Hujung Minggu bersama Trojan.Vundo

Hari sabtu dan ahad tempoh hari, aku menghabiskan masa untuk mencuci laptop aku yang diserang Trojan.Vundo ni. Benda bermula bila aku menginstall Viewpoint Media Player untuk view 3D model kat beberapa site pengeluar produk engineering.

Memula aku tak perasan yang laptop aku dah diserang, tapi lepas beberapa ketika, aku nak search guna google. Trojan.Vundo ni start untuk overwrite search result dari Google.com. Semua hasil pencarian akan dimasukkan dengan url yang akan membawa kepada website yang lain. Sehingga laman web untuk Antivirus seperti AVG dan sebagainya juga telah di redirect ke localhost.

Mula-mula aku scan laptop aku dengan menggunakan Malwarebytes Anti-Malware(MAM). Software ni aku dah lama guna untuk scan bebenda alah yang tak elok ni. Memang setakat ni, ini antara software untuk detect malware yang paling cam best aa yang aku pernah cuba. Malwarebytes Anti-Malware berjaya mengesan 23 Bendasing dalam laptop aku. Kebanyakannya Trojan.Vundo dan ada juga Backdoor.Agent yang menyelinap ke dalam System 32 aku. Kat bawah ni sebahagian daripada file yang di jangkiti

Files Infected:
C:WindowsSystem32khfFXnMd.dll (Trojan.Vundo) -> Delete on reboot.
C:WindowsSystem32dMnXFfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:WindowsSystem32dMnXFfhk.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:WindowsSystem32tlwqmdyo.dll (Trojan.Vundo) -> Delete on reboot.
C:WindowsSystem32oydmqwlt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:WindowsSystem32geBqNfCs.dll (Trojan.Agent) -> Delete on reboot.
C:WindowsSystem32vvjbkugi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:WindowsSystem32xxyaxVpQ.dll (Backdoor.Agent) -> Quarantined and deleted successfully.
C:WindowsSystem32byXNfFvs.dll (Trojan.Vundo) -> Delete on reboot.
C:WindowsSystem32ssqNFXnN.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Selepas reboot. Aku scan skali lagi dengan Malwarebytes Anti-Malware dan akan terdapat 2 file yang dijangkiti. Selepas itu, Malwarebytes Anti-Malware tidak lagi memberikan sebarang file yang dijangkiti.

Laptop seperti sudah bersih selepas itu, namun Blue Screen of Death pulak muncul selepas itu, so aku nyer pc auto restart sbbkan benda tu. Benda ini berulang selepas itu. Aku amek pilihan untuk membuat system Restore. Namun malangkan “Last known Good Configuration” dalam System Restore adalah waktu Trojan.Vundo telah memasuki computer aku. huhuhu… Tertekan sungguh aku.

Skali lagi aku scan ngan MAM untuk mencari, dan hasil yang sama diperolehi seperti yang terdahulu. Namun kali ini, sebelum aku restart, aku amek langkah untuk mencuci Registry menggunakan RegCure kerana Blue Screen ini biasanya disebabkan Registry yang bersepah. 1400+ Registry telah dijumpai mempunyai Errors. RegCure mencuci segalanya. Aku guna CCleaner gak untuk make sure semua okay.

Laptop nampaknya dah tak kuar Blue Screen untuk beberapa ketika. Aku kepenatan dah time ni, so gi tido apa semua… then bangun balek… nak cuba guna laptop. Tapi kali ni aku nampak balek, url yang di rewrite dari google search engine. huhuhuu… Maksudnya benda tu ada lagi. Aku try scan guna MAM, tiada Trojan yang dijumpai. huhuhu…. Sengal tul time ni, aku buka HijackThis untuk scan semua process yang running dalam system.

Kemudian aku jejalan, dan terbaca pasal SmitFraud, benda yang sebenarnya di running selepas Trojan.Vundo dibersihkan. Benda ni advertiser yang guna untuk rewrite url kat search2 engine terkenal. So aku guna SmitFraudFix yang dikeluarkan oleh S!r!. Tapi malangnya, SmitFraudFix macam taklerh nak running lek lok kat aku nyer Vista, even kalau aku guna Safe Mode sekalipun. Laptop aku akan restart balek sendiri time SmitFraudFix nak buat keje.

Aku dah naik fedup time ni, sebab dah masuk 2 hari keje aku tak jalan disebabkan benda alah ini, tapi aku takmao reformat gak sebab banyak keje nak kena siapkan, nak install balek semua software yang diperlukan tu makan masa…. huhuhu… tension tul dah time ni. So aku jejalan dan terjumpa BleepingComputer nyer website. Kat situ aku terbaca pasal ComboFix. So aku pun try Run ComboFix bersama-sama aku nyer Vista Repair DVD. Dengan harapan akan berjaya. Walaupun aku dah tulis gak entry kat BleepingComputer pasal masalah aku. Sebab tension dah tatau nak buat apa.

Aku pun baca tutorial pasal ComboFix tu, walaupun tutorial tu lebih banyak terangkan pasal Windows XP. Tapi lebih kurang jer. So aku pun try aa run ComboFix ni. Computer restarted sebab ada process yang guna Rootkit untuk running. So pastu ComboFix ni start scanning computer bla bla bla…. Sampai aa selesai… Restart skali lagi… dan ComboFix buat last checking… dan nampak gaya macam bersih dah.

So aku pun try search engine apa semua, nampak semua url okay dah, dan web-web yang sebelum ni diredirect ke localhost pun kembali berfungsi dengan jayanya… huhuhu…. Akhirnya berakhir gak serangan ni. Pastu aku jejalan aa nak tgk ada tak firewall cam best kat tenet. Walaupun dah beberapa tahun aku tak guna firewall. Sebab setakat ni kegiatan aku tak melibatkan apa2 yang mencurigakan. Tapi sebabkan kerja-kerja 3D yang aku tgh buat ini, nampak macam akan banyak lagi bebenda lebih kurang gini akan datang menyerang.

Aku terjumpa Suntbelt Personal Firewall(SPF) yang running untuk Vista gak. Sunbelt Personal Firewall ni dulu dikenali sebagai Kerio. So skang ni aku dok running SPF ni aa… stakat ni banyak aa ads² yang tak diingini dalam web di blocked oleh SPF. So arini aku dok scanning jer aku nyer computer, dengan dok baiki ada beberapa benda yang rosak time running ComboFix.

Akhirnya hujung minggu aku berakhir dengan Trojan.Vundo yang menyebabkan kerja-kerja aku terbengkalai sehingga hari ini… huhuhuhu…. tensi2 tul…

Peringatan kepada semua. Janganlah download Viewpoint Media Player tu. Kalau ada sesiapa yang perlukan bantuan selepas ni. Bitau jer aa… mungkin aku lerh tolong… sbb ada banyak lagi software lain yang aku tak sebut dalam entri ni…. yang telah membantu sedikit sebanyak dalam pencucian laptop aku kali ni.

Selamat semua.