan scan 2 atau 3 kali sampai tuntas…

  80. Sabarie berkata:

    mpu… jadi cukup pake ramnit killer aja buat ngatasin file yang ke infeksi? ga usah pake metode atas yang empu kasih ya??

  81. Mpu-Elcom berkata:

    @Sabarie: ya… tetapi yang didalam rar atau zip harus di extract dulu setelah bersih di rar atau di zip lagi.. :)

  82. HALOO berkata:

    BANG MAU TANYAK::kok waktu saya maen game CSO kok keluar mulu ya padahal connec nya bagus mohon di balas??

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s