Anda pernah kena serangan Malware RVHOST.exe

[zakri]

Tweet

Baru2 ini saya ada kena malware RVHOST.exe Apabila saya scan guna AVG antivirus dan AVG anti spyware, tiada sebarang tanda yang menunjukkan ada virus.

Tetapi bagaimana saya tahu ia adalah malware atau perosak pc?
1. Apabila tekan butang Ctrl+Alt+Del, Task manager disekat oleh RVHOST.exe.
2. Apabila saya buka registry editor(regedit), ia disekat juga oleh RVHOST.exe.
3. Folder option dihilangkan oleh perosak ini.

File bernama RVHOST ini meletakkan dirinya didalam c:/windows dan c:/windows/system32. FIle ini berupa bentuk gambar folder, jadi anda kan kurang pasti samada ia folder atau malware tersebut.

Jika anda telah terkena jangkitan ini, ia akan menduplikasikan didalam folder2 pc anda dengan nama folder. Contohnya di desktop ada satu folder bernama gambar. Jika anda buka folder tersebut anda akan nampak lagi satu folder yang namanya gambar. Jika diperhatikan ia bukan folder tetapi file exe.

Saya mendapat perosak ini melalui Yahoo messenger. Tak tahu sapa kasi. tetiba jer masuk semasa saya sedang online. Jadi berhati2lah ya. Ia cepat merebak jika anda didalam kawasan ber"network".

[walikard]

Saya pun kena macam tu gak...ingatkan benda biasa-biasa je sebab kesan dia tak signifikan sangat...tapi memang nak cleankan lah sebab menyakitkan mata. Satu lagi, bila masukkan thumbdrive, nanti thumbdrive tu jadi pelik...instead of direct click bila nak buka, kita kena right-click dan guna "open with"...thumbdrive tu nanti bila bukak kat komputer lain pun jadi benda yang sama..

[mysticmind]

aku kena 2 minggu lepas.

Task manager has been disable by admin.
ape kejadah laa..

Run menu pun hilang. Tekan Windows + R pun takleh.
nak bukak registery pun tak leh.. Hangin gak memula..

scan guna spybot search n desroy pun tetiba scan abort by user.
banyak lagi yang jadi..

setelah menggodek sana sini.. akhirnya berjaya gak selesaikan masalah tuh..
tapi aku pun sampai tak ingat step by step yang aku buat..

[ramzy0]

ooh, kawan saya pernah kene jangkitan ini. parah dan nazak jugak komputer diye. Dirokemenkan "dibunuh" dengan segera. Download this antivirus.

1) download file here ( 19+ kb )
2) just click dekat icon antivirus diye
3) diye automatic akan scan - no installation - and automatic delete
4) setakat ni berhasil dalam remove pende ni ( folder dlm folder )

[zakri]

Saya clearkan guna beberapa code yang saya buat sendiri benggunakan *.bat program. Ada juga code *.vbs yang saya download. Apabila task RVHOST.exe saya dah kill baru saya baiki semula fail regedir supaya folder option dapat dilihat. jika ada sesiapa yang hendak file tersebut sila PM saya.

Simple jer.

[takatoo]

kalau vbs/ bat,
share jela codenya
:-)

[zinedine]

Memang ada virus jenis ni. Biasanya dinamakan virus rvhost.
Tapi skrg ni ada lagi satu virus yg dikatakan lebih dahsyat dari virus rvhost ni. Aku baru terbaca dlm paper. Virus file .ani. Virus ni boleh merosakkan sistem windows, ada sesapa dah terkena virus ni belum? selalunya tanda2 bila terkena virus ni, masa kita tgh surf internet tetiba kursor mouse kita bertukar jadi ikon botol pengira masa. Masa tu pc kita terus jem sbb dia tgh download sesuatu dari internet. Operasi jadi lembab. Kalau ada sesapa yg tau program nak buang virus ni,kongsi le kat sini.

[ambsmart]

Nak kill process - guna tune up utilities, hijack this
Takleh masuk registry - guna tune up utilities

Dah boleh kill process n masuk registry, macam-macam boleh buat.

Nak enablekan task manager:
-Masuk registry
-Navigate ke sini :

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Cari key DisableTaskMgr
-tukar value kepada '0'.

Dah tau buat ni, macam-macam korang boleh ejas nanti. Hehe

[zakri]

OK, kita kongsi code.
1. buka notepad, taip : Taskkill /T /IM "RVHOST.EXE dan save as .bat file. ataupun Start Menu>>Run>> paste code Taskkill /T /IM "RVHOST.EXE
2. taip dlm notepad:
On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("scripting.FileSystemObject")
shl.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\System\DisableRegistryTools"
shl.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\System\DisableTaskMgr"
shl.RegDelete

save as .vbs file
3. buka notepad, paste code:
'togglefolderopts.vbs - Enables/Disables Folder Options settings
'in Win95/98
'© Doug Knox - rev 12/02/99
'Thanks to Max Spyridakis for his suggestions

Option Explicit
On Error Resume Next

Dim WSHShell, itemtype, n, MyBox, p, p1, p2, t, mustboot, errnum, vers
Dim urladdr

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer\"
p1 = "NoFolderOptions"
p2 = p & p1
itemtype = "REG_DWORD"
t = "Toggle Folder Options"
mustboot = "Log off and back on, or restart your pc to"
mustboot = mustboot & vbCR & "effect the changes"

'This section tries to read the registry key value. If not present an
'error is generated. Normal error return should be 0 if value is
'present
t = "Enable/Disable Folder Options"
Err.Clear
n = WSHShell.RegRead (p2)
errnum = Err.Number

if errnum <> 0 then
'Create the registry key value for NoFolderOptions with value 0
WSHShell.RegWrite p2, 0, itemtype
End If

'If the key is present, or was created, it is toggled
'Confirmations can be disabled by commenting out
'the two MyBox lines below

If n = 0 Then
n = 1
WSHShell.RegWrite p2, n, itemtype
Mybox = MsgBox("Folder Options are now DISABLED" & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
n = 0
Mybox = MsgBox("Folder Options are now ENABLED" & vbCR & mustboot, 4096, t)
WSHShell.RegWrite p2, n, itemtype
End If
save as .vbs
4. buka notepad, paste code :
del c:\windows\RVHOST.exe
del c:\windows\system32\RVHOST.exe

save as .bat file
5. buka notepad, paste code:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Yahoo Messengger"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\]
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

save file as .reg

6. kumpulkan file tersebut dan klik mengikut urutan.
Lain kali leh guna kalau kena serangan RVHOST.exe

Just my 2cent.