Home > Analisa Virus, Antivirus, Pengumuman > SystemTools: Remove All Spyware from Your PC

SystemTools: Remove All Spyware from Your PC

SystemTools

SystemTools. Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi SystemTools yang tanpa mereka sadari aplikasi tersebut adalah “FakeAntivirus” atau “Antivirus Palsu”. Malware sejenis pernah di bahas pada postingan sebelumnya yang berjudul FakeAV-Downloader.G. Laporan di dapat dari user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus palsu.

A. Info Malware
Nama: SystemTools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: –
Pemrograman: Visual C++
Icon: Random
Tipe: Trojan

B. Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di Facebook dan isinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang terjadi pada komputernya. Contohnya seperti Firefox tidak bisa di buka, juga Task Manager dan beberapa file aplikasi lainnya.

Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut.

Wallpaper SystemTools

Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox pada tahun 2008 yang juga mengubah desktop. Kesuksesan SystemTools ini menyebar di indonesia adalah:

1. Menyebar melalui Facebook dan salah satu website yang menyediakan fasilitas download gratis.

2. Pada saat pengguna mengunduh SystemTools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.

Exeinfo PE

Dibuat menggunakan C++ tanpa di-pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya. Sehingga hash MD5nya selalu berubah meskipun ukuran filenya sama.

DateTimeStamp

Harga antivirus palsu ini juga tidak tanggung-tanggung.
1 tahun lisensi: $ 59.95
2 tahun lisensi: $ 69.95
Lifetime lisensi: $ 79.95
Lifetime premium support: $ 19.95

C. Companion/File yang dibuat

Setelah aktif di memory, system tools akan membuat beberapa file seperti:

1. Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper dekstop pada folder C:\Documents and Settings\[nama user]\Local Settings\Temp

2. Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:\Documents and Settings\All Users\Application Data\[folder dengan nama acak]

D. Hasil Infeksi

Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:

Aplikasi yang di-blok

Malware juga memunculkan pesa-pesan palsu seperti gambar berikut:

False Warning 1

False Warning 2

Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, malware juga terkadang menampilkan pesan Blue Screen Of Death (BSOD) yang menandakan seolah olah sistem komputer sudah benar-benar rusak.

BSOD

Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang di laporkan oleh SystemTools.

Activation

Agar bisa berjalan saat startup, SystemTools membuat value registry baru di:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[nama acak], “C:\Documents and Settings\All Users\Application Data\[nama folder aca]\[nama acak].exe”

E. Pembersihan

Untuk pembersihan, dapat dilakukan dengan 2 cara. Yaitu dengan cara manual dan cara langsung menggunakan PCMAV.

Cara manual:

1.Cari file task manager (taskmgr.exe) yang terdapat pada folder
C:\WINDOWS\system32\taskmgr.exe

Step 1

2.Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu
Send to My Documents.

3.Buka folder My Documents, kemudian Rename file “taskmgr.exe” menjadi “Explorer.exe” dan jalankan file tersebut, maka akan tampil Task Manager.

Step 2

4.Cari proses dengan nama aneh misalnya “eImHbDk02400.exe” kemudian kill proses tersebut (End Process).

Step 3

5.Buka Windows Explorer, aktifkan fungsi “Show Hidden Files and Folders” pada “Folder Options” dengan memilih menu Tools – Folder Options – View, pilih Show Hidden Files and Folders, lalu klik OK.

Step 4

6. Masuk ke folder “C:\Documents and Settings\All Users\Application Data” cari dan hapus folder dengan nama aneh, misalnya “eImHbDk02400” yang di dalamnya terdapat file dari SystemTools.

Step 5

7. (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder “C:\Documents and Settings\[nama user]\Local Settings\Temp“, cari dan hapus file Temporary (tmp) yang ukurannya tidak wajar (2MB ~ ) karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.

Step 6

8.Aktifkan Kembalikan fungsi “Do not show hidden files and folders“.
Pilih menu Tools – Folder Options – View, pilih “Do not show hidden files and folders“, dan klik OK.

Step 7

9.Log Off Komputer.
10.Komputer kembali normal.

Pembersihan menggunakan PCMAV:
Jalankan PCMAV dan scan seperti biasa dan lakukan scan menyeluruh.

Deteksi

PCMAV 4.7 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.7 Update Build3 telah hadir dengan penambahan 120 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.7 Update Build3:

Aksika-Indramayu
Aksika-Indramayu.txt
AlamarPica.vbs
Angelo.G
Angelo.G.host
AnitaLoroaji
AnitaLoroaji.inf
Autoit-Arif
Autoit-Cyrillic
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FD
Autoit.FD.ini
Autoit.FE
Autoit.FE.serv
Bajigur.vbs
Bajigur.vbs.bat
Bajigur.vbs.host
Bajigur.vbs.inf
Bali.B
Batam
Batam-BlackRider
Batam-BlackRider.inf
Batam.inf
BlackLove.E
CintaFitri.B
CintaFitri.B.inf
Cobax.exe.C
CoolStory
DarkWar
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
DirLock.C
DirLock.C.host
Enigma
FakeAV
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.setup
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
Fakhricker.vbs
FeSilva.vbs
FeSilva.vbs.inf
FnI-DiaryMimi.vbs
FnI-DiaryMimi.vbs.inf
Gabest.B
GavGent-HVM31
GrepoZipTsunami.vbs
GrepoZipTsunami.vbs.inf
GXRG-Snow.vbs
GXRG-Snow.vbs.host
GXRG-Snow.vbs.inf
GXRG.vbs
GXRG.vbs.inf
H323
H323.bat
Halted
IsroCiremai
IyanHapacker
JonBennett
JonBennett.inf
KefiUnique.vbs
KefiUnique.vbs.txt
KefiUnique.vbs.upd
Lz32.vbs.B
Lz32.vbs.C
Ossep.vbs
Ossep.vbs.inf
RadimPicha
RadimPicha.dll
RadimPicha.inf
RadimPicha.pass
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Recycler.BO
Recycler.BO.dll
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rose-Loren.E
Serviks.vbs.C
Serviks.vbs.C.doc
Serviks.vbs.C.host
SystemTools
Temps
Temps.INF
TripleExe
TripleExe.inf
VB-Shortcut-1.lnk
VBVN
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. zero
    March 16th, 2011 at 04:35 | #1

    majalahnya mana yg baru?

  2. koplakcoy
    March 16th, 2011 at 06:06 | #2

    gagal pertamax soalnya pertamax skrg dah mahal , apalagi yg pertamax plus.
    maju terus pcmav dan ditunggu rilis versi valhalla-nya.

  3. tifatul
    March 16th, 2011 at 11:01 | #3

    nungguin majalah spesial ultah. kapan terbit ya? btw ada yg taw nama malware yg kl kena nampilin backgroud police line dan ada tulisan you have committed network crime?

  4. sandra
    March 16th, 2011 at 12:00 | #4

    @tifatul
    Kaya ini ya kk? [IMG]http://i56.tinypic.com/4t350g.jpg[/IMG]
    Coba kk booting komputernya dari Safe Mode trus pake malware cleaner/remover yg udah bisa mendeteksi malware itu.. 🙂

  5. tifatul
    March 16th, 2011 at 12:13 | #5

    @sandra
    bukan itu,loe sok tau kayanya ya?bikin gw bingung aja. huh!

  6. icp_zkom
    March 16th, 2011 at 12:23 | #6

    untuk para master, mau minta info :
    1. database clamav punya pembersih ramnit, database pcmav juga punya pembersih ramnit… kalo ketemu virus ramnit kenapa lebih diprioritaskan database ramnitnya clamav ?
    2. kalo kita buka drive flashdisk (misal e:) melalui explorer (hanya open aja), kalo antivirus luar (ane pake mse) otomatis membunuh semua file virus ramnitnya otomatis sampe ke bagian yg ditularkannya juga, sedang pcmav harus manual scanning dulu itu pun hanya file autorun.inf dan shortcut2nya aja yg dibunuhnya. lalu rtpnya tidak mendeteksi penyerangan ramnitnya ketika kita hanya open drive flashdisk, padahal ramnit sedang bekerja di background. sehingga walaupun autorun.inf dan file shortcut udah kita bersihkan, tetap aja kalo kita replug flashdisk akan muncul kembali autorun.inf dan shortcut2nya. padahal hardisk udah discan total.
    3. ane pake pcmav 4.7.3 + clamav 16 maret 2011, windows 7.

  7. kunkun
    March 16th, 2011 at 13:01 | #7

    @icp_zkom nyimak ah, sama g juga kena ramnit bingung mau bersihin pake apa?

    belum sempet beli majalah pcmedia yang baru sih?

  8. ArSip
    March 16th, 2011 at 14:48 | #8

    Lumayan 10 besar.. 😀

  9. sandra
    March 16th, 2011 at 18:26 | #9

    @tifatul
    ya elah kk, kan sandra juga cuma tanya dan sekedar mau membantu… kalo emang salah ya maafin lah… 😀 emang repot sih kalo komputer lagi kena virus, jadi gampang emosi kitanya… xixixixii

    oiya, buat kk² yg di sini, kalo emang merasa mendapat jawaban dari user lain tapi kurang memuaskan, mending gabung di forum aja.. di sana banyak user lain yg lebih mengerti soal pervirusan, dan juga moderatornya ramah².. sapa tau jawaban di sana bisa lebih memuaskan.. 🙂 kalo sandra sih masih jadi pengamat pasif di forum, soalnya ga pernah kena virus (belajar dari pengalaman orang lain yg pernah kena virus)… xixixiii

  10. Why
    March 16th, 2011 at 19:16 | #10

    Awas ada virus !!!
    Jenis vbs : yang di edit dari originalnya toolkit 7

    adplus.vbs
    ZTICacheUtil.vbs
    ZTIUtility.vbs

    Web atau URL kadang Hang-Crash-Error.

  11. Why
    March 16th, 2011 at 20:08 | #11

    Litle Tips ______>>>>>> Mencegah infeksi virus:

    Always CleanUp the temp buat ngeredam virus Ramnit.

    >Delete : iframe.htmlDelete : $recycle.binDelete : System Volume Information<

    Jangan memakai software bajakan dan penggunaan keygen atau cracked.

    Kalau punya data penting segera di Backup dan Encryption lebih bagusnya gunakan software buatan sendiri.

  12. March 17th, 2011 at 02:19 | #12

    pcmav memang pas di hati, tadi malem baru kenalan dengan virus ini, terus pcmav semakin mengenalkanku dengannya dan cara mengusirnya

  13. gecol
    March 17th, 2011 at 15:27 | #13

    pcmav 4.7 yang saya pakai kuk selalu minta restart waktu laptop saya nyalakan ya? bantu problem saya dong….

  14. prayitno
    March 17th, 2011 at 17:51 | #14

    Mirip-mirip kaya Nano Antivirus yg ngaku2 AV, ternyata masuk kategori malware…

  15. blak
    March 18th, 2011 at 17:49 | #15

    saya sudah coba cara di atas tapi taskmanager tetap tidak bisa, kepada para master2 mohon bantuannya..
    thx

  16. qwerty
    March 18th, 2011 at 20:09 | #16

    bro, ane udah coba cara diatas, cuma pas ane copy taskmgr ke my document dan ane rename, task manager tetep ga bisa dibuka, ane coba buka PCMAV 4.7, katanya udah terinveksi, gimana ini bro? ada yang bisa kasih saran?

  17. In’s
    March 18th, 2011 at 22:19 | #17

    Udah tanggal 18, kok PCMEDIA 04/2011 belum terbit?

  18. Why
    March 18th, 2011 at 23:40 | #18

    Kalau PCMAV-nya nggak bisa di run, Di karenakan ada terinfeksi “”Trojan.Backdoor”” di komputer anda kalau bisa sih plugins CLAMAV-nya pake yang paling baru update-nya terus di scan dan jangan online dulu.

    =Exploits ++

  19. March 20th, 2011 at 10:14 | #19

    pc ku kena file .exe sama ada autorunnya.
    autorunnya susah di hapus (kecuali di linux)
    kalo .exe nya dihapus, pasti ada lagi
    help me

  20. snd
    March 20th, 2011 at 15:48 | #20

    pc ku kena new heur level(9), pake pcmav bisa ga di apus? klo pake smadav cuma di karantina aja.

  21. tifatul
    March 21st, 2011 at 10:15 | #21

    @sandra
    itu bukannya membantu tapi bikin masalh baru solanya gw nyoba kemarin malah eror.huhhh!!!. ah males masuk forum,orang-orangya ngomongnya bikin sakit hati.iya memang moderatornya ramah,tapi anggota forumnya rese-rese. jgn-jgn loe salah satu dari mereka ya?wkwkwkwk

  22. tifatul
    March 21st, 2011 at 10:17 | #22

    @prayitno
    ini lagi prayitno,sok tau. jgn ngikutin si sandra tuh! apa itu nano antivirus. ngaco aja!sama-sama ngaco

  23. korban
    March 21st, 2011 at 11:55 | #23

    aku kena

    KefiUnique.vbs
    KefiUnique.vbs.txt
    KefiUnique.vbs.upd

    hapus smwa file exe yang ada di replace sma file VBSnya…..
    Frustasi gan…..!!!!!

  24. Andi
    March 21st, 2011 at 12:34 | #24

    @tifatul: si prayitno bener tuh, nano virus dkk family antivirus palsu ada! cek saja xD, makanya aku ragu ragu gabung soalnya sudah penuh dengan orang kayak si why toh xD…..

    makanya harus protektif terhadap autorun kalau paranoid matikan fungsi autorun untuk USB Flashdisk untuk mencegah, dan anda harus perhatian lebih untuk mengeksekusi (?) menjalankan program……… pilih antivirus yang updatenya teratur misal tiap hari, tiap minggu, jangan milih yang update tiap bulan, nanti keburu diserang virus lebih updateloh

  25. Andi
    March 21st, 2011 at 12:36 | #25

    maaf double post

    @icp_zkom
    no 1: karena pcmav mungkin alogaritma untuk menintergrasi dengan clamav, akan ngeload database clamav dulu jika tidak terdeteksi di clamav baru ke pcmav databasenya (mungkin)
    no2. scan dulu processnya setelah itu baru autorun.inf dkk, jadi jangan kebalik ya, pcmav itu bersifat menunggu komando, jadi anda coba scan memory dulu setelah selesai scan flash disk anda, jadi obat pertolongan pertama itu di memory, kebanyakan beraksi disana. ini membuat beban kerja komputer karena virus selalu memonitori korban.

    semoga membantu, jika ada salah mohon maaf ya ^o^

  26. icp_zkom
    March 21st, 2011 at 17:38 | #26

    @andi :
    1) itu dia bro yg disayangkan, kan harusnya pake definisi virus intinya dulu yaitu pcmav punya, baru clamavnya… namanya juga addon kan clamav itu.
    2) kan ane udah bilang udah scan total hardisk kompinya, ya otomatis sebelum scan hardisk kan rutinitas pertamanya scan memory dulu bro…, karna ane selalu centeng tuh scan memorynya setiap mau scan apapun…

  27. cybermoon
    March 21st, 2011 at 18:49 | #27

    haduh, tmen2 nieh dtang kok malah debad, low ad comment yg g mmuaskan mending dkasih langsung jwaban yg pasti n myakinkan, jgn malah dbalas gtu, kn malah gak nyambung ma topikx ….

    ya gini ae, low mang pengen hasil yang memuaskan coba kasih DONASI buat team PCMAV, ehm pasti PCMAV lbih smangat lagi….

    low PCMAV gak mau kan bisa dismbangin ke KORBAN BENCANA LAENNYA

  28. March 21st, 2011 at 19:09 | #28

    pcmav 4.7 ragnarok 3 build 3 kedetek Worm /palepo.ccpo ma avira update tanggal 21 maret 2011.,,,,tolong pencerahan

  29. March 21st, 2011 at 19:43 | #29

    Wah.. bahaya nih… Harus lebih waspada lagi.

  30. Why
    March 21st, 2011 at 21:56 | #30

    Warning !!!

    Now Exploit used “Autorun” bawaan windows program jadi jangan pakai software bajakan.

    Februari bersemi ke Maret.

  31. edo
    March 21st, 2011 at 22:24 | #31

    duh…. pcmedia april dah nongol lum ya di jakarta?
    di sini lum nyampe-nyampe…

  32. Why
    March 22nd, 2011 at 05:20 | #32

    Buat PCMEDIA masukin donk artikel tentang gnome 3.0 kalau bisa sich + soft-nya yang full realese.
    Semoga PCMAV yang baru tetep bisa nge-Kill “VIP” (=Virus Indonesia Prankies).

  33. Why
    March 22nd, 2011 at 05:44 | #33

    Hmmm….
    DEA (=DDoS Eliminate Area) ada yang pake assembler bisa “Kill Bios System”.

    run32.dll ngeretas truss….

  34. satria baja hitam
    March 22nd, 2011 at 10:50 | #34

    lapor komandan,pcmav 4.7 ternyata pada avira terdeteksi sbg worm
    gimana langkah selanjutnya supaya pcmav g dideteksi worm lagi,padahal wkt d deteksi sbg worm,pcmav te2p jalan kug

    Satu lagi komandan,kapan pcmedia 4/2011 keluar???Ane dh ntelengin dr bulan kmarin tp majalahx te2p ja g nongol2

  35. rahman
    March 22nd, 2011 at 12:14 | #35

    team pcmav tolong user di Palu PC nya terserang virus zzz.ink, windows.ink dll

  36. prayitno
    March 22nd, 2011 at 12:59 | #36

    Windows Antivirus – Immunet 3.0, powered by ClamAV coba-coba antivirus cuman bisa aktif 15 hari setelah itu dianjurkan bayar, efektif kalo online (terhubung internet)

  37. Andi
    March 22nd, 2011 at 17:24 | #37

    ya maaf kalau gitu, ya udah saya kembali ngehack ROM XDDD

  38. Edo
    March 22nd, 2011 at 21:59 | #38

    duuhhhhhhh, dah gatel banget tangan ane baca pcmedia versi regular edisi ultah…
    sampe kebawa ke mimpi……

  39. prayitno
    March 22nd, 2011 at 23:41 | #39

    Beberapa waktu lalu datang flashdisk yg terinfeksi virus, pertama2 langsung jalanin livecd linux dan ilangin beberapa file/folder yg dianggap/berpotensi sebagai virus termasuk folder recycler didalam flashdisk… setelah merasa yakin barulah starting menggunakan windows keanehan muncul, folder2 sewaktu menggunakan livecd linux terlihat ternyata di windows tidak tampak sama sekali cuma ada satu folder welcome_files dan beberapa files pada root termasuk file welcome.html. kebetulan dihardisk ada program xnview dengan program ini folder2 yg tidak tampak oleh windows explorer disini justru terlihat… curiga dengan folder welcome_files dan files welcome.html maka dengan bantuan program xnview saya delete dua item tersebut… ajib folder2 yg terhiden muncul dengan sendirinya…

  40. Kresna
    March 25th, 2011 at 08:11 | #40

    Di mana ya bisa dapat antivirus PCMAV ?

  41. Riyan
    March 25th, 2011 at 12:08 | #41

    masih gan artikelnya sangat bermamfaat. . . .. . . . .

  42. rizqi
    April 1st, 2011 at 17:58 | #42

    trima kasih sblmnya karena ane jg kena virus ini tp berkat artikel ini bs ditangani virusny,.
    sekali lg terima kasih,..ijin copas,.ane bakal nyantumin sumbernya,.buat sharing dengan tmn-tmn