Sehubungan dg adanya serangan virus Maxtrox di beberapa k
advertisement
Sehubungan dg adanya serangan virus Maxtrox di beberapa komputer di lingkungan DJPB pada tanggal 1 Desember kemarin, kami dari Subdit Penerapan dan Dukungan Teknologi Direktorat Sistem Perbendaharaan menyusun panduan langkah2 pemberantasan virus tersebut secara sederhana. Virus ini sudah dikenali oleh banyak anti virus, hanya saja jika komputer sudah terinfeksi virus ini, maka anti virus yg sudah terinstalasi di komputer tidak akan bisa berfungsi dg baik. Solusinya adalah dg menggunakan anti virus portabel yg dapat dijalankan melalui media eksternal (dalam hal ini adalah CD) dan tidak memerlukan proses instalasi. Anti virus portabel yg akan kita gunakan ada dua, yaitu CAV dan PCMAV. Semua langkah2 pembersihan dilakukan dalam safe-mode. Tidak diperkenankan menjalankan software apapun, termasuk menjalankan menu2 windows, selama proses pembersihan berlangsung. Tujuannya agar file2 virus yg belum terhapus dikarenakan proses pembersihannya belum selesai tidak aktif kembali. Pastikan Anda membaca terlebih dahulu Catatan dari kami pada bagian akhir panduan ini sebelum melakukan langkah2 pembersihan. Setelah langkah nomor 1 s/d 3, Anda bisa memasukkan CD ke komputer, mendisable network connection dan anti-virus yg sudah terinstalasi di komputer, dan langsung mencoba langkah nomor 14. Jika langkah tersebut gagal, berarti Anda harus mengulang dari langkah nomor 4. Berikut langkah2 pembersihan virus Maxtrox : 1. Download file Anti Matrox.zip dari ftp://ftp1.perbendaharaan.go.id/Update Data Base Anti Virus/Lain2/Anti Maxtrox di komputer yg bersih dari virus 2. Ekstrak file tersebut. Hasil nya adalah 2 file dan 1 folder (lihat gambar di bawah) : - Anti-max.inf - Cav-0.94.exe - Folder anti max Folder anti max sebetulnya merupakan folder PCMAV 1.9 build 3 yg sudah di-rename, baik nama foldernya maupun nama file .exe nya. File PCMAV-CLN.exe sudah di-rename menjadi A.exe, dan file PCMAV-RTP.exe sudah di-rename menjadi B.exe. Tujuan rename (penamaan ulang) agar virus tidak mampu mengenali PCMAV. Jika tidak di-rename, maka virus akan mampu mengenali proses dari PCMAV pada saat ia diaktifkan, dan virus akan langsung menonaktifkan PCMAV. 3. 4. 5. 6. Burn semua file di langkah ke-2 di atas kedalam CD Nyalakan komputer yg terinfeksi virus Maxtrox, dan masuk ke safe mode. Masukkan CD hasil dari langkah ke-3 diatas Jalankan file cav-0.94.exe langsung dari dalam CD. File tidak perlu di-copy ke komputer. Pada saat awal menjalankan cav-0.94.exe akan keluar peringatan seperti di gambar bawah ini. Abaikan saja dan klik OK 7. Kita akan gunakan software cav-0.94.exe ini untuk menghapus/mematikan proses virus yg aktif/berjalan di memori/back ground service OS. Sebetulnya proses tersebut bisa juga kita matikan menggunakan Task Manager, atau software sejenis, misalnya CProcess (bisa didownload ftp://ftp1.perbendaharaan.go.id/Update Data Base Anti Virus/Lain2 ), hanya saja, nama proses yg akan kita matikan tersebut tidak standar , sehingga kami memilih menggunakan cav-0.94 ini. Kita akan menggunakan fasilitas emergency cleanup dari cav. Klik “file” (pojok kiri atas), kemudian pilih “emergency clean up”. (lihat gambar di bawah) 8. Setelah langkah diatas, akan muncul dialog box menu emergency cleanup. Pilih “Browse”. Kita akan mencari salah satu file induk virus untuk “diumpankan” kepada cav. 9. Cari file bernama CommandPrompt.sysm di C:\Windows\system32. Pilih file tersebut dan klik “Open”. (lihat gambar di bawah, dan abaikan ukuran filenya) 10. Sekarang kita mendaftarkan file CoomandPrompty.sysm tadi ke database sementara cav. Caranya klik “Add”, kemudian klik “OK”. 11. Klik “Scan”. Cav akan mulai bekerja, dan yg pertama2 akan dipindai (scan) adalah proses yg sedang aktif berjalan. Cav akan menemukan dan mematikan proses virus yg sedang berjalan berdasarkan file yg telah kita umpankan. Jika cav meminta konfirmasi untuk menghapus proses tersebut, pilih “Yes”. 12. Setelah berjalan selama kurang lebih dua menit, kita matikan cav dg cara mengklik “Stop”. Cav kita matikan karena kita hanya memerlukannya untuk mematikan proses virus yg aktif. Proses virus tersebut perlu kita matikan agar tidak menghalang2i proses pembersihan yg kita lakukan. 13. Kita akan menormalkan system registry yg telah diubah oleh virus. Gunakan file anti-max.inf dari dalam CD. Klik kanan file tersebut dan pilih “Install”. 14. Jalankan file A.exe dari folder anti-max dalam CD kita. Setelah itu, kita pilih drive2 dari computer kita yg akan discan. Jalankan scan dan tunggu sampai selesai. Jika proses scanning sudah selesai, tandai file2 virus yg ditemukan. 15. Klik “Cure Files”, agar file2 tersebut bisa dibersihkan. Setelah itu restart computer, dan prosedur pembersihan kita telah selesai. CATATAN: Ada resiko dari proses pembersihan ini, yaitu pasca pembersihan ada kemungkinan beberapa software tidak bisa digunakan, misalnya Firefox atau Winzip. Resiko lain adalah adanya virus lain yg ditemukan selama proses pemindaian menggunakan PCMAV. Ada virus2 tertentu, terutama virus mancanegara, yg belum tertangani dg baik oleh PCMAV. Contohnya virus virut. PCMAV belum mampu menangani virus ini dg baik, sehingga ada resiko windows sama sekali tidak bisa digunakan pasca pembersihan. Untuk membersihkan virus virut, bisa menggunakan removalnya yg dikeluarkan oleh Grisoft (AVG), yaitu rmvirut.exe(bisa didownload di : ftp://ftp1.perbendaharaan.go.id/Update Data Base Anti Virus/Lain2/ ) Secara teori, seperti yg telah disampaikan di bagian awal, file PCMAV yg sudah direname dan diburning ke CD kita bisa langsung dijalankan di normal mode tanpa perlu melakukan langkah nomor 4 s/d 13 diatas. Jangan lupa, setelah PCMAV mulai melakukan pemindaian (scanning), jalankan langkah nomor 13. Untuk pengguna Symantec Endpoint, ada kemungkinan walaupun SEP telah didisable, ia akan tetap mengeluarkan peringatan saat CAV-0.94.exe dijalankan dan akan memblok CAV. Untuk mengatasinya, lakukan setting tambahan.(baca panduan setting exception SEP, download di : ftp://ftp1.perbendaharaan.go.id/Update Data Base Anti Virus/Lain2/Anti Maxtrox) Terima kasih.
