mungkin bisa coba hijackthis, trus log nya kirim ke sini. note: 1. tool ini bukan untuk menghapus virus tetapi untuk menganalisa program apa saja yang dijalankan oleh windows. 2. HJT dijalankan sebelum konek internet. simpan lognya. 3. HJT dijalankan setelah konek internet. simpan lognya. 4. Analisa log.
Tool tambahan: 1. Process Explorer -> untuk melihat program yang running. Rubah dulu nama program process explorernya dari procexp.exe menjadi nama lain.exe, beberapa virus klo denger nama procexp.exe langsung berusaha menyembunyikan diri. 2. Total Uninstall -> untuk mentrace program tersimpan dimana, registry & service apa yg dibuatnya. 3. Kopi + Snack -> supaya ga ngantuk. Regards, S..u..r..y..a d(^..^)b 2010/6/28 Kenthang_4 <kenthan...@yahoo.co.id> > > > Tks semua, : Langkah yang sudah saya tempuh : > 1. system restrore sudah saya matikan > 2. file cndrive32.exe dan msvmiode32.exe sudah saya delete baik secara > normal maupun lewat safemode > Termasuk juga file yang memakai nama angka dalam temp folder serta icon vb > dalam system (Semua terdeteksi oleh Smadav) > 3. File file di registry sudah saya delete, bukan hanya cndrive saja tapi > dia membuat beberapa file startup (Semua terdeteksi oleh Smadav) > 4. Komputer sudah saya install NOD32 dan Smadav > > Yang terjadi adalah : > Saat Komputer login semua baik-baik saja, tapi saat digunakan untuk koneksi > internet. Seitar 2-3 menit, tiba-tiba Smadav mendeteksi adanya file-file > baru yang dibuat diantaranya cndrive32, msvmiode dan file2 dengan nama angka > dalam temp folder. Seketika itu juga browser macet (dalam arti tidak bisa > menampilkan halaman). > Ada sih pembahasan cndrive32.exe di forum smadav, cuma belum ada yang > jawab.... > Ada yang pernah kena kaga? help me pls...... > BTW, Sepertinya ini virus baru yach.... hati-hati deh. > > tks B4 > > > > Ahmad Syahruddin wrote: > > > > Berikut adalah informasinya : > > - Kategori : > - malicious backdoor trojan > - network-aware worm > - Modifikiasi File System : > - %Windir%\cndrive32.exe > - Modifikasi Memori : > - Nama Proses : cndrive32.exe > - Lokasi file : %Windir%\cndrive32.exe > - Ukuran modul utama : 339,968 bytes > - Modifikasi Registry : > - > > [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] > - Microsoft Driver Setup = "%Windir%\cndrive32.exe" > - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] > - Microsoft Driver Setup = "%Windir%\cndrive32.exe" > > > Demikian semoga ada pencerahan dalam memperbaikinya. > > *===================* > Regard, > Ahmad Syahruddin > asm200...@yahoo.com > 3G iPhone User > > > --- On *Mon, 6/28/10, ones Asik <ones_as...@yahoo.co.id>* wrote: > > > From: ones Asik <ones_as...@yahoo.co.id> > Subject: Bls: [YF] [HELP] Virus cndrive32.exe > To: yogyafree-perjuangan@yahoogroups.com > Date: Monday, June 28, 2010, 12:18 AM > > > > coba search cndrive32.exe and hidden filenya aktivin,setelah ketemu > delete permanen aja > > by : one's > > > --- Pada *Ming, 27/6/10, Kenthang_4 <kenthan...@yahoo. > co.id><kenthan...@yahoo.co.id> > * menulis: > > > Dari: Kenthang_4 <kenthan...@yahoo. co.id> <kenthan...@yahoo.co.id> > Judul: [YF] [HELP] Virus cndrive32.exe > Kepada: yogyafree-perjuanga n...@yahoogroups. com > Tanggal: Minggu, 27 Juni, 2010, 2:32 PM > > > > Misi, ada yang punya solusi kaga? > Nie ada virus baru terdeteksi sebagai file cndrive32.exe bersemayam di > c:\windows > dan msvmiode.exe di c:\windows\system32 > > Nah, saat komputer dijalankan ini virus tidak aktif, tapi saat koneksi > internet diaktifkan (kebetulan pakai smart) > sekitar 2-5 menit muncul file tsb dan file bentuk angka (704, 822, 468 dll) > bersemayam di temp foldernya Doc & setting serta membuat beberapa file > start up (Smadav hanya mampu mendeteksi saja tapi tidak bisa menghapus > akar-akarnya, NOD juga hanya mendeteksi saja). Browsing seketika terputus, > tapi dilihat dari netstat file cndrive32 ini membuat koneksi ke beberapa > alamat IP. .. > > Nyari di mbah google, tidak ada yang menjelaskan secara detail. Mencoba di > situs antivirus ketemu di Superantispyware dan dinyatakan virus baru > diketemukan tgl 24 Juni dari Spanyol..... ... Kalau dari prevx dari Filipina > dan UK tgl 24 Juni juga. .... > > tks b4 > > > > > >
