1. Persiapan
Sebelum kita membasmi virus, alangkah baiknya mempersiapkan dulu hal-hal yang nantinya kita
butuhkan. Antara laian yang perlu kita siapakan yaitu :
* Anti virus
* Tools-tools seperti : currproses, regworkshop portable , cmd portable , dll
* Windows PE atau Windows portable
* Secangkir teh manis
Anti Virus
Anti virus (yang sudah terupdate tentunya ) sangat kita butuhkan dalam membasmi virus. Dari
mananya saja sudah anti virus, ya pasti perlu lah...
Nah, permasalahannya sekarang adalah, mana anti virus yang paling baik..? Penilaian mengenai
baik tidaknya anti virus dapat dinilai dari :
1. Sejauh mana anti virus mengenal virus-virus terbaru dan seberapa cepat dia mengenalinya.
Untuk memahami lebih lanjut maksud saya diatas, saya akan membuat suatu contoh kasus.
Misal pada hari ini muncul satu virus dengan nama " batosai ". Setalah munculnya virus ini ,
maka anti virus manakah yang paling cepat mendeteksi virus ini. Dan dia membutuhkan waktu
berapa lama agar bisa mendeteksinya. Anti virus yang baik adalah ia sesegera mungkin dapat
mendetaksi virus ini. Karena semakin cepat anti virus bisa mendeteksi virus maka akan lebih
cepat untuk meminimalkan penyebaran virus tersebut.
Beberapa anti virus yang perlu disediakan adalah PCMAV. Anti virus ini cukup ampuh dalam
membasmi virus-virus lokal indonesia. Anti virus lain semisal : Norton , avg , avira, bitdefender ,
kaspersky, mcafee dll. Untuk anti virus ini , kita cukup memilih satu saja.
2. Tools-tools
Salah satu hal yang tak kalah pentingnya adalah tools-tools. Betapa tidak, sebagain besar
virus yang menyebar di Indonesia malah mematikan proses antivirus. Sehingga anti virus pun
tidak berkutik >_<. Oleh karena itu, disinilah kita memerlukan tools lain untuk bisa mematikan
aktivitas virus. Tools yang lain berguna jika registry editor dan command promt windows
didisable oleh virus
3. Windows PE atau Windows Portable
Kedua windows ini sangat berguna apabila kita sudah tidak bisa lagi menbasmi virus
melalui Windows normal. Kelebihan kedua windows ini adalah, windows ini tidak akan bisa
terserang virus. Karena kedua windows ini berdiri sendiri. Selain itu, didalam windows PE dan
portable sudah terdapat tools dan anti virus. Sekedar menambahkan, windows PE ini dibuat
kira-kira tahun 2005, jadi data base anti virus tidak bisa dipakai. Namum ada tools lain yang
tidak kalah pentingnya, yaitu registry editor untuk OS. Jadi walaupun kita make Windows PE,
kita masih bisa mengotak atik registry milik windows yang terinstall
4. Secangkir teh cukup untuk menemani kita. Kalo lagi pusing nggak ketemu-ketemu lalu
pusing, mungkin dengan minum teh pikiran bisa memulihkan kepusingan kita. ^_^
2. Langkah umum mengatatasi virus
1. Hentikan proses yang mencurigakan
Sebagian besar proses yang sedang berjalan pada windows adalah proses system windows itu
sendiri, semisal svchost.exe, services.exe, lsass.exe dll. Namum diantara sebagian besar proses
system, terdapat beberapa proses program, semisal Winamp.exe, firefox.exe dll. Namun tak jarang
pula terdapat proses virus. Proses virus inilah yang menjadi akar permasalahan. Karena proses ini
akan menggangu system bahkan malah merusak system. Proses inilah yang membuat kita jengkel,
membuat kompi menjadi lambat, proses untuk menyebarkan diri dan menduplikai diri, bahkan
membuat banyak data menghilang.
Tak jarang pula kita salah dalam mematikan proses, dikira proses virus ternyata proses system.
Apabila hal ini terjadi kemungkinan yang akan muncul adalah komputer akan restart sendiri, atau
bahkan tidak ada efek sama sekali. Untuk menghindari hal ini , kita perlu hati-hati serta kita harus
memiliki sedikit pengetahuan tentang windows. Manakah yang merupakan proses system, proses
program dan manakah proses virus. Berikut ini adlah sedikit trik kusus untuk membedakan antara
proses virus atau bukan
a. Proses virus biasanya memiliki nama yang aneh dan tidak dikenal, semisal kspool.exe
pada virus kspools, runner.exe pada virus bhatosai, explorasi pada virus brontok.
b. Proses virus biasanya memiliki nama yang sama dengan proses system. Semisal
svchost.exe pada virus flu burung, lsass.exe pada virus brontok
c. Proses virus biasanya memiliki icon yang aneh, seperti icon gerigi pada virus kspool, icon
folder pada virus bhatosai dan icon microsoft word pada virus flu burung.
Yang menjadi permasalahan adalah bagaimana kita bisa membedakan antara proses virus
dengan proses system apabila memiliki nama yang sama..? Caranya adalah kita harus mengetahui
tempat proses tersebut berjalan. Yaitu dengan menggunakan software lain seperti currproses.
Apabila terdapat proses yang memiliki nama yang sama dengan nama proses system maka proses
virus biasanya letak proses tersebut tidak di c:\windows\system32. Karena semua proses system
akan berjalan di c:\windows\system32. Sebagai contoh virus flu burung, letak proses ini ada di
c:\recycled. Virus bathosai c:\windows\system\ dll.
Apabila kita sudah mengetahui semua proses virus, langkah selanjutnya adalah kita harus bisa
mematikan proses virus tersebut secara bersamaan . Apabila kita mematikan tidak bersama-sama
maka nantinya proses lain ( yang belum kita matikan ) dari virus akan menjalankan lagi proses
virus yang kita matikan lagi ( hanya untuk beberapa virus ). Cara mematikan proses virus ini dapat
dilakukan dengan beberaa cara :
a. Dengan menggunakan software seperti currproses.
b. Dengan mengunakan Command Promt. Yaitu denga perintah tasklist untuk mengetahui
proses yang sedang berjalan. Sedang perintah taskkill untuk mematikan proses. Contoh
perintah mematikan proses taskkill /F /IM notepad.exe /IM xxx.exe atau dengan
menggunakan PID taskkill /PID 3214. PID dapat dilihat di sebelah kanan nama proses.
2. Lumpuhkan pemicu aktivitas virus
Virus yang hanya dikopikan ke komputer yang bersih dari virus, tidak akan menyebabkan
komputer tersebut tertular. Virus tersebut akan akan menjadi aktif apabila file virus tersebut
dijalankan oleh user secara manual atau memalui program yang bisa menjalankannya secara
otomatis. Dan apabila virus ini aktif, maka virus akan membuat program sendiri agar virus itu dapat
berjalan secara otomatis. Ini yang disebut dengan celah pemicu aktivitas virus. Adapun celah
pemicu :
a. Registry
Registry menyediakan fasilitas yang memungkinkan program aktif sendiri sebelum start menu
muncul. Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak
dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi menggunakan program
REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya terdiri atas lima root
(HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS,
dan HKEY_CURRENT_CONFIG). Masing-masing root memiliki banyak cabang yang disebut key.
Setiap key dapat memuat beberapa key dan/atau value. Dalam struktur manajemen file, root dapat
diidentikkan dengan drive, key identik dengan folder, dan value identik dengan file. Seperti halnya
folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value. Data registry yang
dapat mempengaruhi perilaku sistem secara keseluruhan dimuat dalam value. Untuk mengetahui
struktur registry secara lebih jelas, jalankan REGEDIT. Hati-hati menjalankan REGEDIT, karena
salah prosedur dapat mengakibatkan sistem lumpuh total!!!
Key "Run"
Key "Run" dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum
start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu di:
* "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion"
* "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"
* "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer"
Jika satu atau beberapa user didaftarkan dalam User Account (Control Panel > User Account),
maka pada root HKEY_USERS akan terdapat beberapa key yang menampung setting untuk
masing-masing user. Sebagian dari key ini juga berisi key
"Software\Microsoft\Windows\CurrentVersion" dan di dalamnya mungkin juga memuat key "Run".
Value "Shell" dan "Userinit" di dalam Key "Winlogon"
Value "Shell" dan value "Userinit" di dalam key "Winlogon" dapat memberikan efek yang sama
efektifnya—bagi virus—dengan value yang disimpan di dalam key "Run". Umumnya data untuk
kedua value tersebut adalah:
Shell = "Explorer.exe"
Userinit = "C:\WINDOWS\system32\userinit.exe,"
Key "Winlogon" berada di:
* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion”
* Beberapa key di dalam key “HKEY_USERS”
Selain value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak key/value yang
dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif, dan selama ini penulis belum
pernah menemukan.
Jika ditemukan value yang mencurigakan, lakukan analisis yang memadai sebelum memutuskan
untuk menghapusnya. Tapi ingat,jangan asal hapus!!!
b. Start Menu dan Desktop a. Start > Programs > StartUp
Folder "StartUp" di start menu disediakan untuk menampung program-program yang akan
dijalankan secara otomatis oleh Windows ketika proses booting selesai. Virus dapat memanfaatkan
folder ini untuk memicu aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan
membuat duplikat virus di dalamnya. Virus Brontok versi awal memanfaatkan folder ini dengan
membuat file bernama "EMPTY.PIF" bergambar program DOS.
c. Link/Shortcut
File-file link atau shortcut (file berekstensi “.LNK” dan “.PIF”) yang berada di start menu atau di
desktop berfungsi sebagai “jalan pintas” ke file program untuk memudahkan user menjalankan
program tersebut. File semacam ini, karena bukan benar-benar program, umumnya berukuran kecil,
tidak lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke program yang
seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui shortcut tersebut dibelokkan
atau tidak, klik kanan pada file shortcut tersebut, klik “Properties”, kemudian lihat keterangan pada
kotak “Target”.
File shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus yang
ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini jarang, tetapi pernah
terjadi. Jika hal ini terjadi, umumnya ukuran file ‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file
"shortcut" yang besar tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi
program virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor.
Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari pemrograman atau
teknik elektronika digital —yang bisa memahami program HEX Editor. File shortcut umumnya
memiliki gambar panah, kecuali jika file tersebut dilihat di start menu. Jika kita melihat isi folder
start menu menggunakan Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki
gambar panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut
tersebut sudah bukan shortcut beneran.
d. Task Scheduler
Lihat Control Panel > Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah
dijadwalkan di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program
virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.
e. AUTOEXEC.BAT
Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan menjalankan perintahperintah
di dalamnya, jika ada. Tentu saja peluang ini menguntungkan program aplikasi maupun
program virus. Periksa isinya, dan hapus perintah yang merugikan atau yang menunjuk ke file virus.
Jika tidak yakin dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi halhal
yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa file
AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau beberapa
perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata "REM" (tanpa tanda petik).
f. Ambil Alih Program
Virus bisa juga mengambil alih program dengan cara sebagai berikut:
* Mengubah nama program aplikasi yang sering digunakan user. Misalnya WINWORD.EXE
(Microsoft Word) diubah menjadi WINWORD1.EXE.
* Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam contoh ini,
virus membuat duplikat dengan nama WINWORD.EXE.
* Ketika user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya
menjalankan program virus, kemudian program virus tersebut memanggil program aplikasi yang
asli yang telah diubah namanya (WINWORD1.EXE).
Strategi ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp. Untuk
memeriksanya, cek program-program yang shortcutnya tersedia di start menu atau di desktop.
Program virus umumnya kecil, yaitu antara 30KB sampai 300KB, sedangkan program aplikasi
biasanya berukuran relatif besar (WINWORD.EXE berukuran lebih dari 8.000KB, EXCEL.EXE
berukuran lebih dari 6.000KB). Tanggal pembuatan program juga dapat digunakan untuk
mengetahui apakah suatu program masih asli atau tidak, meskipun sebenarnya suatu file dapat
diubah tanggalnya dengan mudah.
g. Celah lain
....???
3. Hapus file duplikat virus
Jika virus di sistem (di drive C:) sudah bersih, cari juga di folder data dan di drive lain. Hapus
semua file yang diyakini sebagai virus. Menggapus du[likat file bisa secara manual atau dengan
cara scan dengan anti virus. Hemat saya, apabila kita menscan kemputer dengan anti virus akan
tetapi masih ada proses yang sedang berjalan maka hasil scan tersebut kurang maksimal dari
pada kita menscan komputer pada saat semua proses virus sudah dimatikan.
4. Pulihkan sistem
Kembalikan setting registry yang telah dimanipulasi virus untuk memperlancar aksinya, misalnya:
aktifkan kembali REGEDIT, munculkan kembali menu Folder Options, konfigurasi Folder Options
yang memudahkan user mengenali karakteristik file, dan sebagainya.
- Blogger Comment
- Facebook Comment
Subscribe to:
Post Comments
(
Atom
)
0 komentar:
Post a Comment