Gara-gara virus w32.ramnit.c


Setelah “ngonggrok” berminggu-minggu sejak ku tinggal ke Bandung Januari lalu, akhirnya ku perbaiki juga itu komputer. Awalnya dah pernah dicek sehari setelah balik ke Jogja, tapi cuman sekilas aja.

Kamis kemarin akhirnya ku bongkar-bongkar dan menemukan problem utamanya adalah sudah terlalu banyak file yang terinfeksi W32.Ramnit.C. Yang lebih menjengkelkan virus ini juga membawa anak yaitu HTML/Drop.Agent.AB juga virus shortcut di USB.

w32.Ramnit.C menginfeksi file-file yang berekstensi *.exe jadi hampir semua program *.exe rusak (seperti varian w32.sality). Juga menjalankan proses SVChost.exe palsu yang dieksekusi oleh HTML/Drop.Agent.AB yang akhirnya mengaktifkan watermark.exe palsu di folder C:\Program Files\microsoft\ yang akhirnya virus short cut juga berjalan.

HTML/Drop.Agent.AB sendiri menginfeksi file-file berformat HTML dengan menuliskan program VB di akhir skrip. Skrip ini akan membuat svchost.exe palsu di folder C:\Documents and Settings\*user*\Local Settings\Temp. yang merupakan cikal bakal rangkaian virus yang ada.

File Svchost.exe palsu ini akan sangat kelihatan ketika kita membuka taskmanager karena dia akan berjalan di User bukan di System atau pun local network. EIts!! coba saja kamu hapus proses tersebut, maka kamu akan mendapatkan proses baru yang berjalan dengan nama NET.de dan Net1.de yang bertambah dengan semakin banyaknya svchost.exe yang dihapus.

Saya coba pasang antivirus (AVIRA Premium Suit) eh malah hancur semua program yang ada. Searching di web pun belum ada cara yang jitu menghilangkan Virus Chain Reaction ini. Akhirnya langkah ekstrim pun saya lakukan. INSTALL ULANG WINDOWS.

Ya Install ulang windows adalah pilihan terakhir. Karena sudah pusing mencari cara melenyapkan virus ini. Daripada komputer tidak bisa dipakai. Setelah Install ulang dan pasang antivirus lagi, diupdate dan di full scan, beres dah nih kompi. hanya muncul satu masalah lagi, ternyata Driver WIreless nya kurang!! Sementara ga bisa ngenet dengan komputer itu dulu.

37 thoughts on “Gara-gara virus w32.ramnit.c”

  1. varian sality gampang hilanginya tanpa format semua drive (kalau misal format misal c saja ada kemungkinan kena dari drive lainnya), cuma nemu satu antivirus ini yang mampu namanya avast, instal aja seperti biasa, habis itu scan under windows mode boot ada pilihan di avast (cuma avast antivirus yang ada scan under windows ini), biasanya efek kalau parah windows akhirnya corupt, tapi setelah format windows atau repair udah normal lagi, kalau file asli terhiden oleh virus make aplikasi lain lagi namanya ansav, ada fitur hiden refealer, pengalaman ngurusin sality yang bandel dulunya,,,, hihiii,,,,,,,,,,,,,,,,,

  2. leptopku jugak , gak tau virusnya apa , haha
    tapi kalo di scan pake avira jadi kaya shortcut n msti kalo dibuka malah gak bisa.. program2 aplikasi juga gak bisa kebukak, apa install ulang jalan satu2nya ya ?
    mau tanya juga, OS yang bagus itu apa y ? kan kalau sekarang banyak yang gak geniune😦

    1. sebaiknya diinstall ulang saja karena sepertinya sudah sangat luas penyebarannya.
      OS yang bagus itu tergantung laptopnya juga. Kompatible atau tidak. WIndows 7 saat ini pilihan yang baik kalau menggunakan windows. Win XP tahun depan sudah tidak di support. Sedangkan windows 8 kadang masih sering kena bug. Kalau mau yang genuine ya beli dari agennya ^_^

    1. kalau sekarang sih udah ga perlu deh install ulang…. pake DR.WEB live CD sudah mumpuni (scanning sebelum windowsnya booting)

      pi kalau pengen bersih ya INUL… dengan segala resikonya ^_^

  3. mas mau tanya nih.. kalo harddisknya di format itu virusnya ilang gag ya..??? soalnya rencananya mau install ulang.. tapi takutnya virus yg hilang cuman di C doank.. mohon pencerahannya donk mas.. ane pusing mikirin kompi ane.. banyak virusnya.. sama 1 lagi yg paling bikin pusing ane.. PF usage kompi ane trus nambah padahal kagak ngapa-ngapain, kagak mbukak progam apapun.. malah nambah2 sendiri.. kagak bisa berhenti lagi.. setelah anelihat di task manager ternyata svchost.exe yg membebani PF Usagenya.. tapi ni svchost.exe tidak dijalankan oleh user melainkan system, local service, dan network service.. di Terminate ehh… malah shutdown otomatis.. mohon pencerahannya donk mas.. apakah normal PF usage dan svchost.exe di kompi ane??

    1. Hardisk di full format kan semua datanya ilang = virus juga ilang. Tapi kalau cuma di drive aja masih ada kemungkinan balik. asal habis instal ulang langsung di scan full make antivirus masih bisa tertangani kok.

      Kalau SVCHOST.exe yang dijalankan oleh system yang di kill ya jelas aja langsung shutdown. soalnya proses itu penting bagi windows. PF yang di atas normal bisa jadi karena virus atau ada program-program yang berjalan di bawah tanah. coba di full scan dulu.

  4. Biasanya scan harus masuk di safe mode gan…yg menggunakan KIS harus update dulu antivirnya…kemudian restart tekan f8 kemudian scan pada posisi safe mode. mudahan membantu

    1. memang lebih aman kalau dari safe mode gan… plus matiin dulu system restore…
      tapi kalau punya sih bisa make yang live CD juga sih gan

      thanks infonya

  5. Virus gila gan. Ribuan karya html, php ane rusak gara2 ramnit. Blm termasuk ratusan giga program di hd. 5x install ulang msh saja nongol lg. Stress ane dbikin.
    Install ulang c pertama sukses, pasang antivir lokal hasil bersih. Watermarkx jg ilang. Ane kira aman. Trus konek internet. Eh dateng virus lainx lg. Download sendiri dia. Virut.Gen semacamx. Ditambah ratusan trojan.
    Instal 2 lg drive c. Pasang avira. Trus reboot eh gk bsa login.
    Instal 3, 4, 5, plus berbagai macam antivir hasilx balik lg. Terpaksa dh, babat abis smua drivex c, d, e, f, g, h, i, j, k. Format, inul lg dr awal.

    1. kalau file HTML masih bisa diperbaikin make Vgen dropper remover yang pernah ane uploadin gan. coba chek di https://eruvierda.wordpress.com/2011/02/01/menyembuhkan-halaman-web-yang-terinjeksi-htmldrop-agent-ab/

      kalau yang exe emang udah habis tuh riwayatnya ke inject. tapi ternyata ga semua exe diinject. ada beberapa file exe saya yang selamat tuh gan..

      ane cukup install ulang sekali aja udah bersih tuh gan.yang penting habis install, pasang antivir yang bagus (KIS,AVIRA,AVAST,NOD32 dll) langsung update.

      tapi emang kudu sabar sih gan vs virus ini

      1. lah gmn mw update driver q di dlm laptop and semuanya kena virus e…
        cd nya uda pecah,😥
        uda puluhan kali install ulang tetep aja kambuh gan sedih bgt ane… :'((

        1. Pinjem CD Windows + Driver Laptop + program antivirus yang baru beserta updatenya di rentalan atau temen agan . kalau untuk Drivernya kan bisa download dari web produsen laptopnya.
          jangan install program apapun dari lapton agan sebelum laptopnya discan full system dan semua partisi yang ada.
          semoga membantu gan. soalny saya jalanin prosedur di atas hanya perlu 1 kali install ulang beres gan.

  6. Petunjuk adanya virus ini:
    Awalnya,lptop gw tiba2 ada program aneh yg namanya sama kyak games tapi ekstensinya .mgr,Contoh nama gmesnya BurnOut,lha didalam folder itu,tiba2 ada BurnOut launcher.mgr, pas kujalanin program ni,ternyata ini virus dan bagaikan meletus dan nyebar ke drive yg ada….iya virus ni bener-bener Bajingan…..games ama program penting gua kena semua :’-( ….sialan banget….satu-satunya cara memang hanyalah instal ulang…..

    1. rata2 kalau di tempat teman-teman ku nih gan nyebarnya melalui flashdisk dan autorun kompinya ga dimatiin. bodohnya lagi, pada ga install antivirus atau install tapi ga pernah diupdate. jadi begitu kecolok flash terinfeksi, ya udah langsung nyebar semua.

      ane malah ga pernah nemu file .mgr nya itu gan… ane ngara anehnya pas buka task manager kok di user process ada svchost yang jalan. padahal itu file system. lalu pas mau edit file html di paling bawah kok ada script mencurigakan… baru deh ane yakin kalau kena virus nih kompi…

      untuknya file2 master program selalu ane compress ke rar gan jadi rata2 aman. paling cuman 1 atau 2 yang tidak…

  7. kompi q jg kna gan,,,
    uda tak insstal ulang jg..
    tp kog msh balik lg y viruse…
    biar bner” ilang gmna y..

  8. Bismillah
    Terima kasih atas saran virus32.ramnit.c nya komputer kami juga kena peristiwa yang sama dengan sampeyan terinfeksi dan dibersihkan avira premium, jadinya….

    Kami menemukannya dengan HijackThis, bagian F2 – REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe, jika dicari di regedit akan ketemu, tapi tidak bisa dihapus stringnya. Terpaksa kami hapus file watermark.exe secara paksa dengan killbox. alhamdulillah berhasil. Setelah itu si Avira tidak tit..tit..terus kalau usb masuk dan muncul muncul file2 shotcut dan folder recyele yang berisi virus2 di usb. Kalau perlu di Combofix untuk perbaiki registri

    Sory ada saran soal jadwal shalatnya myquran kayaknya keliru harap diganti, atau diperbaiki, masak ashar di jogja 14:05🙂 dan kalau ketemu tool untuk memperbaiki file yang terinfeksi si ramnit kami tunggu kabarnya….

    1. Sama-sama. sudah sepatutnya kita berbagi kalau mendapat sedikit maupun banyak ilmu.
      Ada cara baru sih sebenernya yang tidak ribet. yaitu make Dr. Web Live CD seperti yang di jelaskan di sini

      Maaf untuk jadwal sholatnya sepertinya memang ada kesalahan. Nanti saya kasih tahu developernya yang kongkow di forum myquran.com ^_^

  9. udh coba pakai microsoft security essentials gan?? anvir bawaan microsoft ini lumayan galak utk melawan virus2 semacam ini, cm ini tipe antivirus yg hanya bs di instal pada OS yg asli

    1. aku udah nembuh berbagai macam jalan, sampai tak cari manual di mana root virusnya berada. Udah ku delete tetep aja ga ilang.

      Saya searching di forum-forum juga belum ada solusi yang bener-bener ciamik.

      Install ulang deh.

Share your story with us

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s