Remove Downadup , Kido dan Conficker di Network


Downadup.B , Conficker.DV , Downadup.AL , Conficker.B , Confick-D , WORM_DOWNAD.AD , KIDO

Seperti yang kubahas di Remove Virus / worm W32.Downadup.B
pembersihan computer stand alone tidaklah sesulit computer network, apalagi kita menggunakan active directory / domain controller. Pada computer di network ini, kita akan menemui gejala terputusnya network kita, baik itu share folder maupun share printer atau periperal lainnya. Jika computer kita terhubung ke internet, kita tidak akan dapat melakukan update antivirus secara online maupun mengunjungi situs antivirus, dan situs microsoft (tapi jika di akses lewat ip-nya bisa). Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi. Dan masih banyak lagi seperti yang kubahas sebelumnnya.

Gejala di Network Active Directory / Domain Controller

Dalam computer network active directory / domain controller cara -cara yang kulakukan seperti di Remove Virus / worm W32.Downadup.B tidak benar benar membersihkan virus / worm ini dari network. Suatu PC yang terkonek ke network dan sudah ter update antivirusnya (gabungan symantec dan AVG) akan kembali menunjukkan peringatan banwa virus / worm masih ada dan walaupun kita sudah melakukan remove, hal itu tetap terjadi terus, dan PC tersebut akan booting (terutama yang pakai symantec, yang pakai AVG tidak). Aku sendiri bingung kok bisa begini efeknya di PC yang antivirus symantec (antivirus lainnya tidak), apa ini kesalahan symantec untuk me remove atau itu merupakan suatu pengamanan dari symantec. Dan ternyata hal ini disebabkan karena symantec lah yang benar benar bisa me remove virus ini. Dan dikarenakan virus / worm ini menggunakan celah dari Microsoft Windows Server Service RPC seperti yang kubahas di Worm Windows Server Service RPC maka terputusnya virus ini akan mengakibatkan booting.

Cara Pembersihan Virus / Worm

Banyak cara yang kulakukan untuk membersihkan virus / worm ini di network, semua artikel yang ada di internet kucoba semu, baik itu yang ada di vaksin.com sampai di website resmi Microsoft yang membahas tentang ini. Cara cara yang dibahas di vaksin.com atau site lainnya tidak juga membersihkan secara bersih. Di http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx diulas secara lengkap, tapi salah satu cara yang ada disitu (remove permission) akan menyebabkan error / lock.

Setelah berpusing ria, ada beberapa cara yang kuterapkan, dan apakah virus ini benar benar bersih aku sendiri tidak tahu, yang penting PC yang terkonek di jaringan / network, bisa connect ke network (login, share, browsing).

caranya :

  • Putus connection computer (network / internet), jika menggunakan active directory, login lewat local user ( administrator this computer )
  • Matikan system restore (Windows XP / Vista)
  • Matikan proses virus yang aktif pada services. Gunakan removal tool
  • Jika kurang bersih lakukan secara manual dg me remove svchost gadungan, Gunakan Autoruns atau Process Explorer atau CurrProcess atau HijackThis atau lainnya yang cocok dari pada pakai regedit dan cari kata2 acak/ aneh di svchost.
  • Matikan semua share ( admin shares ) di server service. click Run, type services.msc, ok. Double-click Server, Click Stop, Select Disabled in the Startup type box, Click Apply
  • Remove semua AT-created scheduled tasks. type AT /Delete /Yes di command prompt
  • Stop Task Scheduler service
  • Install security update 958644 (MS08-067), seperti yang kubahas di Worm Windows Server Service RPC
  • Di Registry Editor, locate dan click registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost right-click netsvcs entry, dan click Modify. Delete line yg me reference malware service tersebut. Hati-hati sebelum pengahapusan yakinkan bahwa itu benar-benar malware service, lihat infomation lebih lanjut atau lihat service ini di PC lain yang tidak ter infeksi
  • Buat downadup.inf seperti di vaksin.com dan run.

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1
    HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
  • Restart computer dengan tetap tidak ter konek ke network dan pakai local user (administrator this computer)
  • Cek virus lagi dengan removal tool atau lakukan akses ke server (share folder untuk domain controller ) atau lakukan akses ke internet yang di blok tadi ( internet ).
  • Jika salah satu di atas normal, restart computer kembali
  • Login lewat domain untuk domain controller.
  • Re-enable Server service untuk meng enable share lagi.
  • Update computer security updates. Gunakan Windows Update, Microsoft Windows Server Update Services (WSUS) server, Systems Management Server (SMS), System Center Configuration Manager (SCCM), atau third-party update management product. Jika menggunakan SMS atau SCCM
  • Jangan lupa update antivirus, dan usahakan secara online update
  • Jangan gunakan antivirus dari Asia, Cina dan Rusia
  • Jika masih bermasalah (sering restart), jangan gunakan antivirus symantec ( aku sendiri belum mengetahui kenapa)

Mungkin ada tambahan yang bisa membantu…….


Post Update :
Date : Sunday, September 21, 2014 - Minggu, 21 September 2014
Posted in: Virus
Lazada Indonesia

Lazada Indonesia

Related posts "Remove Downadup , Kido dan Conficker di Network":


7 Comments on "Remove Downadup , Kido dan Conficker di Network"

Trackback | Comments RSS Feed

  1. Yayat says:

    Thanks atas infonya.. kebetulan dikantorku jg kena virus yang sama.. dan saya menggunakan metode seperti diatas, saat ini sudah beberapa komputer yang sudah tidak terinfeksi virus ini lagi. meskipun virus belum sepenuhnya hilang dari jaringan, tapi koneksi sudah normal. kebetulan dikantor saya menggunakan AV symantec update terbaru. tapi tetep aj cuman bisa karantina, lom bisa full delete virus trsebut

    [Reply]

  2. ariefew says:

    virus ini memang canggih….. kalau ingin benar2 bersih, kita gunakan SO lain (windows di lain HD sistem yg terinfeksi), atau gunakan miniPE dengan personal antivirus seperti yg telah kubahas.

    [Reply]

  3. daniel-ntl says:

    udah pake wireshark, tapi agak rumit, dan yg gampang saya pake winbox mikrotik, liat yg transmit paling gede terutama udp-nya, itu pasti komputer yg bervirus kido, tapi yg jadi masalah sekarang walaupun udah di bersihkan dgn cara2 yg ada di internet dll, begitu saya colok kabel lan, langsung kena lagi????jadi gimana??

    [Reply]

    ariefew Reply:

    aku mengalami virus ini mulai versi yg pertama…. aku gak tahu kenapa server mengalami restart terus & restartnya tersebut ada timernya…. itu dikarenakan kupasang norton AV di server dan AV tersebut bisa mendetek dan meremovenya….. tapi hasil dari itu, menyebabkan terputusnya koneksi antar virus…..
    Sedangkan mengenai kembalinya virus ini di PC kita, hal itu dikarenakan masih belum bersihnya virus itu di PC kita… dan jika kita konek di jaringan, maka PC kita akan mendapatkan update virus lagi dari PC lainnya, hal inidikarenakan virus ini bisa saling mengupdate.
    PC ku sendiri (client) yang ku kira sudah bersih (dengan AV symantec, AVG 8 update terbaru), ternyata bila kuscan pakai miniPE atau HD kutancapkan di PC lain yang masih bersih dengan AV yang sama dan terupdate juga, kutemukan beberapa copy dari virus ini dan dapat diremove, padahal jika di HD tersebut jika dijadikan system tidak menangkapnya. Aku sendiri bingung kenapa ??? memang benar2 hebat virus ini…… aku kok curiga, siapa sih yang buat…. soalnya ada hubungannya dengan payload dan banyak menyebar di daerah ilegal software….

    [Reply]

    daniel-ntl Reply:

    thanks, kayaknya kalau mau benar2 bersih harus install ulang windows xp dan udah SP3, trus install antivirus deh. kalo yg masih SP2 dan terinfeksi virus mau gak mau pake cara diatas, sekalian install security update yg baru, oh ya aku pake mcafee profesional yg udah ada firewallnya,jadi pasti aman dan tidak terjangkit lagi.

    [Reply]

    ariefew Reply:

    virus ini juga menyerang win xp sp 3….. kalau anda tidak di dalam suatu network…. pembersihan virus ini memang mudah, tapi kalau sudah di group network (terutama domain controller/ active directory).. pembersihan virus ini akan terasa sulit… karena virus inimempunyai kemampuan konek antar network dan saling update….
    Conficker yg dikenal Mcaffe, akan sangat bagus jika Mcaffe / antivirus lainnya, updatenya dilakukan secara online…….

Post a Comment


8 − = 5