Penulis Topik: Ground.exe (Trojan.Renamer.DF)  (Dibaca 37028 kali)

Offline Gho$t

  • Pro3
  • **
  • Tulisan: 3
  • Reputation: 2
    • Lihat Profil
Ground.exe (Trojan.Renamer.DF)
« pada: April 12, 2016, 03:21:09 AM »
Ground.exe terdeteksi sebagai Trojan.Renamer.DF oleh malwarebytes...

Virus ini membuat salinan palsu dari beberapa aplikasi  dan menghidden aplikasi yang asli dengan menambahkan huruf "g" pada awal nama aplikasi tersebut, misal : "winamp.exe" => "gwinamp.exe".

Jika kita buka aplikasi salinan yang palsu itu, maka akan tampil pesan error "namaaplikasi_mgr.exe has stopped working" => "winampmgr.exe has stopperd working" (tapi jika diclose x pesan errornya, aplikasinya tetap jalan). Nah saat salinan aplikasi yang palsu itu dibuka si virus membuat sebuah file bernama nama_aplikasimgr.exe (winampmgr.exe) yang sizenya 629 KB.

Mengembalikan aplikasi yang dihidden dan menghapus Ground.exe :

Virus ini bersemayam di "C:\Users\nama_user\Appdata\Roaming" tapi, untuk melihat penampakan virus ini perlu disetting pada pengaturan folder (Folder Options):
- Pada "Hidden files and folders" > pilih "Show hidden files"
- Hilangkan centang pada "Hide proteccted operating system files (Recommended)"
Maka akan tampak sebuah aplikasi bernama Ground.exe dengan ukuran 629 KB (pada windows 8.1 virus ini terlihat pada bagian startup dalam task manager, disarankan untuk mendisabled statusnya)

Mengembalikan aplikasi yang dihidden
Untuk mengembalikan aplikasi yang dihidden, gunakan attrib command, contoh :
- Misalnya lokasi aplikasi yang dihidden berada di drive G
- Buka command prompt, ketik = "G:" enter
- ketik = "attrib -s -h -r /s /d" enter
- kalo, aplikasinya sudah kembali muncul (unhidden) tinggal rename aplikasinya (hapus huruf g nya)

Menghapus virus Ground.exe :
Karena virus ini terdeteksi oleh antivirus Malwarebytes, maka disarankan untuk melakukan scan menggunakan aplikasi tersebut. (versi yang ane pakai : Malwarebytes Anti-Malware Home (free) 2.1.4.1018)
« Edit Terakhir: April 12, 2016, 03:23:25 AM oleh Gho$t »

Offline MozaikTM

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.788
  • Reputation: 791
  • Jenis kelamin: Pria
  • ...
    • Lihat Profil
    • MozaikTM
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #1 pada: April 12, 2016, 06:55:57 AM »
Aku minta sample nya bro.... >=)
Brain.EXE has stopped working. Error 0x00000007 (Out Of Memory).
Failed to Understand.

Offline Gho$t

  • Pro3
  • **
  • Tulisan: 3
  • Reputation: 2
    • Lihat Profil
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #2 pada: April 12, 2016, 07:42:24 AM »
There you go...

Offline MozaikTM

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.788
  • Reputation: 791
  • Jenis kelamin: Pria
  • ...
    • Lihat Profil
    • MozaikTM
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #3 pada: April 12, 2016, 08:08:33 AM »
There you go...
Hmm, Smadav ternyata belum mendeteksi file ini.
Hasil analisa VirusTotal.Com
DISINI
53/57 mendeteksi sebagai virus, kebanyakan Worm/Ramnit
Brain.EXE has stopped working. Error 0x00000007 (Out Of Memory).
Failed to Understand.

Offline FMB

  • Pro200
  • *****
  • Tulisan: 245
  • Reputation: 133
  • Jenis kelamin: Wanita
  • Team of ANLAV (ToA)
    • Lihat Profil
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #4 pada: April 12, 2016, 10:12:08 AM »
Hmm, Smadav ternyata belum mendeteksi file ini.
Hasil analisa VirusTotal.Com
DISINI
53/57 mendeteksi sebagai virus, kebanyakan Worm/Ramnit

ANLAV Antivirus mendeteksi file ini sebagai Ramnit B. dengan baik :D ngoehehe. Sepertinya file tsb adalah virus yang diinfeksi oleh 'virus' juga =))... (Fusion Virus)
« Edit Terakhir: April 12, 2016, 10:15:51 AM oleh FMB »
Team of ANLAV (ToA)

Offline MozaikTM

  • Moderator
  • Pro500
  • *****
  • Tulisan: 1.788
  • Reputation: 791
  • Jenis kelamin: Pria
  • ...
    • Lihat Profil
    • MozaikTM
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #5 pada: April 12, 2016, 10:15:25 AM »
ANLAV Antivirus mendeteksi file ini sebagai Ramnit B. dengan baik :D ngoehehe. Sepertinya file tsb virus yang diinfeksi oleh 'virus' juga =))... (Fusion Virus)
Dan Smadav belum bisa detek.... :D
Brain.EXE has stopped working. Error 0x00000007 (Out Of Memory).
Failed to Understand.

Offline FMB

  • Pro200
  • *****
  • Tulisan: 245
  • Reputation: 133
  • Jenis kelamin: Wanita
  • Team of ANLAV (ToA)
    • Lihat Profil
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #6 pada: April 12, 2016, 10:21:30 AM »
Ground.exe terdeteksi sebagai Trojan.Renamer.DF oleh malwarebytes...

Virus ini membuat salinan palsu dari beberapa aplikasi  dan menghidden aplikasi yang asli dengan menambahkan huruf "g" pada awal nama aplikasi tersebut, misal : "winamp.exe" => "gwinamp.exe".

Jika kita buka aplikasi salinan yang palsu itu, maka akan tampil pesan error "namaaplikasi_mgr.exe has stopped working" => "winampmgr.exe has stopperd working" (tapi jika diclose x pesan errornya, aplikasinya tetap jalan). Nah saat salinan aplikasi yang palsu itu dibuka si virus membuat sebuah file bernama nama_aplikasimgr.exe (winampmgr.exe) yang sizenya 629 KB.

Mengembalikan aplikasi yang dihidden dan menghapus Ground.exe :

Virus ini bersemayam di "C:\Users\nama_user\Appdata\Roaming" tapi, untuk melihat penampakan virus ini perlu disetting pada pengaturan folder (Folder Options):
- Pada "Hidden files and folders" > pilih "Show hidden files"
- Hilangkan centang pada "Hide proteccted operating system files (Recommended)"
Maka akan tampak sebuah aplikasi bernama Ground.exe dengan ukuran 629 KB (pada windows 8.1 virus ini terlihat pada bagian startup dalam task manager, disarankan untuk mendisabled statusnya)

Mengembalikan aplikasi yang dihidden
Untuk mengembalikan aplikasi yang dihidden, gunakan attrib command, contoh :
- Misalnya lokasi aplikasi yang dihidden berada di drive G
- Buka command prompt, ketik = "G:" enter
- ketik = "attrib -s -h -r /s /d" enter
- kalo, aplikasinya sudah kembali muncul (unhidden) tinggal rename aplikasinya (hapus huruf g nya)

Menghapus virus Ground.exe :
Karena virus ini terdeteksi oleh antivirus Malwarebytes, maka disarankan untuk melakukan scan menggunakan aplikasi tersebut. (versi yang ane pakai : Malwarebytes Anti-Malware Home (free) 2.1.4.1018)

Sepertinya selain itu virus Trojan Renamer, sepertinya virus trojan renamer tersebut juga terinfeksi ramnit =)) (terindikasi ada file mgr). Sebaiknya segera gunakan PCMAV express for ramnit atau pake Microsoft Security Essentials supaya file-file yang terinfeksi ramnit juga di-cure.. soalnya ramnit bikin leptop lemot + nyedot bandwith internet =)) ... Btw Setahuku malware-bytes belum bisa mendeteksi file-file yang terinfeksi seperti Ramnit, Virut, dsb + cure virus ts :D (CMIIW).
Team of ANLAV (ToA)

Offline Zai

  • Admin
  • Pro500
  • *******
  • Tulisan: 2.892
  • Reputation: 58629
  • Jenis kelamin: Pria
    • Lihat Profil
    • Zainuddin Nafarin Blog
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #7 pada: April 12, 2016, 10:30:47 AM »
Smadav sekarang sudah berkurang kemampuannya mendeteksi fusion virus (executable malware yang terinfeksi virus lain), karena sistem database-nya sudah diganti dengan yang lebih akurat.
4 main functions of Smadav :
(1) Additional protection for your PC, 100% compatible with other Antivirus!
(2) Best USB Antivirus, no more infection from USB!
(3) Best for offline use and low resource Antivirus
(4) Manual cleaner & tools to fight malwares

Offline FMB

  • Pro200
  • *****
  • Tulisan: 245
  • Reputation: 133
  • Jenis kelamin: Wanita
  • Team of ANLAV (ToA)
    • Lihat Profil
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #8 pada: April 12, 2016, 10:32:41 AM »
Smadav sekarang sudah berkurang kemampuannya mendeteksi fusion virus (executable malware yang terinfeksi virus lain), karena sistem database-nya sudah diganti dengan yang lebih akurat.
Yang lebih akurat bagaimana mas zai ?? :D Bisa dijelaskan :D ? ngoehehe
Team of ANLAV (ToA)

Offline Zai

  • Admin
  • Pro500
  • *******
  • Tulisan: 2.892
  • Reputation: 58629
  • Jenis kelamin: Pria
    • Lihat Profil
    • Zainuddin Nafarin Blog
Re:Ground.exe (Trojan.Renamer.DF)
« Jawab #9 pada: April 12, 2016, 10:36:33 AM »
Yang lebih akurat bagaimana mas zai ?? :D Bisa dijelaskan :D ? ngoehehe

Kalau versi 10.5 dan sebelumnya, hashing-nya hanya di beberapa titik file, kalau di versi 10.6 hashing-nya sudah berbeda. Jadi, kalau file malware-nya di infeksi virus lain, tak akan terdeteksi lagi sebagai malware tersebut karena struktur filenya sudah berubah :D
4 main functions of Smadav :
(1) Additional protection for your PC, 100% compatible with other Antivirus!
(2) Best USB Antivirus, no more infection from USB!
(3) Best for offline use and low resource Antivirus
(4) Manual cleaner & tools to fight malwares