Worm Win32/AutoRun.IRCBot.FC

Selamat datang di dunia Virus yang lebih baru… , kenapa?? Virus yang menggemparkan “Conficker/KIDO” telah memperbarui kemampuannya.. , selama ini yang penularannya melalui file berextension .vmx , sekarang sudah ada pembaharuan. File SVCHost.exe diinfeksi oleh file update.exe.

Virus ini dikenali NOD stand alone sebagai Worm Win32/AutoRun.IRCBot.FC , dan oleh Avast dideteksi sebagai Win32:Rootkit-CO [Trj] , dan Virus ini akan menulis file update.exe disetiap flashdisk/removable media misal:H:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe

Dan uniknya , Virus menulis folder RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe  dengan cara dilock , sehingga sulit untuk dihapus , sekalipun dengan anti Virus.dan kelemahannya folder yang ditulis Virus masih bisa direname , jadi setelah direname sub folder recycler . anti Virus bisa dengan mudah menghapus file update.exe.

Virus ini juga menaruh file berextension .exe di \%windir%\system32\yt57.exe

Efek yang ditimbulkan: Komputer terasa lambat , sehingga terasa komputer kekurangan Memory RAM dan Driver VGA belum terinstall.

Cara membersihkan: Setelah scan dengan Kido killer ( Net-worm.Win32.Kido Removal tool ) Silakan Download terbaru di http://support.kaspersky.com/viruses/utility

Kemudian untuk menuntaskan silakan gunakan NOD 32 Stand Alone

ini laporan log yang terlihat di NOD 32 stand Alone:

    I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
    -a variant of Win32/AutoRun.IRCBot.FC worm - error while deleting
    - file is locked up - error while renaming (Access denied)
    C:\WINDOWS\system32\asr_06436.exe - probably a variant of
    Win32/Hatob.E worm- unable to clean - deleted
    C:\WINDOWS\system32\asr_47770.exe - probably a variant of
    Win32/Hatob.E worm- unable to clean - deleted
    C:\WINDOWS\system32\yt57.exe - a variant of
    Win32/AutoRun.IRCBot.FC worm- unable to clean - deleted
    C:\WINDOWS\system32\zfyspqu.dll - a variant of
    Win32/Conficker.AE worm- unable to clean - deleted

Disini terlihat bahwa file :

I:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
-a variant of Win32/AutoRun.IRCBot.FC worm - error while deleting
- file is locked up - error while renaming (Access denied)

Tidak bisa dihapus dan juga di rename ,  ini membuktikan file tersebut dilock oleh Virus.Perlu diketahui file Virus tersebut berada dalam flashdisk saya yang  terformat dengan format NTFS.Setelah saya rename folder S-1-5-21-2214276341-3544434524-6043330-4321 , baru anti Virus Avast saya bisa menghapus file update.exe

yang unik folder \RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321 bisa direname tapi tidak bisa dihapus…..🙂 kecuali pakai Sistem Operasi yang berbasis LINUX….🙂

Dan bila kita properties Folder tersebut maka akan terlihat seperti pada waktu kita mem-properties folder recycle Bin…
Dan untuk membersihkan secara tuntas… terutama Virus yang telah meng-infeksi file csrss.exe saya sarankan anda gunakan Kaspersky Virus Removal Tool

atau bisa coba download >disini<

Silakan install dan ikuti sesuai instruksi dan pilihan anda….🙂

Scan startup , memory dan kalau bisa ( agak lama menunggu.. :)  ) scan juga semua drive / partisi….

Nanti sistem akan restart dan system anda terbebas dari Virus yang telah meng-infeksi…. System komputer anda…

Perlu diperhatikan!!!

Ingatlah nama  file yang terhapus / dihapus oleh Anti Virus ( dengan cara mencatatnya ) , juga tempat folder file tersebut.

Ini digunakan bila sewaktu-waktu system Reboot /restart dan system operasi tidak bisa jalan….

Cara mengembalikan file yang sudah terhapus , gunakan Hiren Boot CD

Pilih Mini windows XP lalu kita kembalikan file yang terhapus dengan cara meng-copy file tersebut dari windows yang Normal dan masih bersih dari Virus atau  dari file yang terdapat di Folder “C:\WINDOWS\system32\dllcache” karena secara Default File backup terdapat difolder tersebut…. Good Luck…😀

Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Pos ini dipublikasikan di Virus dan tag , , , . Tandai permalink.

6 Balasan ke Worm Win32/AutoRun.IRCBot.FC

  1. the flex belt berkata:

    my God, i thought you were going to chip in with some decisive insght at the end there, not leave it with we leave it to you to decide.

  2. D'gallz berkata:

    Bagus, ada info2 yang berguna untuk membasmi virus2 nakal. Hehe
    Ada virus yg bagus pula.. Hehe

  3. ede berkata:

    mampir ya k site saya…

    ede

    http://wormarchive.com/

  4. Mpu-Elcom berkata:

    @ ede: Site-nya oke…🙂

  5. Orval Bendlage berkata:

    I’d come to give green light with you on this. Which is not something I usually do! I love reading a post that will make people think. Also, thanks for allowing me to comment!

  6. linkwheels berkata:

    I’d have to check with an individual here. Which isn’t something I do! I love reading a post that will make people think. As well, thanks for allowing me to comment!

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s