Conime.exe, CtDrvMgv.exe, CtDrvMfr.exe dan CtDrvMgq.exe

3/20/2010

Conime.exe, CtDrvMgv.exe, CtDrvMfr.exe dan CtDrvMgq.exe

32 Comments

Ketiga file ini kecuali Conime, merupakan spyware atau malware ( masa bodo apapun itu yang jelas mengganggu banget ).  Kenapa saya sebut malware ?. Karena tak ada petunjuk sedikitpun di internet yang tidak menuju ke website anti spyware atau malware yang menyediakan fasilitas scan gratis, tapi untuk menghilangkan infeksi harus beli versi Full dari software yang mereka tawarkan. Anehnya, jika dilakukan scanning, semua file-file tidak jelas tersebut terdeteksi semuanya, sementara anti virus ,bahkan dengan update database terbaru tidak melihat adanya kejanggalan dari file-file tersebut.  Saya curiga pembuat program pengganggu tersebut justru adalah mereka-mereka yang menawarkan pembasmi program ciptaan mereka sendiri untuk memperoleh keuntungan  materi.


Kembali ke CtDrvMgq atau CtDrvMgv.exe atau CtDrvMfr.exe ( tergantung file yang anda temukan) dan Conime,


Ciri-ciri komputer yang telah terjangkit program jahat ini antara lain :




  1. Fungsi show hide hidden file di Folder Option tidak berfungsi.

  2. Koneksi internet akan terasa lambat

  3. Jika menggunakan Firewall tambahan selain milik Windows, akan sering muncul pesan memberi tahu bahwa CtDrvMgq hendak melakukan koneksi internet ke IP tertentu. Jika pesan itu muncul pertama kali saat Windows selesai booting dan anda memilih option "Deny" maka otomatis browser anda tidak akan bisa digunakan untuk browsing karena seolah-olah sambungan internet terhenti.

  4. Firewall tambahan juga akan memberi tahu bahwa file hosts dimodifikasi secara ilegal.

  5. Tool seperti Cprocess, Hijackthis, Microsoft Malicious software removal tool dan sejenisnya tidak bisa dijalankan karena prosesnya akan selalu di "kill" ditengah jalan oleh salah satu proses yang berjalan di komputer. Sayangnya sampai sekarang saya tidak tahu nama proses itu. :(


Untuk anda yang komputernya terjangkit virus ini, saya ada beberapa tips dan cara untuk menghilangkan infeksinya.




  1. Cari file msvbvm60.dll, letaknya ada di folder Windows\system32

  2. Rename file tersebut menjadi misalnya msvbvm60ss.dll, jangan terlalu banyak melakukan perubahan dari nama aslinya karena nanti akan dikembalikan seperti semula.

  3. Restart komputer, akan muncul beberapa pesan kesalahan karena beberapa program tertentu akan gagal berjalan karena membutuhkan file dll tadi termasuk virus dan bahkan antivirus  Smadav.

  4. Jalankan regedit dari Run menu

  5. Cari key dan value CtDrvMgq.exe atau CtDrvMgv.exe atau CtDrvMfr.exe ( tergantung file yang anda temukan) dengan menggunakan menu Find.

  6. Hapus setiap value yang mengandung kata-kata CtDrvMgq.exe atau CtDrvMgv.exe atau CtDrvMfr.exe ( tergantung file yang anda temukan)

  7. Teruskan pencarian dengan menekan tombol F3. jika ditemukan, hapus lagi. Ulangi sampai keluar pesan "Finish searching bla bla bla" (bla bla bla nya ga ada cuma saya lupa kata-kata lengkapnya) :)

  8. Cari key atau value dengan kata kunci conime

  9. Hapus jika value atau keynya nya adalah conime.exe lalu cari lagi seperti sebelumnya.

  10. Selanjutnya, cari file CtDrvMgq.exe, atau CtDrvMgv.exe atau CtDrvMfr.exe ( tergantung file yang anda temukan)di drive C kemudian hapus file tersebut.

  11. Kembalikan file dll yang telah direname sebelumnya ke nama aslinya yaitu msvbvm60.dll

  12. Restart komputer, scan registry dengan smadav dan repair perubahan-perubahan registry yang ditemukan.

  13. Download dan jalankan Microsoft Malicious software removal tool untuk mencari sisa-sisa malware lainnya jika ada .


P.S : Saya tidak bertanggung jawab jika terjadi masalah pada Windows anda apabila melakukan kesalahan pada saat menghapus bagian-bagian dari registry ( tahap paling berbahaya ).



Update : Nama file virus ini bisa berbeda-beda. Tapi 6 karakter pertama ( CtDrvM??.exe ) pasti sama kecuali conime.exe yang namanya tidak berubah. Beberapa komputer yang saya temui terinfeksi virus ini namun dengan nama file CtDrvMgv.exe, CtDrvMfk.exe dan CtDrvMfr.exe. Meski demikian karakteristiknya sama dan cara menghilangkan efeknya tidak memiliki perbedaan yang signifikan. Dalam proses pencarian value atau key di registry, anda hanya harus menggunakan CtdrvMgv.exe, CtDrvMfk.exe atau CtDrvMfr.exe (sesuai nama virus yang anda temukan di komputer) sebagai kata kunci pencarian pada registry.


Jika cara diatas masih belum berhasil, mungkin windows bisa di repair dengan langkah-langkah yang dijelaskan disini


Karena media penyebarannya melalui internet, cara paling efektif untuk mencegah infeksi adalah dengan anti virus yang  di-update secara berkala menambahkan Firewall selain milik Windows.








32 comments:

  1. yudiMarch 22, 2010 at 3:37 AM

    Gan tipnya akurat pisan ^^ !! thsnks yaa..

    ReplyDelete
  2. ginMarch 22, 2010 at 9:44 PM

    Ahoii, sama-sama gan, Senang bisa membantu...

    ReplyDelete
  3. ichinMarch 22, 2010 at 11:02 PM

    ada yang kurang...
    sebenarnya yang sudah kejangkit conime.exe virus ada 3 yang dia bikin error.

    3 file bernama:
    1. conime
    2. CtDrvMgq
    3. CtDrvMgv

    kalau mau menghentinkan, kmrn aku baru coba GMER rootkit tools, bisa ketahuan. dpt dari milis sebelah sih...

    Cuma, tetep aja mesti bersihkan secara manual. REGEDIT, dan delet fisik yang ada di C:/Windows/System.

    ReplyDelete
  4. ginMarch 23, 2010 at 12:16 AM

    Oh ya ?, Thanks buat informasinya mas Ichin. Saya ngga tau keberadaan file CtDrvMgv karena di warning ngga ada apa-apa soal itu. Saya tau solusinya juga ngga sengaja gara-gara iseng nge-drag itu file CtDrvMgq ke Hex editor. Ketahuan lah kalo itu virus dibuat pake Visual Basic. Sekali lagi, thanks buat infonya... :)

    ReplyDelete
  5. nimoMarch 27, 2010 at 7:12 AM

    saya baru kena virus ini dan yang muncul adalah CtDrvMfh.exe.
    terus saya mencoba tips di atas tetapi file CtDrvMfh.exe dan conime.exe selalu muncul kembali setelah dihapus saat di regedit.
    file msvbvm60.dll ada 2, di C:\WINDOWS\system32 dan C:\WINDOWS\ServicePackFiles\i386.
    yang diganti hanya C:\WINDOWS\system32 atau keduanya?

    ReplyDelete
  6. ginMarch 28, 2010 at 5:13 AM

    yg diganti cuma yang di folder c:\ windows\system32. Setelah mengganti nama file, komputer di restart dulu biar proses induknya nggak bisa jalan. kemudian baru dilanjutkan dengan menghapus registry.

    ReplyDelete
  7. javanesseMarch 28, 2010 at 6:14 AM

    ni sebenarnya pirus dari mana,sejenis apa dan sbrapa bsar dampaknya sih....smadav mendeteksi pirus ini stelah saya install gear untuk wordpress....aneh ga sih?

    ReplyDelete
  8. kusumaMarch 28, 2010 at 3:15 PM

    coba membersihkan menggunakan a-squared free

    ReplyDelete
  9. ginMarch 29, 2010 at 2:43 AM

    Asal pastinya saya juga nggak tahu persisnya, tapi sepertinya kena lewat jaringan internet. Kalau soal dampaknya ya yang paling parah mungkin saat komputer bikin koneksi ke situs atau ip - ip tidak jelas.

    ReplyDelete
  10. ubayMarch 29, 2010 at 7:08 PM

    om..kok waktu dah bersihin registry, kadang2 nongol lagi file ctdrvmfr.exe; terus pas search di C file tersebut ga bisa dihapus.....gmn nih??help.....T.T

    ReplyDelete
  11. banoeMarch 29, 2010 at 8:43 PM

    Klo conime.exe itu bukan spyware lho kang...sejak qta install tu mikrosop wendow dah ada koq routine itu tu berkait dg app game klo g slh......di cek lgi deh bos...!. Yg aneh itu file ctdrvm*.exe selalu disertai file sshnas21.dll... klo Q pake OTM.exe tuk basmi tu serangga, bisa googling..tuk mendapetkannya...string yg lom ad bisa di tambah

    ReplyDelete
  12. ginMarch 30, 2010 at 2:03 AM

    @ banoe : Thanks buat coment-nya. Memang benar conime.exe ( console IME ) adalah file milik windows dan akan digunakan di komputer yang memakai setting bahasa asia, seperti huruf kanji jepang. Conime.exe yang asli tidak akan masuk di common startup, ini terjadi karena virus membuat dirinya sebagai debugger untuk conime. Mengenai file sshnas21.dll saya baru tahu karena sejauh ini sekalian belajar sengaja tidak menggunakan cleaner otomatis. Thanks buat infonya

    ReplyDelete
  13. ginMarch 30, 2010 at 2:07 AM

    @ Ubay :Itu karena proses virus yang menjaga ke-eksisannya masih jalan. Sebelum edit registry, sudah me-rename file msvbvm60.dll dan restart komputer belum ?

    ReplyDelete
  14. AndreastedMarch 30, 2010 at 9:07 AM

    Thanks "Gin",
    Saya benar2 terbantu dengan posting anda ini. Barusan saya selesai ngikutin petunjuk anda dan phiuh..... selamat dah waktu saya dari nginstall ulang.
    Kejadiannya, bermula, kemaren saat saya pingin uninstal TuneUp buat upgrade version, eeeh, bukannya selesai malah muncul pesan 'defeated', trus saya ngecheck pake SMADAV oke2 aja, tapi saat ngecheck lagi pake AVG 9.0, juga gak masalah, karena ada pesan 'restart' maka saya ikutin aja. Tapi 'after that' petaka pun datang, saat pingin nge-restore system biar TuneUp-nya balik lagi, ternyata udah gak bisa karena dah di blokir (policy group dah di hack). Balik lagi ngjalanin SMADAV, hasilnya no virus tapi sebanyak 126 key registry-nya dah 'lost key' dan 'deleted'. Kondisi yang ada, CMD jalan, Regedit Jalan, Task Manager juga bisa diakses, cuman yang menakutkan fungsi System Restore dah diblokir dan gak bisa dibalikin dan AVG saya dah dikunci di Tray tapi fungsinya dah 'OFF' semua.
    Dah coba pake beberapa program rootkill, malware dan spyware tetap gak bisa juga. Sampai akhirnya saya mentok di blog anda ini, dan ternyata it's really2 Helpfull, GREAT THANKS..........

    ReplyDelete
  15. ginMarch 30, 2010 at 4:54 PM

    terima kasih kembali bung andreasted untuk comment-nya

    ReplyDelete
  16. JunscarApril 8, 2010 at 3:59 PM

    Saya jg mengalami nya beredar di jaringan kntr saya, file yg ditemukan ctdrvmvi.exe
    Sudah menggunakan metode diatas tp blum berhasil msvbvm60.dll suddah direname direstart muncul pesan error. tp pd saat hapus registry dia akan kembali lg jika di refresh.
    Cb pakai a-squared free jg ke detect tp pd saat remove restart dia blg gagal di bersihkan unknown error..
    Jadi msh butuh bantuannya kl ketemu cara lain... Thx, atas infonya...

    ReplyDelete
  17. MISApril 9, 2010 at 6:52 PM

    Saya mengalami yg lebih parah file namenya jd CtDrvDxc.exe kena protect n ga isa di hapus di windows\system32. Jd pening??? ada solusi lain ga??? susah neh virus conime... please someone yg ada solusi lebih jitu ksh tau caranya... thx for the helpppp...

    ReplyDelete
  18. LalaApril 13, 2010 at 11:30 PM

    Kalo bole tau metode penyebaran via apa ya? Aku juga baru ngadepin ini virus. Susah payah bisa sih ngilangin CtDrv nya yang di hidden di C:\windows\system32\ . Cuma kayanya lambatnya masih berasa. Apa dia uda ngerusakin file2 nya windows ya? Karena avira nya ngga mau guard enable dan share printernya juga masih ga mau.

    ReplyDelete
  19. JunscarApril 13, 2010 at 11:57 PM

    @MIS: kmarin saya mencobanya dgn menghapus file conime.exe (dgn terpaksa krn ini memang file asli windows) kemudian diganti dengan menaruh folder dengan nama conime.exe di folder yg sama stlah itu bersihkan file dan registry dengan cara seperti Gin sarankan diatas (search di system32 dan regedit). kemudian lakukan perbaikan registry dgn Smadav antivirus.. Setelah it install, update dl dan jalankan scan menggunakan Malwarebyte. Setelah itu komputer sudah bs berjalan normal di kasus saya.. (bbrp komputer perlu dilakukan uninstall/install network card kembali. Semoga berhasil..
    @Gin: Thanks atas infonya, dan sudah mengijinkan numpang comment/sharing disini ^^v
    Gud luck guys...

    ReplyDelete
  20. dodiApril 19, 2010 at 2:19 PM

    tq gan tipsnya saya coba dulu ya, mudah2 an berhasil

    ReplyDelete
  21. plenthonApril 30, 2010 at 6:41 PM

    sebagai tambahan, nama virus tersebut bukan cuma CtDrvM*.exe, tp juga Ms*Client.exe, karena ini yang muncul di komputer gw. permasalahannya di komputer gw sekarang, virus" tersebut dah bisa ilang tp kok safemode n fungsi showhiddenfile masih error, dan registry-nya pun masih begitu. padahal semua string/value yang berkaitan sama itu semua dah gw delet, hanya ketika msvbvm60.dll nya gw rename, baru bisa masuk safe mode... ada yang bisa ngasih pencerahan...??

    ReplyDelete
  22. ginMay 3, 2010 at 6:14 PM

    Ms*client ini varian baru, rename msvbvm60 tidak terlalu berpengaruh. Demikian juga dengan varian qhcwg.exe yang penyimpanannya berubah ke folder document and setting.

    ReplyDelete
  23. madeJune 29, 2010 at 10:58 PM

    mas komputer aku pake xp. tiap folder isi exe. misalnya ada folder dengan nama januari. nah di dalam folder itu pasti diisiin januari.exe sama virusnya. ukuran file exe ini 1,237KB. file exe ini bisa dibersihin pake smartdav tapi setelah itu pasti muncul lagi.
    Berbagai anti virus sudah aku pake. tapi semua ga mempan.
    Mohon pencerahan.

    terima kasih

    ReplyDelete
  24. ginJuly 8, 2010 at 5:03 AM

    Sudah coba Norman dangan update defenisi terbaru ? atau mungkin bisa dilihat cara menghilangkan virusnya di http://www.vaksin.com/2006/0506/shur_a.htm. Meskipun saya kurang begitu yakin kalau ini adalah virus yang anda maksud.

    ReplyDelete
  25. IchsanAugust 24, 2010 at 11:45 PM

    tips nya apakah terjemahan dari http://hendryirawan.blogspot.com/2010/04/what-is-and-how-to-remove-conimeexe.html ?? mengapa tidak ada credit to penulis aslinya?

    thanks

    ReplyDelete
  26. ginAugust 25, 2010 at 3:46 PM

    ini tulisan asli saya mas, karena kejadian dan cara mengatasinya memang saya alami sendiri. blog yang anda sertakan diatas justru meng-copy dari sini (lihat tanggal postingnya saja sudah tanggal 13 April 2010), sementara saya posting tanggal 19 Maret 2010. Silahkan search di google aja dengan kata kunci "conime" lalu lihat punya siapa yang muncul paling atas. Postingan saya tentang virus Shemale juga banyak yang bikin duplikatnya but it's OK lah. Tipikal orang Indonesia kok. Thanks

    ReplyDelete
  27. Ilham SuhuAugust 31, 2010 at 4:35 PM

    Mas Gin, terimakasih atas postingan ini, banyak membantu untuk tambahan pilihan dalam pembersihan Conime.exe
    Kalo boleh nambahin, dari pengalaman saya, saya perhatikan untuk komputer yang berpassword login ternyata lebih kuat terhadap conime.exe dibandingkan dengan komputer yang langsung login tanpa password, saya juga belun tau kenapa, tapi ini hanya tambahan tips dari saya..mohon maaf kalo salah..terimakasih..

    ReplyDelete
  28. ginSeptember 1, 2010 at 1:10 AM

    Oh ya ?, saya malah ga tau, soalnya komputer kantor dah ga ada yang kena conime lagi hehe. Thanks buat infonya

    ReplyDelete
  29. Ilham SuhuSeptember 6, 2010 at 4:17 PM

    Sip mas...saya dah coba tes satu PC di kantor yang gak pake password, cuma bertahan 2 hari terus kena Conime lagi, tapi yang pake password aman-aman aja. Dengan catatan antivirus selalu diupdate. nah stelah trial dua hari pc yang gak pake password yang kena conime ane bersihin lagi trus pake password ...ehh...sampe sekarang aman aman aja...ga dateng lagi tuh conime nya. Keep posting bro...

    ReplyDelete
  30. dayoenOctober 28, 2010 at 4:58 PM

    saya jg menemukan conime ini di kompi saya, di regestry yg ada adalah conime.exe berhubungan dengan wmpfx1.exe.
    dia berada di C:\WINDOWS\system32\wmpfx1.exe

    sekedar tambahan info gan...

    ReplyDelete
  31. rhixNovember 16, 2010 at 10:24 PM

    Thanks 4 alll atas informasi yang ada, untuk penanggulangannya tidak ada yang bisa menghentikan virus conime, tapi saya ada satu cara mungkin ya agak 'aneh' yang mungkin bisa diterapkan kalo cara diatas tidak berfungsi
    - Booting komputer menggunakan CD WinXP anda
    - pilih Recovery, pilih keyboard anda, pilih lokasi windows anda sesuai nomer
    - setelah muncul prompt "C:\windows", masuk ke "C:\windows\system32
    - cari file wmp*.exe
    - hapus file tersebut atau kalo ragu-ragu rename file tersebut
    - restart komputer
    - setelah masuk ke windows xp jalankan smadav untuk menghilangkan virus yang sudah tidak aktif lagi dan untuk memperbaiki registry yang kacau akibat virus

    semoga cara diatas bisa diterapkan :)

    ReplyDelete
  32. andi saragihFebruary 11, 2011 at 4:08 AM

    gan, sy cari file virus di itu di drive c:\ tidak ketemu, tp di registry ada tu key dengan value nama virus tu..gmn gan? mohon pencerahannnya?

    ReplyDelete