Bah, antivirus nih lambat banget perkembangannya. Setelah kemarin diserang oleh igfxck32.exe, sekarang ganti wmpdtn32.exe yang ngendon di system32. Memang beberapa kali virus ini muncul sebelumnya, tapi setelah terganti dengan igfx, si wmp hilang lagi. Begitu igfx hilang, sekarang yang muncul wmp.
Setelah browsing kesana kemari, baru report virusnya muncul (tanggal 10 Oktober 2011, gak percaya, nih link laporannya). Yaitu Bank Info Stealer. Jadi virus ini akan mencuri akun login kita. Untung juga, saya gak punya akun bank yang bisa login dari komputer.
Ciri-ciri
Gak ada ciri-ciri khusus kalau komputermu terkena virus ini, yang jelas kalau komputer startnya jadi lebih lambat dari biasanya, anda patut curiga. Terus ada file-file berikut ini di manapun di komputermu:
- NETSH47.EX@
- PICTURE38.JPG_WWW.FACEBOOK.COM
- 53946034.EX@
- 55940857.SVD
- c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GPA1AH4D\12[1].zip
- c:/windows/system32/wmpdtn32.exe
file beratribut hidden, sehingga gak bisa dilihat dengan Explorer biasa. Saya melihatnya dengan menggunakan Total Commander.
Penanganan
Karena antivirus belum bisa detect, kali ini saya gunakan cara standar untuk menghapusnya:
- Buka Start/Control Panel
- Pilih Administrative Tools/Local Security Policy
- Pilih Software Restriction Policies/Additional Rules
- Klik kanan di jendela kanan di tempat yang kosong, muncul menu, pilih New Path Rule
- Di kotak Path, tulis alamat file yang tidak boleh jalan, yaitu C:\WINDOWS\system32\wmpdtn32.exe
- di kotak security Level, pilih Disallowed
- Komentarnya, tulis komentar , misalkan “virus wmpdtn32.exe” seperti punya saya di gambar ini
Setelah itu restart komputer. Virus sudah tidak jalan. Sekarang tinggal membersihkan registry
- di Start/Run
- Ketik Regedit lalu tekan enter
- Klik My Computer, lalu tekan CTRL+F
- Tulis wmpdtn32.exe lalu tekan Enter
- Cari wmpdtn32.exe di registri yang di dekatnya ada komentar kita seperti gambar dibawah ini. Kalau ketemu itu, lewati dengan menekan F3.
- Kalau ketemu wmpdtn32.exe, tapi gak ada tulisan komentar kita di description, langsung hapus saja dengan menekan DELETE
- Setelah selesai, keluar dari regedit
OK, sekarang wmpdtn32.exe sudah tidak jalan lagi (tapi belum mampus sampai ke akar-akarnya). Kalau perlu restart komputernya dan rasakan beda waktu restartnya, apakah lebih cepat atau lebih lambat.
catatan:
wmpdtn32.exe, sama seperti igfxck32.exe, sebenarnya nama yang betul adalah wmpd**32.exe, dimana tanda asterik merupakan huruf random.
By an, 11 October 2011 at 11:09 pm
saya juga kena iniii virus.. kira2 darimana ya kenanya? karena apa?
waktu saya mau mencoba cara anda, di Software Restriction Policies saya kosong melompong, nggak ada additional rules itu..
gimana ya kalo seperti itu?
By Admin, 15 October 2011 at 10:51 am
@an
kena virus ini dari internet, atau flashdisk yang tertular.
policy kosong mungkin karena anda masuk bukan sebagai admin
ralat:
Policy kosong, karena memang belum pernah buat policy. Anda bisa buat dengan cara klik kanan dan add new policy, kalau gak salah (kemarin saya baru install windows dan ternyata policynya kosong, terus saya klik kanan, lupa gambarnya seperti apa, yang jelas akhirnya muncul policy seperti gambar diatas)….
By an, 11 October 2011 at 11:30 pm
kalo tiap kali nancepin flashdisk terus keluar sysdrv32.exe dan tetek bengeknya itu gara2 virus inikah? soalnya saya cek juga gak ada virus yang igf*** itu di registry juga ga ada processnya adanya cuman wmpdtn32 ini.
By Admin, 15 October 2011 at 10:50 am
@an
iya, virus ini juga menghasilkan sysdrv32.exe
By armana, 12 October 2011 at 4:36 pm
thanks, fren. kebetulan komputer kantor ada yang kena 1.
setelah merguru ke mbah google, link web ini yang nongol duluan,
sip. thanks
By mustakim, 12 October 2011 at 11:18 pm
trima kasih, info yang bagus….
admin………….saya dah coba ikuti langkah yang admin berikan, tapi pada saat langkah saya sampai SOFTWARE RESTRICTION POLICIES…..DAN saya klik, di situ muncul ….NO SOFTWARE RESTRICTION POLICIES DEFINED……tidak seperrti yg admin berikan… bagaimanakah cara mengatasinya ?
komputer saya ACER ASPIRE 4349
trima kasih.
By Admin, 13 October 2011 at 8:48 am
@mustakim:
masih ada ADDITIONAL RULES nggak?. Kalau ada klik kanan dan pilih New Path Rules.
Kalau nggak ada, coba gambarnya disimpan dan dikirimkan kemari. Saya jadi penasaran?
email saya: hari.saryono@gmail.com
@SEMUA
Untuk semua yang software policynya kosong melompong, mungkin karena anda masuk bukan sebagai admin. Coba untuk masuk sebagai admin
By Dimas, 11 December 2011 at 8:04 am
Mas saya cari di Local security sama di regedit kok gak ada wmpdtn32.exe nya
tp komputer saya startnya lemot bngt
By Admin, 11 December 2011 at 9:23 am
@dimas: komputer lemot saat start belum tentu karena virus. kemungkinan yang bisa terjadi:
1. drive c: terlalu penuh. solusi: terutama di mydocument, usahakan sesedikit mungkin file disitu. Kalau bisa harddisk di partisi, dan letakkan semua data di D. untuk C: minmal 10 Gb
2. Terlalu banyak program yang diload pada saat start. solusi: pakai program hijackthis atau tune up utilities atau program lain untuk membuang auto start yang tidak perlu
3. Ada error di registry. solusi: pakai tune up utilities untuk mengkoreksi error yang ada
4. kena virus… solusi: pasang antivirus (saya pakai avira yang selalu update dengan internet)
By Dimas, 14 December 2011 at 7:05 pm
Masih ttp mas. saya dah ikutin semua tp ttp aja
Apa ada solusi lain??
By Iwen, 23 January 2012 at 5:33 pm
Bagaimana kalau kita bukan administrator (gak bisa nginstall).
Dengan CMD bisa gak ngapus file tersebut?
Karena filenya sudah teridentifikasi, tapi gak bisa diapus.
By Admin, 30 January 2012 at 7:33 pm
@iwen: kalau bukan admin, tapi punya hak untuk hapus file, ya bisa saja. Dengan cmd, belum pernah coba, tapi harusnya bisa. Masalahnya, harus ganti atribut file dulu menjadi archive, baru bisa didelete