Redbastard
New member
MENGENAL VIRUS DEADLOCK
Virus Deadlock adalah virus lokal terbaru yang sangat berbahaya. Virus ini mampu menghapus semua file data anda yang tersimpan di semua drive termasuk menghapus program dan system windows.
Virus Deadlock akan menghancurkan data dan system komputer anda pada waktu yang sudah ditentukan setiap tanggal 12 - 13 antara jam 08:00 - 09:00 setiap bulannya dengan cara menghapus semua file system windows dan data anda yang ada di semua media drive komputer dan flash disk anda dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q sehingga komputer anda akan muncul pesan eror pada saat di restart.
Ciri-cirinya bila komputer anda terinfeksi virus ini adalah:
1. Akan muncul gambar seperti dibawah ini
2. Virus ini membawa pesan yang berbunyi:
Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan ? Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat ? SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera
Atas Nama Bangsa Indonesia
Pangeran DEADLOCK
I?m Everyone, but NoOne
I?m Everything, but NoThing
I?m Everywhere, but NoWhere
3. Jika virus ini aktip maka akan membuat beberapa file yang akan aktip ketika komputer dinyalakan.
Anda bisa cek di C:\Windows\system32\apache.exe dan C:\Windows\system32\mysql.exe
Yang saya beri warna biru yaitu apache.exe dan mysql.exe itu adalah virus yang disamarkan dan bukan program apache ataupun mysql. Tujuan nya virus ini membuat file apache.exe dan mysql yaitu untuk mengelabui anda bahwa ini bukan virus melainkan program apache.exe dan mysql.
4. Agar file tersebut diatas dapat berjalan otomatis saat komputer di hidupkan maka virus ini akan membuat beberapa string pada registry yaitu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mysql = C:\Windows\system32\mysql.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
apache = C:\Windows\system32\apache.exe
Coba anda cek registry di komputer anda dengan cara klik start ► Run ► lalu ketikkan regedit ► Ok
5. Flasdisk merupakan media penyebar virus. Pada flash disk virus Deadlock ini akan membuat beberapa file yaitu:
-Desktop.ini
-Folder.htt
-Flashguard.exe
Diatas tadi adalah ciri-ciri komputer dan flash disk anda terinfeksi virus Deadlock.
Dari hasil pengetesan di Lab Vaksincom virus Deadlock ini mampu terdeteksi oleh Norman Endpoint Protection sebagai Tibs.DKKR sedangkan mayoritas antivirus buatan lokal dan mancanegara lainnya belum mampu mendeteksi virus Deadlock ini.
Virus Deadlock terbilang ganas. Jika komputer sudah terinfeksi, siap-siap saja pada tanggal 12 dan 13 semua data-data Anda akan dihancurkan, baik di hardisk, Flashdisk dan O/S Windows sehingga menampilkan pesan NTLDR is Missing.
Namun jika sudah menjadi korban Deadlock, jangan sekali-kali menginstal ulang OS Anda ke hardisk yang mengandung data yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.
Sebab, jika Anda menginstal ulang OS ke hardisk yang mengandung data yang ingin direcover, kemungkinan keberhasilan recovery akan sangat rendah.
Namun virus ini juga bisa ditangani dengan cara manual. Berikut 6 langkah singkatnya yang diramu Vaksincom:
1. Disable [System Restore] selama proses pembersihan.
Klik kanan My Komputer > Pilih Properties > Pilih System Restore > Lalu checklist pada Turn Off System Restore on All Drives
Image
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti ‘Process Explorer’,kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe.
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat dieksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008.
Caranya:
* Start — Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
* Setelah muncul layar Local Security Settings, klik kanan pada menu
Software Restriction Policies lalu klik Create New Policies
* Pada menu Software Restriction Policies, klik Additional Rules
* Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan
akan muncul layar New Hash Rule
* Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] dan klik tombol [Open]
* Pada kolom Security level pilih [Disallowed]
* Pada kolom description boleh di isi atau dikosongkan saja
* Klik tombol [Apply] dan [Ok]
Catatan: Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:
-. Klik kanan file repair.inf
-. Klik [Install]
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
5. Hapus file induk virus yang ada di direktori
* C:\Windows\system32\apache.exe
* C:\Windows\system32\mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut disini
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya lakukan install ulang.
Sementara untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
semoga info ini bermanfaat [<
[<Sumber :ilmu komputer, akhdian.net
