6.09.2008

Virus Sohanad / Trojan : Dloader.HDZD


Awal cerita(07 juli 2008) bagaimana bisa terkena Virus Sohanad ini adalah ketika mencolokkan laptop saya pada jaringan di jaringan Koz tercinta, GW23b. Seperti halnya virus lain, efek yang terlihat adalah di nonaktifkannya fungsi Windows seperti Task Manager, Registry Editor, Folder Options, System Configuration Utility / MSConfig, dan Command Prompt jika dijalankan. Sudah biasa laptop kena Virus, otomatis mengeluarkan senjata andalan dan mengeluarkan segenap kemampuan yang dimiliki, yaitu dengan men-Scan laptop dengan Antivirus. Yang saya heran ketika menggunakan Antivirus Lokal semisal ANSAV dan PCMAV 1.3 Update 3, Antivirus itu masih dapat dijalankan dengan kondisi sehat walafiat tanpa ada blok dan lain-lain. Sedikit heran memang. Dari kedua Antivirus tersebut mendapatkan hasil bahwa memang ada Virus yang menginfeksi Laptop saya. Pada ANSAV dan PCMAV hanya di deteksi sebagai Trojan. Sedangkan ketika saya masuk ke mode Safe Mode dari Windows dan menscan ulang Laptop dengan AVG 7.5 (not Free), di deteksi sebagai Trojan : Dloader.HDZD, tetapi dari semua scan yang saya lakukan tidak satu pun yang bisa meng Heal atau meng-Quarantine Virus tersebut.


Penasaran, saya browsing di Internet dan menuliskan keyword di mbah google dengan kalimat Trojan : Dloader.HDZD, dan saya menemukan artikel dari Vaksin.com. Ternyata varian Virus tersebut adalah Virus Sohanad salah satu Virus impor(bukan Virus Lokal) dari Negara tetangga yaitu Vietnam…wuik….Saya pelajari apa yang tertulis di Artikel tersebut. Oh ya…. Gejala yang tidak wajar yaitu ketika kita konek ke Internet dan memasang aplikasi Yahoo Messengers, maka Virus Sohanad akan berusaha melakukan sign In ke yahoo dengan Account kita. Dalam kasus ini saya sangat kaget karena tiba-tiba account saya langsung sign In ke yahoo ketika baru pertama kali terkoneksi ke Internet…Horor bukan??????? Saya mengira Virus ini Spyware yang berusaha mengirimkan semua Informasi dari Laptop saya ke si pembuat Spyware…wuih… serem….tapi tenang Virus ini bukan Spyware, dari artikel yang ditulis Vaksin.com saya mengetahui bahwa Virus Sohanad Sign In ke Yahoo Messengers hanya untuk menyebarkan diri atau kata lain menularkan dirinya ke orang lain. Adapun prosenya adalah dengan mengirim pesan secara otomatis ke semua alamat email yang ada pada Contact kita. Adapun isi pesan tersebut adalah link download file virus dengan bahasa Vietnam ke alamat http://nhatquanglan1.0catch.com (tapi tenang sudah non aktif kox..). Wuih keren………

Adapun cara saya Untuk menghilangkan Virus tersebut adalah (berdasar artikel di Vaksin.com) adalah…




Disini saya tidak menggunakan Tools sesuai dengan yang ada pada artikel di Vaksin.com. Tapi pad intinya hamper sama dengan yang ada pada artikel tersebut.

Pertama, seperti biasa masuk ke Windows pada Safe Mode.

Yang kedua, mematikan Proses Virus dengan menggunakan Process Explorer, adapun proses yang dimatikan adalah, C:\WINDOWS\system32\SSCVIIHOST.exe, C:\WINDOWS\SSCVIIHOST.exe (jika aktif), C:\WINDOWS\system32\blastclnnn.exe (jika aktif), New Folder.exe (jika aktif). Tidak hanya dengan Process Explorer aja, anda bisa menggunakan Killer Machine, CurrProcess, Itty Bitty Process Manager. Intinya Tools penganti Task Manager.Tapi terkadang ada salah satu Tools yang tidak bisa melakukan process kill terhadap process tersebut, jadi silahkan melakukan riset tersendiri…he..he…….

Yang ke tiga, mengambalikan registry sesuai semula. Dalam hal ini saya menggunakan Plugins yang di sediakan ANSAV yaitu Registry FX dengan memilih atau men-centang semua opsi yang ada. Hal ini bertujuan untuk mengembalikan fungsi dari windows yang di blok oleh Virus tersebut, seperti Task Manager, Registry Editor, Folder Options, System Configuration Utility / MSConfig, dan Command Prompt.

Registry FX ANSAV

Setelah selesai mengembalikan fungsi windows yang diblok oleh Virus, masuk ke Folder Option yang ada pada Explorer. Pada Tab View pilih Show hidden file and folders, kemudian hilangkan centang / check pada Hide extensions for known file types dan pada hide protected operating system files(recomended). Lihat Gambar

Folder OptionPHOTO_ID_5209903423168819762

Setelah itu hapus file-file berikut :

C:\WINDOWS\SSCVIIHOST.exe
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\blastclnnn.exe
C:\WINDOWS\system32\SSCVIIHOST.exe
\autorun.inf (pada usb/removable drive)
\New Folder.exe (pada usb/removable drive
)

Ok selamat mencoba…ini hanya salah satu tips dari saya ..apa bila ada kurang jelas anda bisa kunjungi alamat website berikut http://vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html atau klik di sini


Terima kasih Vaksin.com


kamar koz tercinta, 09 Juni 2008


1 komentar:

diorockout on Selasa, 10 Juni, 2008 mengatakan...

hmm, nama virusnya gak keren gitu..

Posting Komentar

Setelah Baca-baca, Silahkan tinggalkan komentar
Silahkan.......