Remove Downadup , Kido dan Conficker di Network


Downadup.B , Conficker.DV , Downadup.AL , Conficker.B , Confick-D , WORM_DOWNAD.AD , KIDO
Seperti yang kubahas di Remove Virus / worm W32.Downadup.B
pembersihan computer stand alone tidaklah sesulit computer network, apalagi kita menggunakan active directory / domain controller. Pada computer di network ini, kita akan menemui gejala terputusnya network kita, baik itu share folder maupun share printer atau periperal lainnya. Jika computer kita terhubung ke internet, kita tidak akan dapat melakukan update antivirus secara online maupun mengunjungi situs antivirus, dan situs microsoft (tapi jika di akses lewat ip-nya bisa). Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi. Dan masih banyak lagi seperti yang kubahas sebelumnnya.
Gejala di Network Active Directory / Domain Controller
Dalam computer network active directory / domain controller cara -cara yang kulakukan seperti di Remove Virus / worm W32.Downadup.B tidak benar benar membersihkan virus / worm ini dari network. Suatu PC yang terkonek ke network dan sudah ter update antivirusnya (gabungan symantec dan AVG) akan kembali menunjukkan peringatan banwa virus / worm masih ada dan walaupun kita sudah melakukan remove, hal itu tetap terjadi terus, dan PC tersebut akan booting (terutama yang pakai symantec, yang pakai AVG tidak). Aku sendiri bingung kok bisa begini efeknya di PC yang antivirus symantec (antivirus lainnya tidak), apa ini kesalahan symantec untuk me remove atau itu merupakan suatu pengamanan dari symantec. Dan ternyata hal ini disebabkan karena symantec lah yang benar benar bisa me remove virus ini. Dan dikarenakan virus / worm ini menggunakan celah dari Microsoft Windows Server Service RPC seperti yang kubahas di Worm Windows Server Service RPC maka terputusnya virus ini akan mengakibatkan booting.
Cara Pembersihan Virus / Worm
Banyak cara yang kulakukan untuk membersihkan virus / worm ini di network, semua artikel yang ada di internet kucoba semu, baik itu yang ada di vaksin.com sampai di website resmi Microsoft yang membahas tentang ini. Cara cara yang dibahas di vaksin.com atau site lainnya tidak juga membersihkan secara bersih. Di http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx diulas secara lengkap, tapi salah satu cara yang ada disitu (remove permission) akan menyebabkan error / lock.
Setelah berpusing ria, ada beberapa cara yang kuterapkan, dan apakah virus ini benar benar bersih aku sendiri tidak tahu, yang penting PC yang terkonek di jaringan / network, bisa connect ke network (login, share, browsing).
caranya :
..
  • Putus connection computer (network / internet), jika menggunakan active directory, login lewat local user ( administrator this computer )
  • Matikan system restore (Windows XP / Vista)
  • Matikan proses virus yang aktif pada services. Gunakan removal tool
  • Jika kurang bersih lakukan secara manual dg me remove svchost gadungan, Gunakan Autoruns atau Process Explorer atau CurrProcess atau HijackThis atau lainnya yang cocok dari pada pakai regedit dan cari kata2 acak/ aneh di svchost.
  • Matikan semua share ( admin shares ) di server service. click Run, type services.msc, ok. Double-click Server, Click Stop, Select Disabled in the Startup type box, Click Apply
  • Remove semua AT-created scheduled tasks. type AT /Delete /Yes di command prompt
  • Stop Task Scheduler service
  • Install security update 958644 (MS08-067), seperti yang kubahas di Worm Windows Server Service RPC
  • Di Registry Editor, locate dan click registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    right-click netsvcs entry, dan click Modify. Delete line yg me reference malware service tersebut. Hati-hati sebelum pengahapusan yakinkan bahwa itu benar-benar malware service, lihat infomation lebih lanjut atau lihat service ini di PC lain yang tidak ter infeksi
  • Buat downadup.inf seperti di vaksin.com dan run.

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1
    HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
    HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
    HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
    HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
  • Restart computer dengan tetap tidak ter konek ke network dan pakai local user (administrator this computer)
  • Cek virus lagi dengan removal tool atau lakukan akses ke server (share folder untuk domain controller ) atau lakukan akses ke internet yang di blok tadi ( internet ).
  • Jika salah satu di atas normal, restart computer kembali
  • Login lewat domain untuk domain controller.
  • Re-enable Server service untuk meng enable share lagi.
  • Update computer security updates. Gunakan Windows Update, Microsoft Windows Server Update Services (WSUS) server, Systems Management Server (SMS), System Center Configuration Manager (SCCM), atau third-party update management product. Jika menggunakan SMS atau SCCM
  • Jangan lupa update antivirus, dan usahakan secara online update
  • Jangan gunakan antivirus dari Asia, Cina dan Rusia
  • Jika masih bermasalah (sering restart), jangan gunakan antivirus symantec ( aku sendiri belum mengetahui kenapa)
Mungkin ada tambahan yang bisa membantu…….

0 komentar:

Posting Komentar

 
Powered by Blogger