Virus/trojan Game House

Akhir-akhir ini setiap kali flash disk yang kutancapkan di komputer XP-ku selalu ditulari dengan setup.exe dengan icon sperti gambar di bawah ini dan folder baru dengan nama Game House dan membuat file autorun.inf yang menjalankan file setup.exe tersebut.

File setup.exenya bisa dihapus tetapi folder gamehousenya tidak bisa dihapus karena masih dipegang oleh program virus yang masih aktif di memori.  Yang ingin aku cari apa nama program atau proses virus tersebut, sehingga bisa saya kill. Dari task manager sepertinya sulit mendeteksi kira-kira mana yang berupa virus.

Tetapi antivirus di komputerku (AVG) tidak pernah bisa mendeteksi. Begitu juga dengan PCMAV hanya men-suspect file setup.exe ini berupa  virus (File ini juga sudah saya kirimkan ke PCMAV, seperti permintaan mereka). Kejadian ini  seperti yang terjadi pada  file-file projector (exe) yang dihasilkan oleh Macromedia Flash.

Untuk bisa menghilangkan ini Rasa penasaranku membuat aku mencari-cari informasi ke Mbah Google,  tapi belum juga mendapatkan info yang jelas. Terakhir aku mencoba scan menggunakan antivirus online bitdefender.com. (www.bitdefender.com). Ternyata antivirus ini memberitahukan ada beberapa proses yang mengandung virus.

Process svchost.exe (1864) – Gen:Trojan.Heur.GZ.tm3@bOM3fiji
Process RTPSvc.exe (2008) – Gen:Trojan.Heur.lGW@tDl3OcfiC

dan file-file yang terinfeksi virus

C:\WINDOWS\system32\drivers\svchost.exe – Gen:Trojan.Heur.GZ.tm3@bOM3fiji
C:\WINDOWS\system32\apache.exe – Gen:Trojan.Heur.GZ.tm3@bOM3fiji
C:\WINDOWS\system32\RTPSvc.exe – Gen:Trojan.Heur.lGW@tDl3OcfiC

Setelah itu menuju ke TKP 3 virus tersebut dan hasilnya ternyata svhost.exe dan apache.exe adalah biang keladinya karena gambar iconnya sama dengan setup.exe. Ternyata virusnya menyembunyikan dirinya dengan cara berpura-pura menjalankan apache webserver.

Sekarang tinggal menghabisi virusnya. Caranya:

1. Matikan proses dari virus tersebut. Kalau pakai task managernya Windows kita kesulitan menentukan proses svchost mana yang mengandung virus, karena tidak kelihatan pathnya. Alternatifnya menggunakan proses manager tune up utility, karena manampilkan path dari proces yang berlangsung. Kita kill proses tersebut.

2. Cegah jangan sampai virus tersebut dijalankan pada saat booting. Jalankan registry dan cari path system32\apache dan hapus semua yang mengandung system32\apache tersebut.

Dari hasil scannimg bitdefender masih ada satu virus yaitu RTPSvc. Tetapi seingatku ini milikanya PCMAV, karena beberapa antivirus dari luar masih menganggap program miliknya PCMAV sebagai virus. Mudah-mudahan ini hanaya kesalahan deteksi. sehingga nggak perlu kuatir.

Satu Tanggapan

  1. siip

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: