Menyembuhkan Halaman Web yang Terinjeksi HTML/Drop.Agent.AB


Saat kita browsing internet dan menemukan halaman web yang bermanfaat, apa reaksi pertama Anda? Bagi yang memiliki koneksi internet di PC rumah atau lap top mungkin akan membookmark halaman tersebut. Bagi yang terhubung dengan internet di warnet? YA! Mengcopy isi halaman tersebut adalah hal pertama yang terpikir. Ada juga yang bereaksi dengan menyimpan secara utuh seluruh halaman web tersebut.

Tahukah Anda bahwa dengan menyimpan halaman web secara utuh dalam format HTML berpotensi menyebarkan VIRUS komputer? Benar sekali. Banyak virus komputer yang menyebar lewat injeksi ke script HTML sebuah halaman web. Salah satu virus komputer yang populer adalah HTML/Drop.Agent.AB.

Virus ini menanamkan sederet kode (VB Script biasa disebut dengan VBS DROPPER) ke dalam kode HTML yang sudah ada. Kode tersebut memerintahkan halaman web yang kita simpan untuk membuat file SVCHOST.EXE palsu di folder temporer. Setelah file system palsu tersebut dibuat, kode lanjutannya akan memerintahkan untuk menjalankan file tersebut.

Sudah banyak antivirus terkenal yang bisa mendeteksi keberadaan virus yang ditemukan pada paruh ketiga bulan november 2010. Virus ini pun mempunyai nama lain yang diberikan oleh beberapa antivirus:

• Symantec: W32.Ramnit!html
• Microsoft: VBS/Ramnit.B
• Eset: Win32/Ramnit.A virus

Bagi pengguna pelanggan warnet seperti saya kemampuan antivirus yang ada untuk mendeteksi virus ini bukan sebuah jawaban. Hal tersebut dikarenakan antivirus yang ada menghapus keseluruhan file. Tentu bila file tersebut sangat berharga dan sulit untuk mencarinya kembali hal ini akan sangat menyulitkan.

Karena itu saya ingin berbagi cara untuk menyembuhkan halaman yang sakit tersebut secara manual.

      * Buka File yang terinfeksi tersebut dengan teks editor semacam NOTEPAD atau html editor seperti Dreamweaver.
      * Di akhir tag HTML cari

<SCRIPT Language = VBScript DropFileName = "svchost.exe" ........

      * Hapus kode tersebut sampai dengan tag

WSHshell.Run DropPath, 0//-- /SCRIPT

      hapus juga kode selanjutnya sampai

òµ ¹ gLr4ñM]¬µ òµ -->


UPDATE :

Di bagian comment sebenarnya sudah saya postkan cara yang lebih mudah menggunakan VBS Dropper Remover buatan Jing Ge. Namun biar lebih jelasnya saya kasih preview dan cara penggunaannya.

Jalankan file VBSDropperRemover.jar. Karena aplikasi ini berbasis java maka untuk menjalankannya diperlukan Java Runtime Environment (JRE). Donwload di sini Java Runtime Environment

Klik Choose Root Directory

Pilih lokasi tempat file-file HTML berada. Di sini saya contohkan folder C:\Documents and Settings. Klik Open.

Setelah itu Klik START.

Setelah selesai akan ada penjelasan ada berapa file terinfeksi yang sudah dibersihkan.
di preview komputer saya bersih makanya ada keterangan not infected

Aplikasinya bisa di download di sini VBS DROPPER REMOVER

semoga bermanfaat bagi semua.

53 thoughts on “Menyembuhkan Halaman Web yang Terinjeksi HTML/Drop.Agent.AB”

  1. ijin, ane coba dulu gan solusinya, soalnya ane juga belum paham dengan apa yang terjadi dengan pc ane.. kronologinya hampir sama kayak comeng2 di atas sih.. tpi blm paham kyak yang mana kasusnya..
    kalo saya abis save page halaman2 web, download complete, file lengkap html penggabung masih ada.. selang beberapa hari saya buka drivenya lagi ehh tinggal folder pendukung aja sisanya, htlm penggabung ilang gatau kemana gatau kenapa, di pc saya blm ada antivirus nya, ada Windows Defender bawaan W7 64bit..
    dan gak nemu keanehan tiap kali scan full drive pake W.Dfender itu..
    sayang sekali history browser saya sering dibersihkan jadi kelupaan browsing ke sebelah mana pas save webpage complete itu dari internet sebelah mana hahaha…
    padahal save pagenya perlu di bukanya pas udah lama gak keinget pingin buat arsip2 tutorial gitu.. ehhh buyar deh jadinya gara2 gatau kenepa ini virus apaan hheheh
    thanks gan bacaannya menarik untuk di baca sampai tuntas.. salut dan iri gua, blm bisa nulis sampe bner2 bermanfaat

  2. masih aktifkah thread ini?
    software ini bisa berfungsi untuk clean file html dari hardisk komputer.. tapi kalo buat clean dari hdd eksternal kok gak bisa ya?? adakah cara lain? pleasse help ada begitu banyak file html di hdd eksternal ane

  3. mas stiap aku scan laptop make avira slalu macet di 69% gimana nih mas? laptop saya kena drop agent juga.. pusing bersihin a

  4. gan mau tanya nih, ane kan waktu itu nyolok hard disk di warnet buat dengerin lagu

    trus pas dibawa pulang trus dicolok ke laptop eh tau taunya virus html/drop.agentAB semua
    nah ane scan deh tuh pake avira, trus kan udah ane delet, eh besokannya ane scan lg ada lg virusnya
    itu gimana ya gan caranya biar virusnya bisa ilang ? tolong bantu ya gan😦

    kirim ke email aku ya: marzukitri@yahoo.com

  5. terima kasih mas sudah saya coba removernya.
    Tapi anehnya kok kalau di drive D atau E (kebetulan hd saya partisi 3) kok nggak mau jalan yah?! kalau di C mau jalan.
    Trus di C misalnya ada file html yg aslinya berukuran kecil kalau kemasukan vbscript itu jadi sekitar 200an kb. Nah setelah di remove pakai VBS remover tuh meskipun sudah dinyatakan clean tapi ternyata saya buka pakai notepad masih ada tuh scriptnya utuh di situ dan file sizenya masih tetep di 200an kb

    knapa yah?

    thanks!

    1. sama2 mas…
      kok gitu ya… di komputer saya bisa tuh…. kalau setelah di clean filenya keinjeksi lagi ada kemungkinan virusnya masih jalan di komputer….

  6. mkasih mas sopwernya,, awalnya aq ngilanginya pake cara manual…untung ajja nemu sopwer ini… coba klu g nemu wah bisa ngedit ulang ribuan script html nuw.

  7. thanks bgt gan.. ini yang saya cari seharian tadi,,
    soalnya hasil kerja saya selama setahun ini habis gara2 ni virus,,
    saya tadi udah nyoba hapus manual script VBscript nya.. tapi kok balik lagi ya gan? minta pencerahannya donk gan.. apakah ada akar virusnya yang masih jalan dan nyebab’in file html terjangkit lagi setelah dibersihin..

    1. owh itu berarti masih ada file virus nya yang masih jalan

      check di c:\ program files\microsoft ada gak file bernama watermark.exe
      terus scan registrynya ada ga yang error,

      kalau mau enak, scannya pake antivirus yang bisa dijalanin via booting, seperti Dr web lice cd, atau KAV rescue disc dsb.

      bersihkan temp file. soalnya virusnya membuat file svchost.exe yang berjalan di system yang dicopy di temporary folder.

  8. Gan, kmrn kan gw ke warnet, trus file2 gw hsil save as halaman web ke scan pke kaspersky tuh wrnet, nah file2 html gw pda hlang smua tp folder file pndukung html msh ad ky jpeg ma extensi laennya. Yg gw tnyain gmn cra nyari hlaman web td y gan (bs ga nyri brdsrkan file dfolder td), cz kompinya pke deepfreeze jd quarintineny hlg. Tlg jwbnny gan, ato email gw guest_myangel@yahoo.com

    1. Maaf banget nih gan, kalau masuk quarantine, dan Quarantine di komputer yang ada deepfreeze, file agan dianggep tidak pernah ada gan. jadi pake software recovery juga percuma (sepengetahuan ane gan sebagai orang awam)

      File pendukung itu tetep tidak terlalu berpengaruh soalnya yang lebih penting adalah file HTMLnya yang merupakan penggabung dari file2 pendukung tersebut.

      Mending OL lagi dan cari algi artikel tersebut gan.
      saya cuma bisa nyaranin itu.

    1. Kalau saya sarankan adalah antivirus yang menyediakan fasilitas WEB protection, Online Scanning, email protection, parental control, dan juga firewall.
      Dalam hal Ini BITDefender dan KASPERSKY menduduki peringkat teratas. Reviewnya

  9. kenapa ya anti virus norton bawa’an windows server saya tidak bisa dibuka,,padahal mau saya update,,,mohon bantuannya gan,,,,

  10. kok di kantor saya virus html lebih cenderung nyerang ke mozilla firefox yach,,,sampai2 mozilla firefox saya tidak bisa digunakan,,tpi menggunakan yg laen sperti IE & google chrome msih bsa,,,
    gmna dunk solusi nya bos,,,,,mkasih

    1. kalau sepengetahuan saya virus HTML drop agent ab ini hanya menyerang file yang berekstensi HTML. Seharusnya tidak menyerang file systemnya Firefox sehingga menyebabkan crash.

      Kemungkinan yang menyerang adalah virus lain yang terbawa atau diinjectkan bersama virus ini ( misal W32.Ramnit.C )
      kalau saran saya, scan full system dan drive komputernya. jangan lupa juga biasakan melihat file hasil scanning virus agar kita terbiasa meneliti file apa yang biasa kena. sesudah bersih, repair aja instalasi dari Firefox nya.

  11. mas saya udah download VBS dropper remover. trus pas dijalanin ga bisa dibuka filenya. trus gmn ya?

    1. programnya berbasis java mas, jadi perlu Java Runtime untuk menjalankannya. silahkan download dulu Java Runtime dari web resmi nya di sini

      setelah javanya di install, jalankan kembali file JAR nya.
      good luck.

  12. gan! ane kan ada software yang softwarenya itu punya file *.htm banyakbanget sekitar 100-an dan file tersebut terinveksi HTML/Drop.Agent.AB trus gmn tuh gan? kan klo di hapus file tersebut otomatis softwarenya ga bisa di install!
    tengs sebelumnya gan!!
    olis bales ke email ane gan!!
    kaosada@hotmail.com

    1. di comment pertama sebenarnya sudah saya kasih link softwarenya gan…. tinggal diunduh… ^^
      tapi saya sudah reply ke email ente gan… biar jelas ke baca nya

  13. Wah, terima kasih bro tipsnya. Tapi kalau file html nya jumlahnya ratusan/ribuan apa harus edit satu demi satu? Aku punya ribuan file html dan ludes terkena virus ini. Semoga yang bikin virus sadar.

      1. MANTAPPPP!!!.. thx a lot..
        Makasih mas eru.. Aplikasinya sangat membantu sekali..
        Semoga selalu diberi kemudahan dan kelancaran..

    1. saya jg bingung. kalo file HTML nya udh hilang, masih bisa di kembalikan ga ?
      folder2 yg ada di file html nya masih ada.

      soalnya penting bgt artikelnya.
      thanks

      1. kalau kamu make antivirus seperti avira, kaspersky, avast, avg yang option utamanya ada Quarantine nya coba check di daftar Quarantine dulu. terus dibalikin. setelah itu bisa di clean make VBS Dropper remover yang sudah aku uploadin…

Share your story with us

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s