Virus shortcut FD gak bisa ilang di scan SMADAV

Question

saya pakai laptop Acer Windows 7 Ultimate 32bit,
ini virus udah lama kena sekitar 2 bulan, padahal habis instal ulang, tiap dimasukin flashdisk langsung ngebentuk shortcut, kedetect sama SMADAV, shortcut kehapus, tapi tiap dilepas trus dimasukin lagi ke laptop balik lagi sama ky awalnya virusnya.
barusan coba scan pake SMADAV Rev 10.9 masih sama aja.
mungkin ada solusinya?
 Attachment : https://www.sendspace.com/filegroup/cg%2F2IezbA0To8%2BUCKiquEJSGgexV9fcfJWjc6Y8wu0k

Answer 1

Hapus Rootkit Dengan PC Hunter

• Download PC Hunter dan Save ke Desktop.
• Klik kanan pada PC Hunter dan pilih Run as Administrator.
• Jika tidak bisa jalan, Anda bisa rename Filenya menjadi explorer.exe.
• Klik Tab Kernel Module.
• Cari Driver Name berikut ini: 2afaf19e855bacbe.sys, klik kanan dan pilih Delete Driver (File and Reg).
• Klik kanan pada sembarang area dan pilih Refresh untuk memastikan bahwa Driver yang telah Anda hapus tidak kembali lagi.
• Pindah ke Tab Startup Info, Pilih Services.
• Cari Services Name berikut ini: syshost32, klik kanan dan pilih Delete Services (Not Delete File).
• Klik kanan pada sembarang area dan pilih Refresh untuk memastikan bahwa Services yang telah Anda hapus tidak kembali lagi.
• Pindah ke Tab File, cari kedua file ini: C:\Windows\Installer\{F9697E3A-4FC8-0113-C26D-4A8DA24B632E}\syshost.exe dan C:\Windows\System32\Drivers\2afaf19e855bacbe.sys.
• Jika ketemu, klik kanan dan pilih Force Delete.
• Klik kanan pada sembarang area dan pilih Refresh untuk memastikan bahwa kedua File yang telah Anda hapus tidak kembali lagi.

Hapus Bundpil dan Adware

Fix dengan Farbar Recovery Scan Tool

Metode ini hanya cocok untuk komputer agan yang satu ini.

Mencoba metode ini di komputer yang lain bisa mengakibatkan ketidakstabilan sistem.

Download fixlist.txt yang saya lampirkan di sini dan save ke Desktop.

Kedua file log sebelumnya yang agan lampirkan, FRST.txt and Addition.txt harus tetap ada pada folder yang sama (Desktop) agar fix ini bisa berfungsi!

• Klik kanan pada ikon dan pilih Run as Administrator.
• Tekan tombol Fix dan tunggu sebentar.
• Jika diminta restart, mohon untuk direstart dan setelah itu proses masih akan berlanjut dan tunggu sampai selesai.
• Setelah selesai, akan dihasilkan log file pada Desktop, Fixlog.txt.
• Juga akan menghasilkan Upload.zip pada Desktop.
• Upload Fixlog.txt dan Upload.zip ke Send Space dan kirim linknya kemari.

Cek Ulang Kondisi Komputer Anda Setelah Melakukan Pembersihan

Scan Ulang dengan Farbar Recovery Scan Tool

Note: Usahakan terkonek ke internet sebelum scan, jadi si Farbar bisa melakukan auto update (jika sudah ada versi baru) sebelum menjalankan tugasnya.

• Klik kanan pada ikon dan klik Run as Administrator
• Klik Yes
• Keluar jendela seperti ini, pastikan kolom 'Addition.txt' tercentang.
  
  
• Klik Scan.
• Setelah selesai, akan menghasilkan log FRST.txt dan Addition.txt pada folder yang sama dengan Farbar tadi (Desktop).
• Upload kedua log ini ke Send Space dan kirim linknya ke sini.

Setelah ini, Coba Colok kembali Flash Disk Saudara yang terinfeksi itu. Tetapi ingat! Jangan membuka isinya dulu. Klik kanan dan Scan dengan Smadav kemudian Clean. Habis itu cabut dan colok ulang, tetap jangan buka isinya dulu. Scan ulang.. Jika tidak muncul lagi, baru boleh buka isinya. Jika masih muncul, laporkan lagi.. Kita pakai cara lain.

Comments

Hapus Rootkit Dengan PC Hunter :
> PC Hunter gak bisa work, waktu ikutin semua cara diatas tetep keluar warning bar " load driver error!".

Hapus Bundpil dan Adware :
> 100% work, lancar sampai restart + proses scan ulang

Attachment 1:
https://www.sendspace.com/filegroup/fpHd%2BbMcmA4ZHxeRSfDB%2BdUFK8QGjb2sCSENr9ajjLd%2B7i%2FYiqRllRk1Jan4QOk3x6R8ZDMLbws


Attachment 2 (Hasil Scan SMADAV Rev 10.9):
https://www.sendspace.com/filegroup/%2FmFafN2aifBSufme11mthm2a536OrZ5T

---

==> Tegur Saya jika Saya salah.. Bundpil Anda telah hilang, bukan?

Ada satu lagi Adware yang lupa saya hapus (maklum sudah tua ), sekalian saya ingin mengambil sampel Rootkitnya..

Hapus Sisa Adware dan Mengambil Sampel Rootkit

Fix dengan Farbar Recovery Scan Tool

Metode ini hanya cocok untuk komputer agan yang satu ini.

Mencoba metode ini di komputer yang lain bisa mengakibatkan ketidakstabilan sistem.

Download fixlist.txt yang saya lampirkan di sini dan save ke Desktop.

Kedua file log sebelumnya yang agan lampirkan, FRST.txt and Addition.txt harus tetap ada pada folder yang sama (Desktop) agar fix ini bisa berfungsi!

• Mohon dihapus dulu Upload.zip yang di Desktop.
• Klik kanan pada ikon dan pilih Run as Administrator.
• Tekan tombol Fix dan tunggu sebentar.
• Jika diminta restart, mohon untuk direstart dan setelah itu proses masih akan berlanjut dan tunggu sampai selesai.
• Setelah selesai, akan dihasilkan log file pada Desktop, Fixlog.txt.
• Juga akan menghasilkan Upload.zip pada Desktop.
• Upload Fixlog.txt dan Upload.zip ke Send Space dan kirim linknya kemari.

==> Tegur Saya jika Saya salah.. Sampai titik ini, Adware (Home Page dan Search Engine di Firefox telah normal kembali). Tetapi Saya tidak tahu dengan UC Browser, karena log Farbar tidak mencakup UC Browser. Apakah Anda mengalami hal yang sama di UC Browser?

Tindak Lanjut Rootkit

Masuk ke Safe Mode. Jalankan kembali PC Hunter kembali dengan cara yang persis seperti sebelumnya. Jika bisa bisa jalan dan proses penghapusan sukses, abaikan saja prosedur di bawah ini..

The Avenger by Swandog46

• Download The Avenger dan Avenger Script.txt, Save ke Desktop.
• Klik kanan pada ikon dan klik Run as Administrator.
• Klik tombol OK.
• Buang centangan Scan for rootkit.
• Klik menu Load Script, pilih From File...
• Arahkan ke Avenger Script.txt di Desktop tadi.
• Klik Execute dan biarkan Restart.
• Setelah selesai, akan menghasilkan log pada C:\avenger.txt
• Copas isi dari log ini langsung ke Reply Anda berikutnya (tidak perlu Upload).

---

maaf kalo saya slow respon
bundpil udah ilang, gak muncul lagi.

> Tindak lanjut rootkit
untuk tindal lanjut rootkit waktu ikut tahapan yang kemarin buat masuk safemode, PC hunter tetap gak bisa jalan.
lalu saya lanjut tahap berikutnya yang pakai aplikasi GMER, pakai nomal mode mau jalan SCAN.

> kalo adware saya belum paham itu yang seperi apa, mungkin bisa diberikan penjelasan :)
tapi waktu saya coba jalankan kedua aplikasi, cuma firefox aja yang sering error/macet. untuk UC browser tetap lancar.

Attachment :
https://www.sendspace.com/filegroup/i9sAga9sBBYcF2TOb4q%2B1gNp7qgK5OpboyCS2%2BT5DY8

---

Firefox memang lambat dan hang.. Sudah bawaannya.. Wkwk
Adware itu muncul iklan tidak jelas di Browser, Home Page dan Search Engine juga berubah-ubah.

Lanjut ke langkah The Avenger di atas, sudah saya edit.. Upload lognya setelah selesai. Jika ada kendala menjalankan The Avenger, baca Reply saya di bawah.

---

Jika tidak muncul log Avenger sama sekali, tidak bisa jalan, atau muncul lognya tetapi isinya menyatakan bahwa 2afaf19e855bacbe tidak bisa dihapus. Maka kita hapus dengan GMER saja.

• Jalankan kembali GMER dengan klik kanan dan pilih Run as Administrator.
• Biar Scan singkat sejenak sampai selesai.
• Pilih No jika ada tawaran Full Scan karena adanya Rootkit.
• Pada tulisan merah berikut ini:
  Service  System32\Drivers\2afaf19e855bacbe.sys (*** hidden *** )               [BOOT] 2afaf19e855bacbe
• Klik kanan dan pilih Delete Service, Iyakan saja jika terdapat peringatan.
• Jika gagal melakukan Delete, klik kanan ulang dan pilih Disable Service.
• Reboot saja jika ditanya.
• Setelah Reboot, jalankan kembali GMER dengan klik kanan dan pilih Run as Administrator.
• Lihat apakah tulisan merah masih muncul? Jika tidak, Good News!!! Rootkitnya telah lumpuh.
• Tekan tombol > > > di sebelah atas.
• Buka tab Services, cari: 2afaf19e855bacbe dan syshost32 (jika ada).
• Klik kanan dan pilih Delete.
• Pindah ke Tab Files, cari dua file ini: C:\Windows\Installer\{F9697E3A-4FC8-0113-C26D-4A8DA24B632E}\syshost.exe dan C:\Windows\System32\Drivers\2afaf19e855bacbe.sys.
• Hapus kedua file ini dengan menekan tombol Delete pada sebelah kanan atas.
• Done!!!

Rootkit telah tumbang, tinggal beberapa langkah lagi ke depan untuk memperbaiki yang telah dirusaknya.

---

kirain firefoxnya gitu gara2 virus :-D
firefox udah normal kembali.

> scan Avenger selesai,
> scan kedua pakai GMER gak ditemuin file yang dimaksud agan diatas. tapi waktu coba check  C:\Avenger\  ada file Backup.zip,
waktu saya buka file Backup.zip, file syshost.exe + 2afaf19e855bacbe.sys ada didalamnya.
 
mungkin bisa kasih sedikit pencerahan buat saya tentang asal munculnya 3 virus itu awalnya karena apa gan??  
makasih buat ngeluangin waktunya bantu problem saya. :-)
Attachment 1 :
https://www.sendspace.com/filegroup/7F9ePNqQkAcvvus0GTv2Tg


Attachment 2 :
https://www.sendspace.com/filegroup/fq0P49kJRObiESUgauXSEQ

---

Nice.. Rootkit juga telah bersih disikatnya..

C:\Avenger\Backup.zip, itu Hasil Copy yang dibuat oleh The Avenger sebelum menghapusnya. Agar bisa dipakai lagi Seandainya salah hapus. Tidak berbahaya lagi jika sudah di Zip. Anda juga bisa menghapusnya karena dari lognya memang tidak salah hapus lagi.

Selanjutnya Saya balas di bawah saja..

---

Bundpil datang dari Flash Disk yang terinfeksi dan dicolokkan ke komputer yang bersih. Dan Anda dipaksa untuk melakukan klik terhadap Shortcut tersebut karena tidak ada lagi File lain yang terlihat. Jika Shortcut tersebut diklik, maka komputer yang sehat akan langsung terinfeksi.

Tetapi Jika Anda memunculkan Hidden Files pada Folder Options seperti pada pedoman ini, akan terlihat sebenarnya selain Shortcut, ada Folder lagi (tanpa nama) yang disembunyikan. Semua isi di dalam Flash Disk itu dipindahkan di dalam Folder itu. Prinsipnya ada menjebak agar User membuka shorcut itu.

Adware, biasanya datang dari file Krack yang palsu, dijalankan ternyata virus. Atau bisa juga datang dari Installer yang mengandung Adware. Solusi, cari Installer hanya dari Website yang dipercaya saja (Softpedia, Filehippo, Piriform, Softonic, Cnet, dll). Jangan langsung dari Google yang nantinya akan mengarahkan kepada website penyedia Adware.

Rootkit, untuk kasus Anda ini terkena Jenis Necurs. Saya kurang paham datang dari mana. Tetapi pada banyak kasus, komputer yang terkena Necurs, juga akan terkena Adware. Pada kasus Anda, ditemukan induk Necurs tetapi tidak ditemukan induk Adware. Jadi, sementara Saya mengambil kesimpulan bahwa Necurslah yang mendatangkan efek Adware. Berarti mungkin file Krack atau Installer palsu itu mendatangkan Necurs duluan.

Mari lanjut ke langkah selanjutnya, pertimbangkan untuk memakai Anti Virus lain selain Smadav.

System File Checker

• Press + R on your keyboard at the same time. Type cmd and click OK.
• Copy/Enter the command below and press Enter:
• [CODE]sfc /scannow[/CODE]
• Windows will begin with system scan.
• When done, please reboot your system.

System File Checker report:

• Press + R on your keyboard at the same time. Type cmd and click OK.
• Copy/Enter the command below and press Enter:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

• Upload sfcdetails.txt from your Desktop to Send Space.

Scan Dengan Malwarebytes' Anti-Malware

Download Malwarebytes Anti-Malware dan save ke desktop.

• Klik ganda, lakukan instalasi dan update.
• Setelah selesai update, Klik tab Settings, pada panel kiri pilih Detection & Protection dan centang Scan for rootkits.
• Pada tab yang sama, di bawah PUP and PUM detections, pastikan pilihan ke Treat detections as malware.
  
  
• Klik tab Scan, pilih Threat Scan dan klik Start Scan.
• Jika terdeteksi virus, klik tombol Apply Actions. Jika diminta reboot, klik Yes.
• Setelah reboot, akan dilanjutkan proses scan. Setelah selesai, klik tab History.
• Klik Application Logs dan klik ganda Scan Log.
  
  
• Pada bagian bawah, klik Export dan pilih Text file.

Upload lognya ke Send Space dan kirim linknya kemari.

Scan Ulang dengan Farbar Recovery Scan Tool

Note: Usahakan terkonek ke internet sebelum scan, jadi si Farbar bisa melakukan auto update (jika sudah ada versi baru) sebelum menjalankan tugasnya.

• Klik kanan pada ikon dan klik Run as Administrator
• Klik Yes
• Keluar jendela seperti ini, pastikan kolom 'Addition.txt' tercentang.
  
  
• Klik Scan.
• Setelah selesai, akan menghasilkan log FRST.txt dan Addition.txt pada folder yang sama dengan Farbar tadi (Desktop).
• Upload kedua log ini ke Send Space dan kirim linknya ke sini.

Answer 2

Anda terkena tiga jenis Virus. Pertama bernama Bundpil/Gamaure yang membuat Shorcut Di Flash Disk. Kedua terkena Rootkit dan yang ketiga Adware. Kita akan membersihkan ketiganya. Anda sudah tepat berkonsultasi di sini.. Saya yakin bisa 100% bersih jika Rajin memberikan Feedback. Selama Proses pembersihan, jangan colok Flash Disk yang terinfeksi dulu.. Saya baca dulu log yang dilampirkan Saudara. Respon menyusul.

Comments

Sy pny problem yg sm, adakah cara yg lbh simple ? krn sy tdk paham komputer cm tau pakenya aja. Tks

---

Saya balas pas persis di bawah..

---

Saudara Herry, silahkan membuka pertanyaan baru di sini dengan berpedoman pada petunjuk ini. Satu sesi pertanyaan hanya untuk satu User saja untuk menghindari kebingungan. Jangan mencoba metode yang ada di sini karena kondisi setiap komputer berbeda-beda.

Jika ada yang tidak dimengerti, bisa ditanyakan lagi. Terima kasih.

Answer 3

Saudara Rihard Arifin, apakah Anda masih membutuhkan bantuan?

Comments

Tidak. Karena laptop saya masih baik-baik saja.

Luar biasa, jawabannya Kiamhu selalu sepenuh hati.
Bikin gue ngiri aja.

---

Makasih pujiannya.. :-)

Answer 4

Saudara richardarifin, bagaimana hasil Scan terakhir?