Awas Kiriman Trojan dari China

Berawal dari Kelelahan maintenance dengan mengandalkan Antivirus.

Dimana, minimal 1 minggu sekali gua harus ghost ulang setiap PC client.

Sekarang Sudah setahun gua coba deepfreeze v 6 standar Ed

Selama ini ga ada masalah, sampai suatu ketika ……

Dari 20 PC dalam sehari pasti ada 4 atau 5 PC yang hang saat loading windows, koneksi ke biling server putus, Internet menjadi lambat.

Benar-benar memusingkan.

Semakin lama kondisi semakin parah.

Coba Instal Panda AV+firewall 2007. Setelah terupdate lgs scan Hdd . . . Nothing Found…

Ono opo iki …..

Ndas ku cekot-cekot

28 Juni 2008

Akhirnya . . .

Terjawab sudah semua …..

Setelah diperhatikan.

Ternyata setiap kali gua coba buka situs apapun, tampak di status bar selalu meload :

h**p://mx.content-type.cn:443/day.js

Dan usut punya usut, ternyata PC yang terinfek trojan ini adalah PC Editing (PC yg biasa digunakan oleh operator warnet untuk mengerjakan tugas editing).

Memang PC Editing ini tidak di Deepfreeze.

Coba tanya sama Mbah Google.

Ternyata pada tanggal 28 Juni Mbah google sendiri baru mempunyai 2 situs referensi yang membahas tentang trojan ini dan itu pun berbahasa china. (sampai saat ini google terus manambah halaman situs yang membahas tentang trojan ini namun sebagian besar masih berbahasa china).

Jurus yang GombaL gunakan untuk menepis trojan ini:

  1. Selama proses pengobatan, putuskan semua jaringan tanpa terkecuali
  2. Ghost ulang / Instal ulang semua PC tanpa terkecuali.
  3. Bagi yang masih menggunakan XP SP2, segera Upgrade ke SP 3 semua pc tanpa terkecuali
  4. Pasang kembali Deepfreeze andalan sampean disemua PC Client tanpa terkecuali
  5. Bila spek komputer untuk client memungkinkan, tambahkan antivirus Internet Securiti. (sampai saat ini GombaL masih setia sama Kaspersky, hanya sekarang beralih ke versi KIS) dan jangan lupa untuk melakukan update setiap hari.

Link Download XP SP3 :

Microsoft

Mirror Local :

Indowebster

Semoga Membantu

90 Responses to “Awas Kiriman Trojan dari China”

  1. Tringular Says:

    Trojan ini menginjeksi javascript pada setiap halaman web yang diunduh oleh browser, kemudian javascript ini akan dieksekusi untuk unduh trojan yang lain.

    beberapa link yang dihubungi oleh trojan:
    h**p://mx.content-type.cn:443/day.js
    dt.tongji.cn.yahoo.com
    h**p://js.tongji.cn.yahoo.com/621252/ystat.js

    Update firewall Anda…

    ==================================================
    Thanks Tringular atas info tambahannya.
    Memang sekarang, orang pinter banyak yg makin keblinger …..
    Mungkin ada tips buat clean tanpa instal ulang ?
    Untuk saat ini saya lagi coba pakai A-Squared
    Bila ada kabar baru akan segera saya posting

    ==================================================

  2. takien Says:

    Wah.. tengkyu boss…
    warnet ane jg kena nih😦

    ternyata virus sekarang makin tidak bersahabat..
    setelah instal ulang semua kom gara2 alman, kemudian microsoft.vbs, masa’ masih kudu berurusan dengan mx.content-type.cn lagi :(( tidaaaaaaaaaaaaaaaaaaaakkk…

  3. korban Says:

    makasih banyak ya bos infonya sangat berguna..

    nih saya lg proses download patch sp3….

    nanti akan saya kabari klanjutannya….

    sekedar info utk semua bahwa yg membahayakan virus ini adlah virus ini menjangkit ke jaringan, jika slah satu pc ter infect, ga menutup kemungkinan utk pc yg lain juga kena…

    waspada aja utk semua…

    salam

  4. korban Says:

    wakakak

    gak nyadar bahwa yg koment di atas gw si takien dudud

    wakakakakk

    dodol dah

  5. takien Says:

    nape sih loe ki kok bisa sampe kemari. pertama sih gak nyadar, lama2 loh kok.. ada loading mx.content-type.cn segala… kuperiksa halaman web gak ada yang mengandung link tersebut tuh… gak taunya virus bangsat.. eh trojan ya.. whatever your nem, ini virus bikin lambat dah..

  6. gombal trendy Says:

    Benar kata Tringular

    Update firewall PC kamu !!
    Dengan update SP3 otomatis mengupdate firewall.

    Tidak perlu takut komputer menjadi lambat setelah instal Sp3, karena justru sebaliknya, komputer akan terasa lebih enteng …. !!!

  7. abror Says:

    oii aq jg kena nih warnetku….dan yang lebih mengherankan..dy jg menyerang client linux ubuntu

  8. adas Says:

    bos gw uda download and upadte SP3…
    tp masih kena bos…knp ya…

    warnet gw kan pake 2 line koneksi internet, kl pake speedy baik2 aja itu virus ga kedetek, tp pas ganti ke koneksi lain yg pakai wireless itu virus kedetek lg…

    apa mgkn virusnya uda ada sumbernya yg di pc wireless ?

    knp ya bos kok bs gini :((

  9. gombal trendy Says:

    Trojan ini sangat cepat menyebar pada jaringan.
    Oleh sebab itu pembersihan harus benar-benar tuntas (disarankan untuk instal ulang semua pc, tanpa terkecuali).
    Selama masih ada PC yg belum dibersihkan, jangan menghubungkan pc tersebut dengan jaringan.

    Bila ada pc yg tidak bisa diinstal ulang (dengan alasan2x tertentu) Coba gunakan anti malware a-squared untuk melakukan pendeteksian dan pembersihan trojan.

    Setelah melakukan langkah-langkah di atas, sampai sekarang warnet gua masih aman …..

    @ Adas
    Besar kemungkinan trojan masih tersimpan di proxy server.
    Lakukan pembersihan “TANPA TERKECUALI”

    @Abror
    Trojan ini menginjeksi javascrip, tanpa pandang bulu pake ubuntu atau mikocok, selama masih menggunakan javascrip, kalo trojan sudah ngendon di pc bakal jadi korban juga.

    Sampai saat ini GombaL sendiri belum tau, trojan ini bersumber dari mana. Mungkin bila sudah tau sumbernya kita bisa cegah agar tidak terinfeksi trojan ini.

  10. hendri Says:

    Bos aku udah update windows xp ku ke sp3 final relaese, dan kebetulan saya sudah pake kaspersky internet security hampir 2 tahun ini (Original versi 6). Tapi hasilnya sami mawon, alias sama aja. Tetep aja tuh mx.content-type.cn menempel di web browser gue. Pusing2x akhirnya saya gunakan peerguardian2, saya block aja semua akses dari situs tsb. Tapi usut2x punya usut tampaknya nih trojan serentak menyerang tanggal 28 Juni 2008, saya udah masuk forum kaspersky banyak yg nanya, dan kejadiannya sama, yaitu 28 Juni 2008. Tapi alhasil, gara2x pake peerguradian koneksi rada sedikit lambat, kalo udah begini minta direstart dulu. baru kenceng lagi koneksi. NIh kepala gue juga pusing, komputer gue masih terinfeksi

  11. gombal trendy Says:

    @Hendry
    Memang untuk saat ini belum ada yang memberikan jurus ampuh selain instal ulang (terutama untuk komputer jaringan). Sedangkan penambahan sp3 hanya untuk pencegahan agar tidak terjangkit lagi (update security firewall). Tapi jangan lupa, Trojan/Virus ini selalu mengupdate dirinya.
    Maling selalu selangkah lebih maju dari pada polisi.
    Silahkan baca artikel berikut ini.

    Sumber Vaksin.com :
    Bagaimana cara mengatasinya ?

    Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah … NGELAMUN dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda. Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan data kira-kira apa sih yang terjadi.

    Anda dapat menggunakan tools gratisan Colasoft Mac Scanner (http://www.colasoft.com/mac_scanner/mac_scanner.php) dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy

    (lihat gambar)

    Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.

    Langkah pamungkas

    Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.

    Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing

  12. rotyyu Says:

    Hehehe…. penyakitnya teknologi….
    Makin canggih makin buat kita enak dan juga makin susah…

    Bravo PENGUIN!!

  13. daniel Says:

    solusinya liat di yahoo answers ttg virus ini,sebab saya yg nulis juga disana.

    solusinya: virus ini menyerang salah satu komputer yg berada dalam suatu jaringan(network) biasanya cukup 1 PC saja yg terinfeksi, tetapi PC lain tidak terinfeksi hanya tampaknya saja. caranya cari tau dulu PC mana yg selalu broadcast ke IP lokal jaringan(dalam hal ini saya pake winbox mikrotik, maklum yg saya betulin jaringan kantor yg pake PC server mikrotik).cukup liat icon di pojok kanan bawah,kalo nyala terus walau PC itu tdk browsing,itu tandanya selalu broadcast.langkahnya cabut kabel LAN lalu install ulang aja PC itu. beres deh……

    tapi kalo gak mau susah,(egois/masa bodoh/gaptek),pake aja browser mozilla firefox, install noscript utk firefox ini linknya: https://addons.mozilla.org/en-US/firefox/addon/722

    dah beres deh………

  14. arief Says:

    Solusi ini mungkin bisa dipertimbangkan, hanya saya belum tahu apakah ini efektif atau tidak (masih menunggu masukan dr rekan yg mencoba teknik ini). Caranya, buat dns spoofing untuk domain2 di bawah ini di mesin router yg juga jadi mesin dns caching untuk LAN:
    content-type.cn
    tongji.cn.yahoo.com

    Di sini untuk server warnet pakai slackware linux dengan djbdns untuk caching dns dan dns lokal:

    # cd /var/dns/namedb/root/
    # tail data

    .content-type.cn:127.0.0.1:a:259200
    .tongji.cn.yahoo.com:127.0.0.1:a:259200
    +content-type.cn:127.0.0.1:86400
    +tongji.cn.yahoo.com:127.0.0.1:86400
    =52.content-type.cn:127.0.0.1:86400
    =52.tongji.cn.yahoo.com:127.0.0.1:86400

    # make

    # echo 127.0.0.1 > /var/dns/dnscache/root/servers/content-type.cn
    # echo 127.0.0.1 > var/dns/dnscache/root/servers/tongji.cn.yahoo.com

    Kemudian reload djbdns.

    Sesuai comment Tringular , jika ada trojan yg tembus maka dia akan dwnload trojan yg lain, nah akses ke trojan yg lain diblok oleh teknik dns spoofing di atas.

  15. obwellyx Says:

    Dear All,

    Saya dapat solusi dari temen yg pegang jaringan kantor, sbb:

    1. open file ‘hosts’, yang ada di folder:
    c:\windows\system32\drivers\etc
    2. tambahkan:
    127.0.0.1 mx.content-type.cn

    Solusi ini cukup membantu untuk memulihkan kecepatan akses internet.

  16. Broncho Says:

    Hello! I don’t speak your language, but it seems that you have solution to that problem! I have the same problem at work – network is freezing, every page has:

    “”

    in it’s code.
    So could someone translate that post and comments in English or German cuz work here in office literally stopped!😦

    Thanks in advance,
    Sasha.

    ===================
    Hi, Sasha

    Try this one : Yahoo Answers

    Good Luck
    ===================

  17. faisal_malmsteen Says:

    mas kompi dikantor saya juga kena, virus ini kebetulan nyebarinnya salah satu medianya YM.
    kebetulan pcnya pake kaspersky, tapi tetep jebol, coba-coba bersihkan pake antivirus avira..hasilnya, lumayan, setelah dah bisa internetnya kavnya saya update…

    thanx

  18. day.js ads[2].js Trojan-Downloader.JS.Small.js Sorunun Çözümü | Tr-PortaL.NeT Says:

    […] yabancı kaynaklarda ise sorunun Windows XP SP3 ile çözümlenebileceği söyleniyor. Windows XP SP3 indirmek için […]

  19. QQ Says:

    kalau pcnya udah bersih biar ga kena lagi install “Spywareblaster” soalnya ditempatku pc-pc yg aku install spywareblaster ga kena trojan ini, ada 1 pc yg lupa aku installin sekarang kena terpaksa install ulang lagi🙂

    buat yg udah kena kalo males install ulang bisa pake addon mozilla noscript yg dikasih diatas, ampuh juga cuma rada repot browsingnya😀

  20. masbadar Says:

    ah, akhirnya, nemuin juga rekan2 senasib..

  21. masbadar Says:

    ini pengalaman buruk saya, sejak 5 hari yg lalu, ketika saya membiarkan pc terinfeksi oleh trojan ini, dari sebuah software di 4shared. saya tenang2 saja karena pake deepfreeze 6.0. Dasar terlalu pd, malah buka admin wordpress. Asumsi saya, gak mungkin lah, ia nyerang w-p. Ternyata, setelah pc restart, setiap buka blog sendiri, langsung deh, lelet. rupanya trojan ini menggunakan chace pada firefox, menggunakan ie versi 6.xx, bisa terdeteksi ada script yg gak beres.

    blog saya sudah teracak-acak, silahkan download saja blog saya, jika pake avira terakhir pasti terdeteksi.

    Akhirnya langkah pengamanan adalah balik pake ie lagi dan pasang avira serta deepfreeze lagi, sorry buat mozilla, saya uninstall dgn mengirim sedikit pesan security.

  22. gombal trendy Says:

    @Masbadar

    Saya sudah mencoba download blog anda berulang kali, tapi tidak mendeteksi apapun.
    Bila benar WordPress anda terinfeksi trojan ini, kemungkinanya besar sekali semua yg memiliki akun di wordpress juga telah terinfek.

    Kesimpulan saya,
    Bukan W-P anda yg terinfeksi, tapi komputer/jaringan anda belum steril benar dari trojan ini.

    coba anda buka wordpress anda dari tempat lain (bukan dari jaringan anda).

  23. masbadar Says:

    ok, thank you.. 1000x
    saya akan coba test dari jaringan lain..
    mudah2-an gak jadi bikin blog baru..😀

  24. Tringular Says:

    Sekarang alamatnya berubah menjadi:
    h**p://ad.5iyy.info/day.js

  25. Hoang Says:

    So anyone know how can I remove this adware? I’m using Windows XP and Vista and both got infected by this adware. I’m connecting to a local network so I think maybe this adware comes from local area network.
    Thanks.

  26. gombal trendy Says:

    @ Hoang
    Used browser mozilla firefox, instal noscript for firefox, this link : https://addons.mozilla.org/en-US/firefox/addon/722

    Or
    For the best solution at this time was clean install all pc in your local area network.

    Or
    Check one by one pc in the local area network with netcut, when you find ip some pc that changed automatically, please clean install this computer. When the cleaning it was suggested interrupted all pc from the local are network.

  27. Hoang Says:

    Thanks for your reply, trendy.

    I have tried NoScript add-on but still want to completely remove the annoying script.

    As far as I know this is not a “real” trojan or malware something beacause I found no .exe or .dll file. Maybe it just edited some registry keys, or it just comes from somewhere on my LAN (there were times it disappeared from page source).

    A system re-installation my PC or even my whole LAN would be a profoundly last solution that no one want to take.

    Guess the next couple of days I would try fighting this Chinese trick.🙂

  28. gombal trendy Says:

    For translate comment from Indonesian to English, Copy comment and
    Try this one :
    http://www.toggletext.com/

  29. Michal Says:

    Take a look on our solution for this “China Trojan” we found: http://topfueber.de/?p=8#english

  30. anu Says:

    saya juga pernah 2 minggu menghadapi masalah yang sama.
    solusi pastinya belum ketemu sih, cuman sekarang saya install firewall tambahan selain firewall dari windows.
    namanya sygate personal firewall yang mempunyai fasilitas anti mac spoofing. hasilnya lumayanlah, pc” di warnet sini jadi jarang banget terkena si tongji ini😛
    kalaupun ada y terinfeksi akan ada notification dan log di komputer” lain bahwa ada ip address yang melakukan mac spoofing.

  31. Tongji - Teh apa virus??? | Small Notes Says:

    […] Huff… selama ini belum ada cara yang ampuh untuk ngilangin selamanya di jaringan. Tapi kalo untuk mencegahnya, aku nemu tips dari blogger lain di blognya jailangkung. […]

  32. gombal trendy Says:

    Tinggalkan Yahoo Messenger versi 8
    Gunakan Yahoo Messenger V 9

    Download Yahoo Messenger 9 (beta) For XP :

    Link resmi YM (online install)

    or

    Indowebster (Offline install) >>> Just download N install without internet connection

  33. hanco Says:

    Buat yang udah kena. pake ajah antiarp spoofing di server or computer yang benar2 bersih.
    tapi itu hanya cara penanggulangan sementara, sambil menganalisa komputer mana aja yang sedang melakukan proses spoofing. Kliatan kok ip mana aja yang sedang attacking.
    menurut saya virus ini bisa njebol deep freeze 6 low.
    waktu itu saya pernah semaleman nungguin 2 kompie yang ada deppfreeze nya. awal kompie idup sih ndak ada masalah, koneksinya lancar, tapi setelah beberapa menit, tiba2 koneksinya putus. pusing ndak ketemu solusi, tapi akhirnya dapet anti rootkit GMER, nah ternyata virus ini tidak berbentuk .exe tapi .dll .sys dan juga menginjeksi file explorer.exe. tapi sekarang ndak ada masalah dengan warnet saya,
    nih log antiarp spoofing

  34. masbadar Says:

    sip, ada perkembangan baru..
    pantau terus, wan kawan..

  35. ray16 Says:

    gak perlu sampai install ulang gitu mas,
    coba baca disini,

    http://yogyafree.net/forum2/viewtopic.php?f=23&t=23782

    hope will helps🙂

  36. gombal trendy Says:

    @ Ray …
    Ganti mac address berkali-kali ya?
    Hmmm …. kalo harus sampe 7 kali, kayaknya mendingan ghost ulang deh. 5 menit selesai.

    Tapi ok jg buat yg males instal ulang tapi belum punya image ghost-pc

    @ Hanco
    Thanks banget, infonya.

  37. gombal trendy Says:

    ANTI ARP + TRIAL RESETER

    4shared

    setelah Trial 15 hari habis.
    uninstall antiarp, then run AppTrial.exe
    Install again antiarp.

  38. gombal trendy Says:

    Sygate Personal Firewall 563408

  39. Ary Says:

    wah ngeri bgt yah
    ternyata ga disangka ..
    saranin dong antivir yang bagus tuk saat ni ap yah ?

  40. hanco Says:

    satu info lagi
    salah satu ciri pc yang terinfeksi adalah
    file “host” yang ada di c:\Windows\System32\Driver\etc\host
    akan berbentuk seperti ini :
    127.0.0.1 localhost
    202.165.102.205 972.aksjd11.com
    202.165.102.205 w3og.cn
    203.208.35.100 qazc.fourtw.cn
    203.208.35.100 http://www.aujoy.cn
    203.208.35.101 http://www.hao601.cn
    203.208.35.101 http://www.psp476.cn
    72.14.235.99 222.1212l112.net
    72.14.235.99 444.1212l112.netn
    72.14.235.99 555.1212l112.net
    72.14.235.99 111.1212l112.net

    masih banyak lagi kebawah. untuk itu sudah saya upload. salahkan sedot.
    http://download2.gilaupload.com/filepointer.php?fid=1a97cedb9403869c1ad53f6713d2708d

    ^^ Buka pakai notepad

  41. gombal trendy Says:

    mungkin situs ini dapat membantu :

    Blocking Unwanted Parasites with a Hosts File

  42. Bode Says:

    assalammualaikum… salam sejahtera.. Makasih atas infonya, saya juga dapet info dari milis dan web yang membahas tentang trojan ini banyak sekali.. semua kompi saya udah saya install ulang, dan sudah pake deep freeze tapi masih kadang2 sering muncul di broser link tersebut. kemungkinan kalau router kena trojan ini bisa ga?. Router Modem saya , bukan PC, jadi merek SMC. apa mungkin saya udah reset manual dan upgrade firmware masih kena juga dan router ini bisa terinfeksi.
    Untuk tambahan info saja, Pake deepfreeze versi 6 sepertinya tidak mempengaruhi trojan tetep bisa muncul kembali.
    Terus saya agak curiga denga File dengan extensi *.gif biasanya namana angka 1,2,atau 9 dst kalo ini muncul biasanya broser firefox akan memunculkan trojan ini. file ini bercokol di C:\Documents and Settings\Win\Local Settings\Temporary Internet Files. dan C:\Documents and Settings\Win\Local Settings\Temp
    terus ada virus yang ngubah Jpeg menjadi .exe.
    Niatnya aku mau format semua PC dan intall ulang. dan saya masih ragu apakah virus ini akan juga menginfeksi data backup saya. dan semua yang saya lakukan juga percuma. Saya udah ga tidur beberapa hari oleh kerjaan virus ini. untuk semuanya semoga info saya dan sharingnya saya ucapkan terima kasih.
    Semoga solusi terbaik yang bisa ditemukan.
    amin…
    wass.

    Tantobode

  43. Hanco Says:

    Kalau di tempatku. seperti comment saya yang diatas.
    – Install Antiarp di komputer yang bener-bener bisa dipastikan tidak terinfeksi. (kalaupun terinfeksi pasti arp mendeteksi adanya OUTGOING ARP SPOOF).
    – Liat PC mana saja yang sedang melakukan spoofing.
    – Install ulang atau kalu punya Image Ghost di ghost ajah. Lima menit beres.😀

    Kalau modem atau router terinfeksi belum ada indikasi kesana.

    NB : antiarp bukan hanya untuk firus sih sebenernya. tapi juga untuk mengatasi para client yang ingin berbuat curang seperti menggunakan cain n abel yang berfungsi untuk mencuri username dan password (friendster/mailyahoo/dll) dari client lain. Tapi karena Anti arp craknya berupa resetter maka di computer client saya ganti dengan software XARP+crack selamanya, soalnya repot nanti kalau ngecrack 19 client, harus bukak deepfreeze dulu. capek dech…

    Demikian, semoga dapat menjadi referensi teman2 yangmempunyai problem yang sama…
    THX
    Hanco

  44. gombal trendy Says:

    @ Bode

    Beruntunglah anda, karena yg puyeng bukan anda seorang.
    He he he ….

    Solusi yg paling jitu, tentunya instal antivirus yg terupdate di semua PC.

    GomBaL juga sempet begadang mikirin nih trojan . . .

    Akhirnya untuk mastiin, gombal istall ulang satu komputer kemudian pasang AV (GomBaL pake Kaspersky 6)

    Setelah terupdate, full scan komputer.

    Setelah dipastikan bersih, baru bikin image ghost.
    Lalu oper deh … ke semua PC.

    And finally … pasang deepfreeze.

    Double protection Man …

    Eh, jangan lupa pasang password untuk kaspersky, biar user yg jail ga bisa matiin kaspersky.

  45. Anu Says:

    buat y make sygate di client warnet sebaiknya dikunci pake password biar user ga bisa kill firewall nya. selama firewallnya jalan keknya ga ada masalah ma tongji”an😛

  46. hanco Says:

    Ada satu ide, sebenernya sih bukan ide waras. tapi keknya ndak ada salahnya klao dicoba.
    gimana kalo ip dari hxxp://ads.633f94d3.info/day.js
    kita doss server nya biar ndak tambah lagi korbannya.
    trus semisal teman2 punya keahlian hack, ndak ada salahnya kalo dibuat untuk kebaikan.😀
    salam
    Hanco

  47. Bode Says:

    Wah.. trojannya antik juga ya… selalu update dan alamatnya berubah-ubah tempat updatenya… tutup satu tumbuh seribu nih kayaknya…. Semoga ga menyebar banget kasian anak sekolah… cari data lama banget

  48. [cgi-error] Says:

    makin canggih aja pirus2 jaman sekarang😀 bukti bahwa tingkat pendidikan dan standar pendidikan maju pesat😀

  49. Budiman Says:

    Numpang tanya Friend,

    Di warnet saya kayaknya mempunyai masalah yang sama nih, dah berulang2 saya format hardisk dan intall ulang secara aman (lepas dari LAN), protek pakai deepreze 6.0 . scan berulang2 pakai Kaspersky 7.0 , tapi sial setelah dimasukkan ke Hub LAN bermasalah lagi. Padahal semua kompi sudah diprotek deepreze.

    Ditempat saya masalah ini ditandai dengan IP conflict, padahal dah semua IP dah diseting static plus hub Baru super baru. Billing explorer versi dinamic semaput. Hang dan putus.

    Masalah yang lain, setiap client brwosing selalu keluar pop up minta di intall langguage pack.

    Ada yang bisa tolong solusinya ndak please?

    NB.
    Tolong di beritahu step by steps dong, bagaimana cara merubah mac address?

    Mac yang mana ya?

    Mac modem atau mac ethernet card?

    Salam,

    Budiman

  50. yummy Says:

    Ini ada tool yang mungkin berguna sebagai senjata buat perang lawan trojan ini…….

    1.HijackThis: melihat registry yang cacat/kena sama trojan dllsb…

    2.ColasoftMACScannerFree: melihat client yang sama MAC nya dengan router gateway

    3.killer.bat,hosts.txt,fix.inf: Script untuk memberantas file file yang terinfeksi di PC.. (run di save mode)

    karena scriptnya masih tahap pengembangan mohon teman2 bisa mengupdate file2nya yang terinfeksi yah
    ————————
    English:
    I had weapon tool to attack this trojan, may helpfull
    Program:
    1.Hijakthis: see malfunction registry

    2.ColasoftMAC: see client which contaminated by trojan which the MAC address same as the router gateway

    3.killer.bat,hosts.txt,fix.inf: script to destroy the infected trojan (run in safe mode please)

    please update the script, ’cause this script in development.
    ———————-
    LinkFile:
    http://rapidshare.com/files/131747854/Trojan_Downloader_win32.Small.xwr_Remover.zip.001
    http://rapidshare.com/files/131747855/Trojan_Downloader_win32.Small.xwr_Remover.zip.002

    tambahan lagi biasanya client yang kena kalo di torch pake winbox nya mikrotik kliatan banget pake port 445 (smb) sama 139

    maap om momod mungkin bisa dijadiin satu deh tulisan2 gue yang diatas:
    ada info lagi nih…. barusan aja dapet:
    http://himifda.unsada.ac.id/?p=128

  51. tian Says:

    lab sekolahku juga kena,di c ada file microsoft.bat dan microsoft.vbs, tapi file microsoft.pif dicari ga ada! kira-kira dimana dismpannya?

    =========================
    “??? Lho emang Tian naronya tadi dimana ??? 😀
    Hayoo … sapa yang ngumpetin …. ????”

  52. tian Says:

    kata vaksin.com ciri2 kena arp spoofing itu di c ada 3 file tadi, kenapa yang extension pif gak ada, sy udah search tapi tetap ga ada

  53. johan Says:

    Kalau yang model LAN pakai deepfreeze kayaknya gampang deh …

    Cari PC awal yang terinfeksi. Biasanya nggak pakai deepfreeze. Cara deteksinya bisa baca di :
    http://forum.detikinet.com/showthread.php?t=22000

    Putus hubungannya dengan LAN. Install ulang PC itu aja. PAsang pengamanan berlapis : deepfreeze, antiexe, antivirus …. Beres …….

  54. yummy Says:

    Update Script versi 2 (tambahan file trojan yang bisa dideteksi sampai file diupload hari ini) juga tambahan tool baru Security Task Manager (mirip task Manager, tapi bisa melihat process setiap dll yang ada di memory).

    ———–
    English:
    UPdate The Script version 2 (more catch trojan file,bonus tool S3cur1ty T4sk M4n4g3r)

    Link:
    “Buat om momod tolong dong di edit lagi linknya yang terakhir, terhapus nih filenya:”

    Trojan_Downloader_win32.Small.xwr_Remover.zip.001

    Trojan_Downloader_win32.Small.xwr_Remover.zip.002

    Trojan_Downloader_win32.Small.xwr_Remover.zip.003

    @ Yummy
    Link sudah diperbaiki
    Tambahan :
    Untuk menggabungkan file gunakan hjsplit.

    Download di sini :
    Hjslit (297.81 KB)

  55. gombal trendy Says:

    Thks For Yummy.

    Silahkan para sederek sedoyo, diunduh rame-rame !

  56. cuplixs Says:

    Halo Bos terimaksih info tongji-nya, mudah2an setelah gw coba berhasil yah, eh tapi minta download-an kasperskynya donk + creck-nya yah tengkyuu

  57. gombal trendy Says:

    @ cuplixs

    Karena akhir-akhir ini, key Kaspersky banyak sekali yg Ter-blacklist.
    GomBaL memang Berencana untuk upload KAV 6 + Key.

    (kenapa KAV 6 ??? Ga yg terbaru ???)

    Kasihan buat yg punya kompi alakadarnya. KAV 7 dst … terasa semakin berat.

    Tapi Gombal Belum bisa upload file-nya untuk saat ini,

    Mungkin besok or lusa ….

    Harap maklum

    ““““““““
    uPDAtE COmment :
    pOSTING dOWNLOAD KAV 6 + KEY
    https://jailangkung.wordpress.com/2008/07/30/kav-602614-key/

  58. arif Says:

    udah di download tapi ga bisa di buka hasil download nya pake winrar.. apa harus pakai winzip?

  59. gombal trendy Says:

    @ arif

    Mohon Maaf, ternyata file korup saat proses upload.
    Bila ingin key-nya , silahkan unduh part 1 saja, then extract keynya (non include instalater).
    =========================

    Buat Semuanya . . .

    Ingatkan GombaL kalo ada eror file… OK !

  60. salwa Says:

    wew…gw udah update ke xp sp 3…..ga mempan juga.
    opo iki…opo…iki………..

  61. ureh Says:

    filenya corrupt begitu di rar
    upload lagi donk

  62. gombal trendy Says:

    @ ureh

    File yg mana nih . . . KAV ?
    Udah diupload ulang kok …
    KAV 6+KEY PART 1
    KAV 6+KEY PART 2
    KAV 6+KEY PART 3

    Mirror :
    4shared

    Or Here :
    Indowebster

  63. ureh Says:

    http://rapidshare.com/files/133259647/Trojan_Downloader_win32.Small.xwr_Remover.zip.001 sampai 3 file yg ini om… errror setelah di extract

  64. gombal trendy Says:

    @ yummy

    Ureh Mohon advice-nya, nih . . .

  65. ureh Says:

    maksudnya.. ketiga file yg ada di rapid kaenya mase error, masalah begitu selesai wa dl n coba mau di extract ke tiga file tsb error,,, makanya wa meminta anda untuk memmperbaiki filenya yang ada di rapidshare tersebut. THX

  66. Fuck off Tongji Says:

    Memang kenyataanya walaupun pakai Deepfreeze tongji masih bisa masuk, saat ini saya juga belum menemukan cara yg bener ampuh untk basmi tongji ini, ada beberapa pertanyaan setelah membaca comment di blog ini:

    1. Klo udah Pake kav6.0.2.614en + Key.rar, bisa menghapus tojan tongji ini? karena banyak juga artikel yang menerangkan bahwa Kaspresky hanya bisa deteck doang…namun saya belum coba (ijin donlot dulu ya)

    2. Apakah teman2 semua pada gatewway memakai mikrotik? dan Tongji masih bisa masuk? solanya kemarin saya masih tetap pakai mikrotik komputer clien fine2 aja namun setelah saya lepas mikrotik (sedikit masalah dengan HD-nya) jadi yg jadi gateway saya Pakai openBSD (squid) komputer client langsung terinfeksi trojan ini..padahal..udah pake deepfreeze dah selama 2 tahun baru trojan ini yg bisa bobol…

  67. gombal trendy Says:

    @ ureh

    Saya sudah coba download, dan tidak ada yg error.
    Barangkali Mas Yummy (yg mengupload file ini) lupa memberitahukan setelah download, join ketiga file tersebut dengan menggunakan program hjsplit.
    Silahkan mas ureh download program hjsplit terlebih dahulu, setelah di-join (gabung) baru extract file hasil gabungan tersebut.
    Link download hjsplit:
    hjsplit (297 KB)

    @ Fuck off Tongji

    Menurut pengalaman saya sih, setelah semua pc client terinstal kav, kav bisa mencegah masuknya nih trojan (dengan catatan semua pc benar2x clean dari trojan ini).
    Kalau pc sudah terinfeksi akan sulit untuk membersihkannya.

    Oleh sebab itu, sebaiknya pasang juga antivirus untuk gateway anda.

  68. otothepat Says:

    walah..,ternyata info ini dah lama,tapi baru kena nih.shittt..bener nih virus..hehehe thanks infonya

  69. yummy Says:

    update……

    satu lagi
    barusan googling sana sini….
    dapet satu lagi info walaupun sudah dibersihin pake tool macem macem ada 1 file yang terinfeksi yaitu actxprxy.dll di windows\system32 yang lolos terdeteksi dengan segala antivirus ternama en lokal pcmav,ansav,nod32,avira,avg dll hanya terdeteksi oleh ikarus antivirus…

    coba masuk ke http://virusscan.jotti.org/ untuk scanning secara online file diatas. jika terbukti terinfeksi, hapus aja filenya (jika tidak bisa dihapus rename saja) dengan sendirinya nanti akan dikopikan lagi file master yang bersih dari windows\system32\dllcache

    ====================

    sory om admin lupa lagi nambahin referensi removal tipnya:
    http://forums.majorgeeks.com/showthread.php?t=166170

    ====================

    waduh seperti biasanya

    sampe post berulang2… maap om momod… gue posting dulu baru baca post dr temen2 seblumnya…. jadiin satu aja deh postingan gue diatas

    @all
    gue compressnya pake tool 7-zip removal toolnya… jadi bisa ada 2 cara extract filenya:
    1. kalo error, ganti program winzip yang berbayar itu ke 7-zip yang free/Open Source dan memakai teknologi kompresi lebih bagus dari zip biasa (maap gue pake zip file biar kompatibel sama program temen2 lain soalnya kalo pake 7z malah temen2 lain pada bingung, ternyata malah eror extractnya mungkin algoritma split filenya beda dengan winzip jadinya error karena gue g sempet test extract pake winzip)

    2.cara kedua pake hjsplit dulu dimerge jadi satu baru di extract

  70. gombal trendy Says:

    Satu lagi info yang sangat berharga.

    2 Jempol buat Yummy

    thk’s

  71. hhifas Says:

    trojan downloader yg ada di rapidshare itu sdh aku join pake hjsplit tp waktu diekstrak kok ya tetep error ya.. padahal kl di open ya klihatan semua isinya, tp giliran diekstrak gak mau…..

    gmn ya
    thanks

  72. gombal trendy Says:

    @ hhifas

    Kemungkinan error saat proses dowload, coba download kembali.

    Soalnya saya sendiri sudah mencoba download, dan extract ga da masalah.

    Kalo masih ga bisa coba kasih tau saya lagi, biar saya minta ijin saya mas yummy buat upload di tempat lain.

  73. yummy Says:

    boleh2 aja kok upload tempat lain sebagai mirror.

    kalo error donlod aja program 7zip. filenya g gede2 amat kok……

  74. gombal trendy Says:

    @ yummy

    Thk’s

  75. yummy Says:

    Update Remover versi terakhir…

    mohon rekan2 baca dulu petunjuk2 di script tersebut

    http://rapidshare.com/files/158941113/Trojan_Downloader_win32.Small.xwr_Removerv2.2.zip

  76. yummy Says:

    Ini adalah virus trojan yang sudah didapat dari komputer yang terinfeksi:
    http://rapidshare.com/files/160134610/virusan-asshole.zip

    dibawah ini adalah script yang sudah gue fixed, ada bug sedikit. link yang gue post diatas udah gue hapus, pake link bawah ini:
    http://rapidshare.com/files/160134611/Trojan_Downloader_win32.Small.xwr_Removerv2.2fixed.zip

  77. yummy Says:

    gubrak… tolong om admin hapus salah satu postingan guwe diatas…..

  78. david Says:

    sekarang mulai muncul variant baru dari si tongji ini …
    qwertyy.cn
    ada yg udah kena…./senasib sepenanggungan ?

  79. gombal trendy Says:

    @ david

    Bisa share gejalanya ???

  80. Romy Steven J Says:

    Setelah lama melakukan investigasi, akhirnya saya menemukan biang atau celah tempat virus jaringan bernama tongji dan sebangsanya.

    Ternyata virus ini masuk melalui Yahoo Messenger… Atau lebih tepatnya dari iklan yang berada di bagian bawah aplikasi Yahoo Messenger.

    Ini terbukti setelah saya memblok aplikasi Yahoo Messenger melalui router (IM/P2P Blocking) selama 3 hari, jaringan bebas dari virus, tetapi ketika saya membuka blok nya kembali, serangan virus masuk lagi.

    Cara untuk melihat ada atau tidaknya virus di jaringan adalah dengan melihat Source dari halaman web yang dibuka. Jika dibagian atas ada statement maka kemungkinan besar virus telah aktif di jaringan.

    Beberapa alamat tujuan script yang sempat saya data antara lain:

    do.qwertyy.cn
    u.cruze3.cn
    fk.au44.info
    s.asde0msd.cn

    Semuanya rata-rata dari domain China (.cn). Sama seperti virus tongji, sistem kerjanya adalah dengan menginfeksi salah satu komputer dalam jaringan yang tidak memiliki pertahanan yang kuat.

    Jika menggunakan AVG Free 8, harap aktifkan option Scan for tracking cookies, karena virus ini masuk melalui cookies YM. Setelah diaktifkan, maka AVG akan melaporkan tracking cookies ketika kita menjalankan YM.

    Setelah virus berhasil menginfeksi salah satu komputer di jaringan, maka dia akan memalsukan MAC Addressnya dan menjadikan dirinya sebagai Gateway, sehingga semua komputer yang membuka situs akan dialihkan ke komputer tersebut sebelum benar-benar ke situs yang dimaksud, tujuannya adalah agar halaman situs disisipi dulu dengan scriptnya.

    Hal inilah yang menyebabkan koneksi internet terasa lambat karena semuanya harus melewati komputer bervirus itu. Maka tak terelakkan lagi, SEMUAnya kena, pake Internet Explorer, Mozilla, Opera, atau browser apapun pasti kena, juga walaupun menggunakan Linux juga kena. Tapi tenang saja, komputer lainnya hanya terkena dampak tapi tidak ikut terinfeksi (kecuali komputer tersebut tidak punya pertahanan yang cukup).

    Salah satu solusi yang cukup manjur adalah dengan menutup iklan di YM, caranya adalah dengan mengubah registri.

    * Tutup aplikasi Yahoo Messenger (Exit bukan Close ya)
    * Buka Regedit dan cari: HKEY_CURRENT_USER\Software\Yahoo\Pager\Locale
    * Kemudian cari key Enable Messenger Ad
    * Ganti nilai 1 menjadi 0

    Setelah itu, silahkan gunakan kembali YM dan tidak akan ada lagi iklan di bagian bawah YM dan secara otomatis tidak akan ada lagi jalan untuk virus sebangsa tongji.

    Lakukan hal tersebut di semua komputer dalam jaringan (termasuk komputer tamu yang ada YMnya) karena 1 saja komputer dengan YM yang beriklan, dapat menyebabkan terinfeksinya jaringan dan mengganggu aktrifitas Internet.

    Jadi, sebagai admin jaringan, lakukan perlindungan pada jaringan anda khususnya Wireless, pasang saja password, sehingga setiap orang yang ingin masuk jaringan harus melapor dan sekalian anda setting YM nya. Atau sekalian blok saja YM🙂

    Demikianlah pengalaman saya mengatasi virus sebangsa tongji, semoga bermanfaat.

    http://www.romystevenj.com/2008/12/akhirnya-ketemu-biang-virus-jaringan/

  81. gombal trendy Says:

    @ Romy Steven

    Salam kenal dan Terima kasih banyak pak Romy untuk infonya,
    Semoga bermanfaat bagi banyak orang.

  82. hajar Says:

    sebeeel banget dengan virus itu. saya sudah instal ulang semua pc tapi masih aja kena, gimana ya caranya?

  83. bananatehpisang Says:

    klo install ulang tar kena lagi.
    mending bkin batch script..

    isinya IP + mac nya. (arp -s ip mac )
    itu di execute di setiap pc (simpen di startup biar tiap restart di execute)
    dan disimpen jga di router linux nya..

  84. gajah_gendut Says:

    walah .. virus ini udah muncul lagi yang baru variannya …

    kalo diliat di mac list munculnya mac address fake alias palsu.. yg tidak kedaftar di daftar pembuat NIC😦😦

    di aselalu memalsukan MAC address dengan awalan de:ad:xx:xx:xx:xx

    awalan mesti de:ad … belakangnya random spt mac address biasa ..

    nyarinya jauh lebih susah😦😦😦

    ada solusi ??

  85. haris johan Says:

    salam sukses selalu🙂

  86. How to use Hjsplit | Bare Film Says:

    […] Awas Kiriman Trojan dari China « GombaL_tRenDy Never Die […]

  87. Ramona Says:

    patut di coba d(^_^)b

    visit me @ ramonesblog

  88. haryoshi Says:

    tq so much info nya….

  89. berbahaya, saya akan segera menutup blog ini | Masbadar.com Says:

    […] juga di sini, dan di forum detikinet. This entry was posted in Computer, Networking, Security, Tekno, Virus […]

  90. android apps apk Says:

    I’m curious to find out what blog system you have been using? I’m experiencing some small security problems with my latest site and I would like to find something more safe.
    Do you have any suggestions?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


%d bloggers like this: