file yang berhasil saya dapat adalah:
KAMSOFT.EXE ada di c:/windows/system32/
autorun.inf ada di c:/
ncyrf.bat ada di setiap drive semisal c:/ d:/ e:/
isi dari autorun.inf adalah seperti berikut:
;jLKclaekAw70d42rHmqSedioln3Awqiksd2AJ4lo1L901aSL5pCr1aid75w9ikaK31jJ
[AutoRun]
;5JnkaAq4lkAk3d8jpfjlfCwako2jaaswoljK7e3KLe2sJeA4SOid920wi2lA1445Lk9swZ3JsKDK3sd5qKlArrfkKm
open=ncyrf.bat
;De5r2lD9aDsfk2Laiw1S
shell\open\Command=ncyrf.bat
;fdKw2a9Ai3di2ja4id2aoqLwklwods7Kk9jpwl3
shell\open\Default=1
;DKKi4CJqK4KAwi3XlfZ5aJ5kal4sa9kSdawpS2i2lwlkak3d49aaSJcsr0s4fA2a2wrjqJ205L2sD0o9w7s1dOwc7LLaZ1rwqsd115dlqpmorLDlikArek
shell\explore\Command=ncyrf.bat
;dA4lK1a2aiiwSS83ka1
virus yang berhasil saya simpan dan bekukan bisa di download disini mohon hati2 berbahaya, pastikan anda mencobanya melawannya di virtual komputer anda, sehingga jika anda belombisa menonaktifkan virus ini anda bisa restore ke os sebelumnya, file ini di beri password dan terenkrip.
anda bisa buka password dengan memasukan kata: bajingan
File: virus.tar.gz
DownloadLink: http://rapidshare.com/files/170682383/virus.tar.gz
TANDA-TANDA:
tanda2 setiap saat ada file bat di setiap drive, folder options tidak bisa di set ke show hidden files and folders. process kamsoft.exe ada di task manager. anti virus hanya bsia detect terus tapi tidak bisa menumpas tuntas. dam untuk kaspersky antivirus waktu itu dia tidak bisa di update otomatis atau via online hanya bisa di update manual dengan kita download 3 file updatenya.
cara membersihkan:
lumpuhkan atau matikan proses camsoft.exe lewat task manager atau pake
ProcessExplorerNt disana akan terlihat lebih jelas mana2 saja file2 milik microsoft dan bukan jika tidak yakin dengan program yang berjalan ada baiknya di kill.kecuali yang bener jelas keterngannya micorosft.
setelah itu pake dos promt delete autorun.inf di drive C:/ beserta ncyrf.bat di semua drive yang ada di computer. lalu cari file kamsoft.exe dan delete juga bisa memakai file search dengan opsi search hiden files and folders.
setelah dapat bsia di shift+del atau di rar dengan opsi di protect password dan di encrypt.
selanjutnya cek di autoexec.bat di C:/ jika ada autorun nya hapus isinya dan save supaya autoexec.bat tetep kosong.
jalankan regedit.exe dan msconfig.exe
pastikan autorun nya di delete untuk pemicu file ncyrf.bat dankamsoft.exe atau jika kurang yakin jika anda anggap hanya antivirus saja yang boleh di jalankan autorun maka yang lain di delete atau di disablekan tidak masalah.
setelah itu reboot untuk mencoba apakah masih ada autorun nya kalau masih ulangi petunjuk dari atas. sampe disini.
jika sudah karena antivirus tdak bisa update dan meskipun virus hilang tapi folder options tetep tidak bisa di rubah. maka caranya kita reinstall antivirus kaspersky kita setelah selesai restart danlakukan update otomatis. sampai disini akan jalan normal. setelah selesai update restart dan scan my computer. sampai selesai dan folder options bisa dirubah2 lagi settingsnya.
untuk pencegahan pastikan matikan autorun drive semisal cd atau flashdisk lewat regedit, atau mode cepatnya setiap memasukan cd dan atau flashdisk pastikan tekan selalu shift supaya autorun tidak muncul. untuk pencegahan selanjutnya jika ingin buka file semisal file world atau apa saja pastikan klik details supaya file infonya kelhatan semua. jadi tidak salah klik. karena kebanyakan virus adalah membuat seolah2 dia file asli sepertidocument.
bedakan antara dataku.doc <<< file asli
dan dataku.exe <<< file virus
kedua file itu sama2 kelihatan seperti file microsoft word. tapi setelah kita view details kelihatan jika salah satunya aplication. jika kurang yakin biarkan ter compres memakai rar(password+encrypt) atau biarkan langkah selanjutanya si antivirus bekerja.
pastikan antivirus berjalan dan setelah instalasi antivirus tadi dan update semua sudah kembali seperti semula normal.
artikel lain:
http://www.oral8.cn/viruscom/viruscom_33199.html
http://www.precisesecurity.com/blogs/2008/10/03/trojanfakealerth/
http://support.kaspersky.com/faq/?qid=208279394
special thanks to google.com kaspersky.com
Hi there,
searchin for it and found here 🙂
Thanks
Saurooon