Selasa, 16 Mei 2006

Tendang Borax

Saya tidak sedang membicarakan borax pada makanan yang beberapa waktu yang lalu mencuat ke permukaan, namun saya sedang membicarakan tentang borax lain yang tidak menyerang makanan, tetapi tentang borax lain yang menyerang komputer sebagaimana yang telah saya ceritakan pada posting saya yang lalu . Virus ini memang cukup meresahkan, karena selalu membuat file exe baru setiap kita membuka folder.

Beruntunglah saya yang menuliskan persolalan ini di blog, karena seorang pengembara yang menamakan diri mas ad_hie, membantu saya yang tidak entos dengan masalah virus itu untuk memberantas borax. Sengaja email pengembara itu saya tampilkan disini dengan harapan bisa membantu orang lain yang bernasib sama dengan saya. Karena selama yang saya ketahui (sampai posting ini dipublish) belum ada antiviru yang bisa diandalkan untuk memberantasnya.

Berikut petikan email mas ad_hie :

Borax udah lama aku dapatin sampelnya, tapi baru akhir2 ini emailku sering mendapat threat menanyakan ttg borax dan cara menangulanginya...

Saya minta maaf ya atas keterlambatan saya membalas email anda trus juga tolong dipahami saya ini adalah pemula, sama seperti anda jadi kalo ada salah mohon dikoreksi...

Baik, berikut penjelasan dari saya

Dari sampel yang saya dapatkan, virus borax memiliki 3 induk
* lodctr32.exe [C:\Windows\lodctr32.exe],
* Dlhost.exe [C:\Documents and Settings\%users%\My Documents\Dlhost.exe],
* note.exe [C:\Windows\System32\note.exe]

Tambahan : pertama saya bingung, kenapa dia membuat induk bernama note.exe, ternyata dia mengubah shell notepat.exe menjadi note.exe di registry windows
artinya, tiap kali (selama file note.exe itu lon dihapus)kita membuka file
notepad atau .txt yang kita load adalah virus...
mungkin pembuat virus ini mengetahui bahwa selama ini salah satu cara kita
untuk memperbaiki string registry yang diubah virus ini adalah dengan
file repair.inf yang dibuat dengan notepad.exe

dia juga mengubah beberapa string shell dan mengubah dan atau menambah
registry windows

dari sampel yang saya miliki beberapa efek yang dihasilkannya antara lain :
- mematikan fungsi regedit, task manager,
- menghilankan dan mematikan fungsi run dan search
- mengubah properties system "registered to BoraX.BoraX.BoraX"

apa lagi ya... hmm.m... oh, dia juga memperbanyak jumlah dirinya di tiap folder KALO KITA MEMBUKA FOLDER MENGGUNAKAN WINDOWS EXPLORER SAAT KOMPUTER
KITA MASIH TERINFEKSI jadi kalo anda tidak membuka folder2 anda saat virus ini masih ada di komputer anda, pasti ini virus tidak akan ada di dalam setiap folder di
hardisk anda....

Virus ini berwujud hidden sayangnya, saya gak tau apa ini bug dari virusnya, dia tidak melakukan pengilangan menu "folder option" terakhir, pada sampel yang saya miliki, dia mencoba melakukan disable pada CMD, tapi fungsi cMD masih dapat daya akses...

Hal ini merupakan bonus bagi kita untuk mempermudah pembasmiannya...

So anda tinggal buka windows eksplorer, pilih tools-folder option pada tab view, cek "show hidden files and folders" juga hilangkan tanda cek pada "Hide protected operating system files"

Langkah pembasmian :

Selama virus ini masih aktif di memori, maka sulit bagi kita untuk mematikan virus ini untuk sampel yang saya miliki, virus ini jg tetap aktif di posisi safe mode.

So, gunakan tools kecil bernama Process Explorer untuk mematikan file induknya yaitu lodctr32.exe dan Dlhost.exe (gunakan kill process sampai tidak muncul lagi)

trus kalo dah mati di memori, bersihkan file induk di hardisk anda
* lodctr32.exe [C:\Windows\lodctr32.exe],
* Dlhost.exe [C:\Documents and Settings\%users%\My Documents\Dlhost.exe]
* C:\Folder Settings.exe
* C:\Documents and Settings\suport\Start Menu\Programs\Startup\startup.exe

Berikut ini saya sertakan file repair.inf sebagai attachment cara pakenya, download dulu trus klik kanan - instal.

Sampai tahap ini, anda telah mematikan virus di komputer anda dan memperbaiki efek yang ditimbulkannya. upssss...s.s tapi masih ada satu lagi yang harus dilakukan.

Seperti yang saya katakan diatas, ini virus menyempatkan diri membuat "anak perusahaan" di setiap folder yang kita buka pada saat komputer kita masih terinfeksi
kalo gak salah ukuran nya 84kb dan berwujud folder dan berisifat "hidden" tapi tergantung juga varian yang anda kena, karena ada juga varian yang menghasilkan "anak perusahan" dengan berukuran berbeda.

Gunakan saja fasilitas search untuk memudahkan anda....

Sebenarnya ada tools yang amat gampang yang bisa membantu anda membasmi
virus ini atau varian virus2 lokal lainnya saya lebih menggunakan the killer machine untuk membantu saya membersihkan komputer teman2 di kampus yang terifeksi virus lokal...
untuk cara pakenya, silahkan anda coba dulu, nanti saya bantu kalo emang tidak bisa... disni udah termasuk fasilitas pencarian anak virus ini...
(www.thekillermachine.isfun.net)

moga membantu
NB: mohon koreksi kalo ada kesalahan analisa saya...
maklum, masih pemula.....

ad_hie

\salam kenal juga ya....
kalo anda ingin mempelajari analisa pembersihan virus joba joint di [email protected] (banyak parapembuat antivirus dan sekalian para
pembuat virus yang dah tobat)

www.thekillermachine.isfun.net >>>> forum virus juga/

wassalamualaikum ww

9 komentar:

  1. Malam ini saya di tipu borax, saya sudah coba killer machine terdapat beberapa file yang mirip digunakan oleh Brontok jadi saya masih santai saja. begitu safe mode dan perubahan di regedit tidak membantu saya langsung panik. beruntung saya menemukan identitas virus saat saya buka control panel-> system ,terpampang indah nama BoRaX di dialog box general, dengan demikian saya bisa memfokuskan pemburuan...
    Sebagai masukan tambahan, simantex mengulas step penyebaran dan penanggulangan virus ini. Semoga rekan yang lain lebih beruntung dari saya

    BalasHapus
  2. boraxxx....boraxxxx,
    udah aku hjack...run hilang....
    dan folder di click selalu muncul bayangan 184kb !!
    virus apa lagi tuh....
    makasih...!!

    BalasHapus
  3. aku nemuin virus mirif borax tapi messagenta INFLUENZE.
    Dan folder di click selalu muncul bayangan 184kb --> mirip punya hendra.

    BalasHapus
  4. Kalo komp ga terhubung ma internet, bisa ya basmi borax...???

    BalasHapus
  5. klo mo hilangin virus lodctr32 gimana sih? aq dah coba ansatv+beta tapi boraxnya di file sistem blom ilang. aq dah coba anti virus lain seperti nod32, avg tapi masih blom ilang pliz tolongin karena sekarang komputr saya amat sangat lemot....

    BalasHapus
  6. udah pake AnVir. manjur
    tapi
    klo PC setiap kali start up muncul warning "lodctr32" not found by window

    BalasHapus
  7. tanya....

    udah pake AnVir "avast". manjur
    tapi
    klo PC setiap kali start up muncul warning "lodctr32" not found by window

    BalasHapus
  8. salam,
    notebook saya dengan os vista 32 home premium juga terkena lodctr32. saya sudah ikuti arahan di atas. 3 file sudah berhasil saya delete yi. dlhost, lodctr32 dan note. registry juga sudah saya betulkan dengan cara hapus semua variable lodctr32, dlhost dan note. juga seluruh variable 'borax' di registry sudah dihapus. permasalahannya adalah kenapa komputer saya terkadang waktu dihidupkan menampilkan opsi booting safe mode seolah tidak di-shutdown dengan normal? jika saya pilih safe mode maka lodctr32, dlhost dan note muncul kembali. regedit dan explorer.exe terblokir kembali. apakah berarti lodctr belum benar2 hilang? gimana juga cara menghapus folder2 hasil generate lodctr secara cepat mengingat banyak sekali folder tersebut. mohon pencerahannya mas.. matur nuwun

    BalasHapus

Artikel mungkin sudah tidak up to date, karena perkembangan jaman. Lihat tanggal posting sebelum berkomentar. Komentar pada artikel yg usianya diatas satu tahun tidak kami tanggapi lagi. Terimakasih :)