I noticed that this version of the virus create a new user named BatamHacker as an admin when my computer was not joined to a domain. It also tries to hide known extension, "show hidden files" and "hide protected system files" option. It link itself to run when user logon through registry (strangely it doesn't tun itself from startup folder and scheduled task).
The removal tricks that I use to remove this crap were simple and straight forward. It include killing the virus from memory using Process XP, repairing the registry, manual search and destroy, and deleting the registry string that run the virus using Autoruns (or you can do it manually).
Solusi 1 :
Source : http://michelle-aulia.blogspot.com/2007/09/batamhacker-manual-removal.html
1. First use an alternative process explorer because the virus will close task manager. My favorite was Process XP from sysinternals. But some virus recognize the program title or the filename and close it immediately. So I use a modified version of the program (an apology to sysinternals :p) to prevent the virus from closing it. Kill any process that has a folder as an icon (usually under explorer).
2. Repair the registry, I have a compiled version of registry repair from various virus including this one. Then check "show hidden files and folders", uncheck "hide protected system files and folders (recommended)", and uncheck "hide extension for known file type". This option was under explorer-tools-folder options-view.
3. Manually search and destroy the virus. In my version it were at most 4800 KB, and I search for most common file type used by a virus (*.exe,*.cmd;*.scr;*.com;*.bat). Sort by size and delete all file that have a folder icon (in my case it was folder.exe).
4. Than use sysinternals Autoruns and delete the virus entry (it doesn't have a description,publisher,and it's image path fields show file not found because I already delete it in step 3)
Solusi 2 :
source : http://mybenjeng.wordpress.com/2008/04/10/hapus-virus-batamhacker/
Batamhacker sebenarnya efek dari virus everything. Saat virus ini diklik maka akan menyebar ke komputer, langsung membuat user account baru bernama batamhacker dan bertindak menjadi administrator. Efeknya, Semua file data hilang (sebenarnya disembunyikan, tidak hilang). Setidaknya itu yang saya rasakan di komputer saya.
Berikut ini cara hapus batamhacker yang kemarin sudah berhasil saya lakukan.
File Induk
C:\Documents and Settings\%user%\local Settings\Application Data\Microsoft.exe
C:\Documents and Settings\All UsersStart Menu\Programs\Startup\startup.exe
C:\Documents and Settings\BaTaMHaCKeR\Local Settings\Application Data\BaTaMHaCKeR.exe
C:\Windows\Shell\explorer.exe
C:\Windows\Shell\Hide IP.exe
C:\Windows\Shell\iexplorer.exe
C:\Windows\Shell\Reaming.bat
Restart komputer anda, sebelum windows booting tekan F8 dan pilihlah menu booting safe mode. Setelah proses booting selesai, hapus file C:\Windows\Shell. Saya hapusnya dari windows explorer atau anda bisa lakukan dari command prompt.
Untuk menormalkan registry dan hapus semua virus beserta akar-akarnya, download Simple Machine Protect (SMP) dari www.ansav.com (sebelum pake SMP, saya coba scan pake PCMAV 1.1 ternyata ga bisa detec virusnya). Dengan SMP semua virus didetec sebagai TrojanHorse.Everything.A.
Untuk menormalkan folder option, Type Folder dan Type File Exe, silakan masuk ke registry (klik start, run, ketik regedit) ubah beberapa hal sebagai berikut:
[HKEY_CLASSES_ROOT\exefile]
@="Application"
[HKEY_CLASSES_ROOT\Directory]
@="File Folder"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL]
"Type"="radio"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advance\Folder\HideFileExt]
"Type"="Checkbox"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
Saat saya restart komputer, virusnya sudah hilang, tapi account batamhacker masih sebagai administrator. Saya coba hapus dari control panel, lalu user account, tapi menu hapus/delete tidak ada.
Ternyata untuk menghapus user account caranya dari control panel, administrative tool, computer management. Kemudian klik local users and groups, pilih user, dan hapus batamhacker. Restart computer anda, maka account batamhacker sudah hilang. Semoga tips ini berguna, CMIIW, thanks…
Solusi 3:
http://www.cangkirkopi.org/Virus/44-Virus/49-membasmi-virus-batamhacker-windows-xp2000.html
Hmm.. kalau dibilang virus ya boleh di bilang trojan ya boleh, karena perilaku batamhacker ya sebagai virus dan trojan, bagi pembuatnya yang kebetulan baca silakan koreksi hehehe, virus ini asli buatan indonesia mungkin hasil modifikasi dari virus luar, hebat juga yah.
Virus ini menyebar biasanya melalui media flashdisk yang sudah terinfeksi. Pertama kali menginfeksi dia akan mencopy beberapa file, saya tidak ingat nama filenya, jarang-jarang saya mendokumentasi pembasmian virus pada komputer pasien, tapi biasanya virus ini membuat file dan disimpan ke folder Windows\Shell kemudian folder ini di buat hidden. Virus ini akan membuat user baru dengan nama user "BatamHacker" kurang lebih begitu namanya, kemudian ia akan mengubah registry user login, jadi setiap kali restart windows akan login dengan nama user tersebut. Virus ini tergolong merusak file sebagai induksemang apabila file-file utama virus ini dihapus virus ini akan membuat file tersebut lagi dan sangat menganggu karena setiap anda membuat task manager atau command prompt pasti akan di close oleh si virus. File-file yang dibuat virus tersebut saya curigai sebagai file pengirim dan penerima informasi, kemungkinan bisa sebagai pengendali jarak jauh. Maaf saya tidak terlalu mengekplore lebih jauh mengenai cara kerja virus ini karena customer gak sabar supaya komputernya bersih dan berjalan normal lagi
Ulasan mengenai si virus saya kira cukup sekian, nah sekarang bagaimana membersihkannya. Untuk membasmi virus ini tidak cukup dengan software anti virus, karena sebagian pasti tidak terdeteksi dan tetap aktif di komputer.
Langkah awal, restart secara paksa windows anda bila windows anda sepertinya lama sekali untuk shutdown, sebelum windows booting, tekan F8, anda akan masuk ke menu-menu pilihan booting windows. Pilihlah menu booting Safe Mode and Command Prompt.
Windows akan terbuka dengan fasilitas windows Command Prompt. Pengetahuan tentang command-command DOS sangat berharga dalam membasmi virus secara manual kayak begini.
1. masuk ke direktori windows, misal windows anda ada di c:\>windows, ketik perintah c:\>cd windows
2. kemudian untuk melihat direktori yang di hidden ketik perintah : c:\>dir /ah , parameter /ah ini adalah attribute hidden, jadi hanya menampilkan direktori atau file yang dihidden. Akan tampak direktori Shell yang dihidden
3. masuklah ke direktori tersebut dengan perintah : c:\window> cd shell
4. nah sekarang lihat isinya dengan perintah : c:\windows\shell>dir , bila tidak kelihatan filenya gunakan dir /ah
5. anda tidak dapat menghapus file-file yang ada di direkroti shell tersebut karena attribute filenya sudah dibuat +h +r +s
6. gunakan perintah : c:\windows\shell> attrib -h -r -s ->perhatikan tanpa parameter nama file artinya seluruh file yang ada di direktori ini diubah attribnya.
7. setelah mengubah attrib filenya, hapus dengan perintah "del . " -> artinya semua file yg ada direktori dihapus
8. kemudian hapus direktori shel, anda harus mundur ke direktori windows dengan perintah c:\windows\shell> cd ..
9. ubah attribut shell tersebut dengan attrib -h -r -s shell , setelah itu del shell
10. nah anda sudah menghapus file utama si virus tersebut, namun pekerjaan belum selesai
11. apabila direktori windows anda juga di hidden, mudah saja, gunakan perintah attrib -h windows
12. Nah sekarang kita mencari file2x yang sudah terinfeksi pada hardisk anda. Direktori pertama yang musti anda check adalah "Document and Settings" gunakan perintah -> dir /ah /s /p perintah ini digunakan untuk mencari file2x yang terhidden di seluruh direktori dan sub direktori. Silakan cek satu persatu, apabila ada nama file ektensi .exe sama dengan nama folder/direktori berarti itu adalah virus. Hapus secara manual.
13. Harap diingat selain mencari file2x yang ter-hidden cari file.exe lainnya yang mencurigakan.
14. Untuk menghapus file yang terhidden ubah attributnya terlebih dahulu dengan attrib -h -r -s
15. Lakukan pengecekan secara manual tersebut pada seluruh partisi hardisk anda. Biasanya virus membuat file .exe dengan ukuran file dan tanggal file yang sama persis. Pembersihan harus secara tuntas. Jangan sekali-kali membuka windows explorer dalam proses pembersihan.
16. virus ini mengubah beberapa registry bahkan menghapus bagian-bagian penting windows, anda musti meng-repair windows anda setelah semua pekerjaan selesai.
17. ok kita lanjutkan, sekarang ketik regedit, untuk memanggil windows registry editor
18. masuk ke HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows NT\Current Version\WinLogon
19. perhatikan pada registry winlogon tersebut, ada beberapa key yang diubah, pertama key "DefaultUserName" ubah ke nama user anda, kedua key "Shell" seharusnya valuenya hanya "Explorer.exe" hapus sisanya, virus telah menambahkan isinya dengan nama filenya. Cek pula "Userinit" seharusnya hanya "userinit.exe" bila masih normal dibiarkan key tersebut.
20. setelah anda mengedit key-key registry tersebut. Panggil Task Manager dengan Ctrl+Alt+del kemudian pilih menu File|New Task, isi dengan explorer.exe, maka windows akan membuka start menu.
21. Masuk ke dalam control panel, dan masuk menu User, hapus user BatamHacker.
22. Setelah itu jalankan menu Run dari "Start Menu" ketik msconfig
23. Pada msconfig masuk ke tab "Startup" hapus bagian-bagian yang mencurigakan dengan meng-uncheck. Kemudian klik OK, maka ada pertanyaan apakah anda mau restart, klik yes.
24. Nah masuklah ke windows dengan normal mode seperti biasanya, check lagi msconfignya, bila masih ada file yg dijalankan berarti virus pasti ngendon dikomputer anda, ulangi lagi proses check dan penghapusan.
25. Setelah anda yakin virus tidak lagi aktif, repair lah windows anda dengan menginstall ulang, ingat bukan install ulang total tapi hanya me-repair, jadi software2x dan data anda tidak hilang semua.
26. Selamat mencoba, segala kerusakan software dan hardware bukan tanggung jawab penulis. Membasmi virus harus dilakukan secara sabar dan teliti. Penulis tidak menjamin komputer anda bebas total dari virus. Artikel ini akan diupdate apabila ada bagian-bagian yang belum disebutkan dalam proses pembasmian virus BatamHacker. trims
Solusi 4 :
http://incrediblu.blogspot.com/2008/03/batam-hacker.html
ciri2nya dulu.....
C:\Documents and Settings\%user%\local Settings\Application Data\Microsoft.exe
C:\Documents and Settings\All UsersStart Menu\Programs\Startup\startup.exe
C:\Documents and Settings\BaTaMHaCKeR\Local Settings\Application Data\BaTaMHaCKeR.exe
C:\Windows\Shell\explorer.exe
C:\Windows\Shell\Hide IP.exe
C:\Windows\Shell\iexplorer.exe
C:\Windows\Shell\Reaming.bat
File Reaming.bat berisi script berikut :
net user BaTaMHaCKeR /add
net localgroup Administrators BaTaMHaCKeR /add
exit
yang fungsinya untuk membuka user account baru.
Karakternya klo g slh kaya' gini :-------------------------------
---Membuat User Account dengan nama BaTaMHaCKeR dan langsung bertindak sebagai
Administrator
---Menciptakan file about me.htm yang ditempatkan di desktop. Yang ketika dibuka,
akan menampilkan halaman web dengan tulisan BatamHaCKer
---Ukuran file induk 44 Kb
---Menjadikan seluruh file aplikasi (ekstensi exe) bericon folder dengan ukuran sama
seperti file aslinya (tidak mengikuti besarnya file induk)
---Men-Super hiddenkan folder Windows
---Merubah seluruh icon file yang berekstensi exe dengan icon folder
---Menghilangkan teks Application dan File Folder pada kolom type file yang
berekstensi exe dan folder ketika View-Details
---Menghilangkan teks untuk setting file hidden pada folder options
ni kuberi tau caranya :----------------------------------------------
1. download dulu here
2 Jika udah buka file yg udah didownload
Klik menu process, perhatikan icon file yang sedang berproses. Jika bericon
folder, maka itu yang harus dimatikan, dengan cara klik kanan dan pilih Terminate.
Hapus file induk yang ada di C:\Windows\Shell, atau bila perlu hapus aja folder
Shell-nya
Perbaiki Folder Options, Type Folder dan Type File Exe dengan cara kopi script
berikut ke Notepad dan simpan (saveAs) dengan nama perbaikan.reg :
code :
---------------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile]
@="Application"
[HKEY_CLASSES_ROOT\Directory]
@="File Folder"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ]
"Type"="radio"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="Checkbox"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"-----------------------------------------------------------------------------
Kemudian, double click di filenya, lalu Yes dan OK.
jangan lupa hapus file about me.htm yang ada di Desktop.
Hapus seluruh file yang bericon folder dan berukuran 44 Kb.
Untuk menghapusnya anda bisa memanfaatkan searching, supaya ga salah ngapus. hi hi hi hi.
Terakhir, jangan lupa sampaikan virus ke Anti Virus andalan anda semuanya....
