Pertama ZUF bertemu Virus ini, sungguh sangat mengesalkan. Bayangkan aza setiap melakukan klik kanan di explorer, dia aktif, gila bener. Terpaksa di matiin lagi prosesnya dengan Task Manager. Process nya sudah mati, namun saat masuk aplikasi lain, eh dia aktfi lagi, asem lagi dah. Tapi, dari sekian banyaknya aplikasi yang d dompleng nya ada beberapa senjata perlawanan yang tidak ikut menggendong Backdor ini, yaitu :
1. Notepad
2. Command Prompt
3. Task Manager
4. Aplikasi-aplikasi Portable
Dengan susah payah, sambil smsan dengan temen Maen LUNA (Liana) + sakid kepala dan mau muntah akhirnya ZUF menemukan solusi untuk mengekang VIRUS ini J. Konsep yang akan kita gunakan adalah Konsep yang sama seperti VIRUS itu lakukan, yaitu “Ngojek” ke aplikasi lain buat meneruskan idupnya.
Syarat-syarat sebelum Mulai :
1. JANGAN PERNAH KLIK KANAN (HARUS)
Apabila mau UNRAR aplikasi yang ingin di pakai lakukan sebelum menghentikan Process VIRUS.
2. Task Manager (Bawaan Windows)
3. Command Prompt (RUN => CMD)
Atas saran teman2 celestia LUNA yang tergabung dalam Grup Facebook Luna Imutz, ZUF mencoba menggunakan The Killer Machine. TKM adalah Software antivirus Portable buatan dalam negeri dengan nama Author JEMIX yang bisa ditemui di www.thekillermachine.isfun.net, ZUF menggunakan yang versi 4 nya. TKM ini mungkin menggunakan pemindai CRC32 atau pemindai lainnya untuk mencari kesamaan antara file 1 dengan file lainnya, jadi kita perlu menunjukkan File mana yang kita anggap VIRUS dan dia akan mencari nya berdasarkan ciri-ciri yang sama baik di process ataupun di harddisk, jadi ini adalah Anti Virus tanpa Database.
Sebenarnya TKM ini ga begitu diperlukan, ZUF Cuma membahas secara detail apa yang ZUF lakukan. Pertama ZUF menggunakan TKM hamper beratus2 kali. Tapi pas PC restart Balik lagi om Backdoornya.
Jadi, ZUF makin ga percaya ama yang namanya AnVir. Temen Luna lainnya (Jeffry pemilik www.Rebeldownloader.blogspot.com), punya saran pake Kaspersky, memang yang mendeteksi Varian Backdoor ini pun memang Kaspersky Online Scanner, tapi pas liad Gede File Download Kaspersky 2011 nya, saya urungkan niat buat make itu AnVir (Gile Bro 100MB ++, bisa busuk Duluan PC q nungguin downloadnya). Jadi, dengan tekad tulus, habis mandi d temenin sms + sakid kepala dan mau muntah ZUF memulai aksi balas dendam (Counter Attack). J
Pertama ZUF menggunakan TKM untuk mendeteksi File mana saja yang ciri-cirinya sama, karena ZUF sudah mempunyai LUNAClientmgr.exe maka ZUF make itu VIRUS buat ngedetek temen2nya. (KALO GA MAU SUSAH LANGSUNG AJA BACA KE BAWAH “Counter Attack Dimulai”)
File LUNAClientmgr.exe yang telah di jinakkan
Extrack TKM nya lalu ubah nama File TKM menjadi seperti dibawah ini, INGAT JANGAN MENGGUNAKAN KLIK KANAN, UNTUK RENAME nya KLIK 2x DENGAN ADA DELAY(KLIK NYA AGAK LAMBAT).
TKM
Dan Hasilnya adalah :
C:\Program Files\Analog Devices\SoundMAX\Smax4mgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNPmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgrmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgrmgrmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgrmgrmgrmgrmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgrmgrmgrmgrmgrmgrmgr.exe
C:\Program Files\Microsoft\WaterMark.exe
C:\Program Files\VIA\RAID\raid_toolmgr.exe
C:\WINDOWS\system32\wbem\wmiprvsemgr.exe
C:\WINDOWS\Temp\Microsoft\WaterMark.exe
C:\WINDOWS\Explorermgr.exe
D:\Flock\FLOCKmgr.exe
Jadi, dengan melihat hasil itu dapat dikatakan bahwa nih VIRUS “ngojek” aplikasi dengan menambahkan dirinya sesuai dengan nama “tukang ojek” ditambah “mgr”.
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgr.exe
C:\Program Files\Jojos Fashion Show\JojosFashionShowmgrmgr.exe
Dari semua data itu yang paling ZUF curigain adalah C:\Program Files\Microsoft\WaterMark.exe, karena selain namanya sama di Process File ini adalah Root dari SVCHOST.exe yang di eksekusi oleh USER.
Watermark ini dibuat oleh Whole Tomato Software, Inc. dengan deskripsi Visual Assist X, File yang aneh J. Sampai sekarang ZUF tidak tau mana root dari VIRUS ini, yang pasti WaterMark.exe adalah STARTER nya.
COUNTER ATTACK DIMULAI
COUNTER ATTACK DIMULAI
Aktifkan Aplikasi-aplikasi yang diperlukan :
Command Prompt
Start => RUN => ketik CMD lalu Enter/OK
Task Manager
Klik Kanan Taskbar => Task Manager (Virus gak aktif kalo cara ini) kalo Task Managernya gak aktif aktifkan dulu pake Warnet Administrator dari ZUFolder J
Matikan Process WaterMark di Task Manager, kalau tidak ada cari 2 Process SVCHOST.exe yang run atas nama USER* (*Nama PC mu selain SYSTEM, NETWORK SERVICE, dan LOCAL SERVICE)
=== INGAT MASIH TETAP TIDAK BOLEH MENGGUNAKAN KLIK KANAN ===
Masuk ke CMD yang tadi telah dibuka
Command Prompt
Ketik Perintah [ cd .. ] tanpa tanda kurung sampai Drive menjadi C:\,
Ketik Perintah [ del *.mgr.exe /a /s ] tanpa tanda kurung untuk menghapus seluruh File yang “ngojek” di aplikasi kita. INGAT Task Manager harus dalam keadaan aktif, JANGAN DIMATIIN ntar Task Managernya Ikutan terhapus.
Ketik Perintah [ del Watermark.exe /a /s ] tanpa tanda kurung untuk menghapus starter VIRUS ini
Lalu ketik Perintah [ cd Progra~1 ] tanpa tanda kutip untuk masuk ke Folder Program Files
Ketik Perintah [ cd Microsoft ] untuk masuk ke folder tempat Watermark.exe
Pastikan Watermark tidak ada lagi dengan mengetik [ dir /a ], lalu buat folder dengan nama WaterMark.exe dengan Perintah [ md WaterMark.exe ].
Masuk ke Direktori Watermark yang telah dibuat tadi dengan perintah [ cd WaterMark.exe ], lalu buat Folder con ( Folder yang tidak dapat dihapus ) dengan Perintah [ md con\\ ]. Pastikan Keberadaan Folder con dengan mengetikkan pernitah [ dir /a ]
Perintah
Hasil
Dengan begitu, VIRUS ini tidak akan berjalan lagi, karena WaterMark yang merupakan Starter nya sudah d dompleng oleh Folder itu ( INGAT Folder con merupakan Folder Terlarang yang tidak dapat dihapus secara biasa).
!!PERINGATAN TASK MANAGER HARUS DALAM KEADAAN AKTIF APABILA TIDAK INGIN TASK MANAGER ANDA HILANG!!