Tentang AdobeR.EXE

15 11 2007

Beberapa waktu lalu komputer saya pernah tertempeli file aneh. File ini bernama AdobeR.exe, dan umumnya saya dapati berasal dari flash disk / removable media bersama dengan 2 file lain. 1 file bernama autorun.inf dan 1 file berekstensi dll (msvcr71.dll). Di dalam file autorun.inf terdapat perintah yang bertujuan untuk mengeksekusi file adobeR.exe secara otomatis :

[AutoRun]
open=AdobeR.exe e
shellexecute=AdobeR.exe e
shell\Auto\command=AdobeR.exe e
shell=Auto

File2 tersebut ketika tidak sengaja di-klik maka kode2 yang ada pada file tersebut akan bekerja dan menginfeksi komputer serta membuat beberapa key di registry windows.

Oleh beberapa antivirus, file tersebut dikenal sebagai virus trojan. (tapi avg7.5 saya ga kenal hiks hiks..) , yakni Trojan.AdobeR/RavAV.Process. Trojan merupakan sebuah program yang menyajikan sebuah fungsi tertentu tapi seringnya memiliki dampak yang bersifat merusak. Beberapa file trojan bisa secara otomatis mendownload software atau beberapa file lain tanpa sepengetahuan pengguna komputer. Hal ini biasanya dikenal sebagai adware / spam.

Berhubung antivirus saya ga kenal, saya coba cari beberapa cara untuk menghilangkannya dari komputer saya. Ketika file tersebut dihapus, justru sebuah akses akhirnya diberikan oleh sistem kepada file tersebut. Meskipun singkat, hal ini sudah cukup bagi kode2 dalam file tersebut untuk beraksi dan menginfeksi komputer. Jika komputer sudah terinfeksi file ini, maka file tersebut akan ndompleng di direktori C:/windows (jika sistem berada di drive C:) dan membuat beberapa key di registry. Beberapa teman ada yang mengeluh, meskipun telah dihapus sebelumnya, setelah restart ternyata file tersbut muncul lagi.

Lalu gimana solusinya jika antivirus ga kenal?

Update antivirusnya, atau ganti dengan yang lain. Tapi jika bingung mau gimana, yang jelas, ketika kita menjumpai file yang mencurigakan, jangan berikan akses kepada file tersebut. Akses itu meliputi open, copy, bahkan delete. Jadi biarkan saja file tersebut berada di situ. Baik itu sudah menginfeksi komputer maupun belum.

Kemudian, lihat proses pada sistem, bisa pake Task Manager windows ataupun tool 3rd party seperti Process Explorer dsb. Amati proses apa yang mencurigakan, lalu catat dan browsing untuk mencari informasi tentang virus tersebut. Biasanya beberapa situs menyediakan tool untuk virus tertetu secara gratis.

Kembali cerita tentang adobeR.exe, kemarin saya nyoba pakai tool MS32DLL.dll.vbs_killer dari url http://howto.redcomputer.net/antivirus/adober.php . Tapi tool tsb ternyata busuk. Tidak memberikan hasil, malah dikenal oleh sistem sebagai trojan. Walah….

Akhirnya saya putuskan untuk menghapusnya secara manual. Sistem saya restart, kemudian saya masuk ke safe mode. Disana semua file yang berhubungan dengan adobeR.exe saya hapus, berikut key2 pada registry. Cukup manfaatkan fasilitas search dari windows, dengan menampilkan semua file yang tersembunyi. Jangan lupa untuk mendisble system restore.

Hasilnya? sistem saya bersih. File tersebut hilang sama sekali dan tidak muncul lagi.

Namun sebenarnya ada bebrapa tool yang bisa didownload. Cuma saya belum nyoba he he he …

http://www.superadblocker.com/definition/adober/
http://www.greatis.com/security/download.htm


Actions

Information

One response

29 10 2008
hari

saya juga menemukan file AdobeR.exe di handphone, saya gak sengaja menemukan, waktu mau transfer data lewat kabel data ternyata komputer saya mengeluarkan warning (di komp saya ada antivirus BitDefender) bahwa di drive E (drive HP) terinfeksi virus ‘Worm.Rjump.k’ yang ada di file AdobeR.exe wah bingung nih..anti virus BitDefender gak bisa ngilangi.. gimana dong..kasih tau ya apa itu worm.Rjump.k.. makasih infonya…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s




%d bloggers like this: