Bah, antivirus nih lambat banget perkembangannya. Setelah kemarin diserangoleh igfxck32.exe, sekarang ganti wmpdtn32.exe yang ngendon di system32. Memang beberapa kali virus ini muncul sebelumnya, tapi setelah terganti dengan igfx, si wmp hilang lagi. Begitu igfx hilang, sekarang yang muncul wmp.
Setelah browsing kesana kemari, baru reportvirusnya muncul (tanggal 10 Oktober 2011, gak percaya, nih link laporannya ). Yaitu Bank Info Stealer. Jadi virus ini akan mencuri akun login kita. Untung juga, saya gak punya akunbank yang bisa login dari komputer.
Ciri-ciri
Gak ada ciri-ciri khusus kalau komputermu terkena virus ini, yang jelas kalau komputer startnya jadi lebih lambat dari biasanya, andapatut curiga. Terus ada file-file berikut ini di manapun di komputermu:
NETSH47.EX@
PICTURE38.JPG_WWW.FACEBOOK.COM
53946034.EX@
55940857.SVD
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GPA1AH4D\12[1].zip
c:/windows/system32/wmpdtn32.exe
file beratribut hidden, sehingga gak bisa dilihat dengan Explorer biasa. Saya melihatnya dengan menggunakan Total Commander.
Penanganan
Karena antivirus belum bisa detect, kali ini saya gunakan cara standar untuk menghapusnya:
Buka Start/Control Panel
Pilih Administrative Tools/Local Security Policy
Pilih Software Restriction Policies/Additional Rules
Klik kanan di jendela kanan di tempat yang kosong, muncul menu, pilih New Path Rule
Di kotak Path, tulis alamat file yang tidak boleh jalan, yaitu C:\WINDOWS\system32\wmpdtn32.exe
di kotak security Level, pilih Disallowed
Komentarnya, tulis komentar , misalkan “virus wmpdtn32.exe” seperti punya saya di gambar ini
Setelah itu restart komputer. Virus sudah tidak jalan. Sekarang tinggal membersihkan registry
di Start/Run
Ketik Regedit lalu tekan enter
Klik My Computer, lalu tekan CTRL+F
Tulis wmpdtn32.exe lalu tekan Enter
Cari wmpdtn32.exe di registri yang di dekatnya ada komentar kita seperti gambar dibawah ini. Kalau ketemu itu, lewati denganmenekan F3.
Kalau ketemu wmpdtn32.exe, tapi gak ada tulisan komentar kita di description, langsung hapus saja dengan menekan DELETE
Setelah selesai, keluar dari regedit
OK, sekarang wmpdtn32.exe sudah tidak jalan lagi (tapi belum mampus sampai ke akar-akarnya). Kalau perlu restart komputernya dan rasakan beda waktu restartnya, apakah lebih cepat atau lebih lambat.
catatan:
wmpdtn32.exe, sama seperti igfxck32.exe, sebenarnya nama yang betul adalah wmpd**32.exe, dimana tanda asterik merupakan huruf random.
Tidak ada komentar:
Posting Komentar