Hentikan Virus di Memori

advertisement
Hentikan Virus di Memori
Sebuah tips untuk membunuh virus secara manual
Perhatian!!!!!
Maksud saya sebenarnya ingin menunjukkan bahwa menangani virus itu mudah, namun
ternyata saya salah dalam memilih contoh virus. Virus yang satu ini bernama Deulledu-X,
sudah pernah saya tangkap, namun belum sempat menginfeksi komputer saya. Jadi, waktu
saya infeksikan ke komputer saya, saya sama sekali tidak tahu karakteristiknya.
TERNYATA...TERNYATA..., virus ini tidak cocok untuk dijadikan contoh bagi pemula.
Saya kira untuk tingkatan Advanced lah...
Bagi saya, menangani virus itu tetap mudah, hanya butuh kesabaran dan kemauan untuk
berpikir saja. Maksud saya, sebagaimana menangkap maling, kita juga harus berpikir seperti
maling. Untuk menangkap virus, kita juga harus berpikir seperti pembuat virus, tentang apa
yang akan dilakukan, bagaimana cara sembunyinya, bagaimana mengantisipasi pemburu
virus seperti anda-anda ini dan seterusnya.
Tentu saja, untuk pemula, penanganan virus sangat sulit, apalagi kalau tiba tiba harus
berhadapan dengan virus yang cukup bandel seperti ini. Karena itu, untuk seluruh tutorial
yang ada dan akan ada, saya katakan bahwa :
"Saya tidak bertanggung jawab atas segala kerusakan hardware maupun software ataupun
kehilangan materi akibat tutorial penanganan virus ini. Segala resiko, anda yang
menangggung. ".
Semuanya sudah saya lakukan sendiri dan, dalam batas-batas tertentu, tidak ada masalah.
Kalau anda tidak setuju, sebaiknya anda segera menghentikan membaca tutorial ini saja.....
ALAT-ALAT BERTANDING
Untuk menangani virus ini, cukup banyak peralatan yang perlu disediakan sebelumnya.
Artinya, anda tidak bisa menyiapkannya semasa penanganan virus, karena akan sudah sangat
terlambat sekali.... Alat-alat maupun bahan yang digunakan adalah :
1. Otak (bukan otak-otak lho.. ) dan siap mental untuk marah-marah, nyesel (ngapain
aku infeksi segala dsb..dsb)
2. PE TOOLS dari http://www.uinc.ru
3. Warking.exe dari efvy2k.com (nggak tahu alamatnya bener nggak, yang jelas sofware
gratis. Check aja di google)
4. Reg Cleaner (www.jv16.org)
5. File MSVBVM60.dll di folder c:\windows\system32 anda bila ada. Bila nggak ada ya
nggak usah (nantinya akan dihapus oleh si virus brengsek ini, jadi anda harus punya
copy-annya).
6. Killer Machine (www.thekillermachine.isfun.net)
7. Hex Workshop (www.bpsoft.com) - program ini nggak gratis, tahu khan maksudnya!!
8. Windows Commander ( http://www.ghisler.com/) - nggak gratis juga, tapi anda bisa
menggunakan trial version sepuasnya
9. Sebaiknya, anda sediakan juga PCSurgeon (http://www.winutils.com) untuk
membandingkan isi registry sebelum dan sesudah kena virus. Saya jarang
menggunakan ini, sehingga sampai saat ini saya masih belum tahu apa yang dilakukan
virus. Beberapa aplikasi saya nggak jalan euy... Buka PC Surgeon, click Capture &
Monitor, pilih Monitor for System Change. Centang semua disk dan registry
kemudian Take Snapshots. Nantinya snapshot ini yang akan dibandingkan dengan
perubahan yang dilakukan oleh virus.
10. Kalau yang paling aman, coba aja deepfreeze (saya tidak pernah mencobanya
walaupun punya programnya, katanya kadang masih bermasalah, tapi patut dicoba
khan?)
Masukkan semua file diatas dalam satu flash disk yang bersih, dalam satu folder. (Perhatikan,
bahwa MSVBM60.dll harus satu folder dengan warking.exe dan Killer Machine). Sedang hex
workshops, Windows Commander dan PE TOOLS bisa diinstal di hard disk.
Info :
Sampai akhir tutorial ini, program saya yang nggak jalan dan belum ketemu jawabannya
adalah :
1. System Restore, ketika diclick dia memanggil notepad
2. *.reg/ *.lic dan *.key, ketika diclick akan membuka notepad
3. Icon harddisk yang seperti dishare (ada gambar tangannya) padahal tidak dishare
Yaa, semua masalah ini hanya bersumber pada registry, cuman dimananya itu lho yang agak
susah nyarinya. Sampai saat ini belum ketemu. Tapi perasaan, yang lainnya oke-oke saja.
Nah, kalau amunisinya sudah lengkap, kita mulai peperangannya. Dan jangan tertawa yaa..
soalnya saya buat tulisan yang dibawah ini waktu belum tahu karakteristik virus ini, jadi
masih PD banget gitu!. Sengaja saya pertahankan bentuk tulisan ini, untuk menjadi pelajaran
bagi diri sendiri......... biar nggak gampang sombong lagi....hahahahaha...
Pengantar
Saya yakin, semuanya sudah pada kenal yang namanya virus, bahkan sudah pernah
merasakan dampak adanya virus tersebut. Sekarang kamu-kamu pasti sudah pasang kudakuda, yaitu dengan menginstall antivirus, terus update definition file setiap 2 minggu sekali
agar tidak ketinggalan. Waah, berapa banyak ya uang yang kamu habiskan untuk download
di warnet sebelah Rumah?
Kalau saya, nggak terlalu suka memakai anti virus, karena ribet dan menyebabkan jalannya
komputer saya jadi lambat. Apa nggak kena virus?. Siapa bilang...., bahkan saya punya
koleksi beberapa virus yang pernah saya tangani (pastinya telah menginfeksi komputer saya).
Lihat gambar folder saya di bawah ini. Kenalkah anda dengan virus tersebut???....
Sayangnya, saya baru-baru ini menginstall anti virus AVG, kemudian virus-virus koleksi
saya pada dihapus tanpa ampun. Jadi koleksi saya hilang dech.............. Nggak apa-2 masih
ada back-upnya kalau kamu mau!!.
Gambar 01. Beberapa koleksi Virusku (gambarnya jelek tapi kelihatan, biar loadingnya
cepet).
Nah, mengapa saya bisa sampai mengoleksi beberapa virus dan dimasukkan dalam folder
TANGKAP?. Sebenarnya jawabannya sederhana, KARENA SAYA SEDIKIT TAHU
MENGENAI CARA VIRUS BEKERJA. Jadi kalau anda juga tahu (sebentar lagi) cara virus
bekerja, maka anda tidak akan takut lagi dan dapat membasminya tanpa ampun juga (itungitung pembalasan, si virus menginfeksi komputer anda tanpa ampun!).
Logika bekerjanya virus
Logikanya sederhana sekali seperti dibawah ini:
1. Virus bekerja apabila ada trigger dari anda. Trigger tersebut bisa berupa anda click,
tanggal dan waktu, emang dipanggil oleh registry dan lain-lain.
2. Yang pasti, setelah ditrigger, program akan berjalan di memori, kemudian akan
melakukan apa saja sesuai dengan perintah yang sudah diprogramkan pembuatnya.
3. Contohnya, kalau itu virus tempelan, ia akan mencari file target untuk ditempeli,
kemudian nempelin program kita.
4. Sehingga bila program kita jalankan, maka yang dijalankan adalah program virusnya
dulu, selanjutnya terserah virus mau menjalankan program asli atau tidak
5. Makanya komputer anda jadi lambat, karena tiap detik si virus menjalankan
programnya
6. Anda heran, padahal anda tahu filenya virus, dan sudah didelete tapi kok nggak bisa...
7. Makanya juga file anda jadi besar, karena ditumpangi virus, atau si virus menginfeksi
ke tiap file di semua folder
8. Makanya anda sewot, karena selain komputer jadi lambat, dan anda tahu ada virus
disitu, anda nggak bisa menghilangkannya.
9. Makanya..... jangan sewot terus.....
Lihat langkah 3. Segala sesuatu yang akan dikerjakan dalam komputer, harus diload dulu di
memori. Ini berita bagus. Berarti kalau kita dapat mengintercept (mematikan) virus di
memori, pasti program virus tidak akan jalan dan dapat kita delete dengan sukses. Cuman
begitu doang??? . Emang cuman begitu!!! Terus gimana caranya ngintercept doong....
Bunuh!!!
Sebagaimana tukang kayu atau tukang yang lain, anda harus punya alat atawa tools. Untuk
membunuh juga harus punya alat. Kalau dibilang, lho.. saya membunuh dengan senyuman,
berarti alat pembunuhnya adalah senyumnya itu. Untuk mengetahui program apa yang jalan
di memori, ada banyak sekali tools. Contohnya yang gratis dan masih aman (setidaknya
sebelum saya publish tulisan ini ke anda ) adalah :
1.
2.
3.
4.
5.
PE TOOLS dari http://www.uinc.ru
Whats Running dari http://www.whatsrunning.net
Process Viewer, program kecil bawaannya Visual studio (coba search di google)
Process Explorer dari Sysinternal
Machine Killer (nomer 4 dan 5 sudah masuk dalam target virus, jadi untuk virus-virus
baru sudah nggak bisa digunakan)
6. de el..el.. dan masih banyak lagi
Sedangkan program yang nggak gratis yang mulai saya sukai adalah System Mechanics
(http://www.iolo.com)
Oke, kita akan coba menangani virus dengan menggunakan PE TOOLS (saya biasanya
menggunakan Process Viewer kalau Process Explorer atau machine killer nggak bisa
digunakan).
1. Download dan Install PE TOOLS
2. Click shorcut PE TOOLS dan anda akan mendapatkan gambar mirip-mirip seperti ini
(nggak harus sama, karena tergantung apa yang ada di memori komputer anda saat
ini)
Gambar 2. Tampilan PE TOOLS
Lihat angka 1, yang menunjukkan program-program yang lagi berjalan di memori.
Anda bisa tahu, oh, saya lagi memakai internet explorer untuk mencek hasil webpage
saya, Photoshop untuk ngedit gambar, dreamweaver untuk memproduksi html yang
anda nikmati dan sebagainya. Perhatikan juga alamat file yang dipanggil. Untuk
sementara ini, abaikan kolom PID, Imagebase dan Image size. Saat ini nggak penting
bagi anda.
Selanjutnya angka 2 menunjukkan modul-modul apa yang dipanggil oleh file yang
saya pilih (saya lagi milih explorer.exe - tapi nggak keliatan di gambar). ini juga agak
kurang penting saat ini.
Nah, saya ingin tunjukkan nomer 3, dimana kalau slidernya kita tarik keatas, maka
kita akan mendapatkan program-progam standar windows yang harus anda kenali
tempat dan besarnya (diingat, kalau perlu ditulis.
Tuh, program yang atas itu yang sering dijadikan sasaran. Tapi nggak akan diinfeksi.
Virus cuman membuat file yang namanya sama dengan folder berbeda. Catat nama
program dan alamatnya, semuanya di c:\windows\system32. Kalau namanya sama,
tapi tempatnya beda, pasti dech virus!. Programnya adalah : smss, csrss, winlogon,
services, svchost. Kadang-kadang spoolsv juga. Perhatikan juga file-file dengan icon
word, folder, screen saver dan seterusnya yang tidak seharusnya ada.
Contohnya, saat ini saya sedang menginfeksi komputer saya dengan virus deudel.x,
yang khabarnya (maksudnya ada ditulisan filenya) mematikan semua visual basic The Visual Basic Killer (paling-paling cuman mengganti MSVBVMX.0.dll dengan
nama lain doang).
sekarang, tekan F5 di PE TOOLS dan lihat di memori, ada yang aneh kah?
ada folder nyasar di windows? , Komputerku semakin lambat, ada indikasi
penggantian file dengan munculnya pesan untuk memasukkan CD Installer Windows?
Pasti kena virus dech. Untuk menghentikannya cukup mudah, anda tinggal click
kanan, pilih Del. Tapi tunggu!!!. Kita harus tahu file apa yang menjadi virus tersebut!.
Pilih dulu Explorer, sehingga kita bisa tahu lokasi dan besarnya file virus. Catat Besar
filenya dalam byte.
3. Sekarang anda butuh program Windows Commander (http://www.ghisler.com) atau
Total Commander. Saya pakai Windows commander. Check dimana file virus anda
berada. Check besar filenya dalam byte.
107 520 bytes. Sekarang Search menggunakan Windows commander semua file yang
besarnya
107 520 bytes
tab general, isi dengan *.*, search in seluruh drive
tab Advanced, centang filesize, isi = 107520 bytes
OK, sekarang tekan Start Search
tuh, kan ketangkep, sekarang tekan Feed to Listbox
Yang patut diingat, tidak semua yang berukuran 107 520 bytes adalah virus.
Contohnya seperti diatas. Tapi anda mengenal yang virus dari iconnya. Dalam kasus
ekstrem, anda harus membandingkan isi nya agar yakin betul bahwa file yang anda
delete adalah virus.
1. Caranya, masih di Windows commander, click kanan salah satu file yang
jelas-jelas merupakan virus, selanjutnya tekan Ctrl + Q, maka anda akan
melihat isi file virus tersebut.
2. Cari kira-kira kalimat yang hanya ada di file virus, untuk contoh file diatas,
saya pilih 2.03 UPX! (ini merupakan penanda bahwa virus dipack pake UPX
versi 2.03). Copy string tersebut seperti gambar
3. Lakukan search seperti semula, namun dengan tambahan pada tab General,
centang Find Text, paste di kotak yang tersedia 2.03 UPX! terus search
4. Walaupun tidak selalu berhasil, namun hasilnya pasti akan lebih spesifik
(Untuk kali ini saya gagal).
5. Yang paling jitu adalah dengan mencek duplicate file yang same size, same
contents di tab Advanced.
Nah, udah tahu khan mana yang virus, tinggal delete aja semua virus yang
sudah ketemu diatas!. Ingat, untuk milih file pake click kanan, jangan click
kiri, apalagi sampe dua kali. Jangan Lupa!. Sisain satu buat koleksi!
Beres!!!....???? Belum......masih ada beberapa langkah lagi
4. Restart komputer anda!
HAH!!!!!!!!!....
setelah restart, ini yang saya dapatkan...
tuh, lihat khan.. seluruh icon saya diganti menjadi icon nggak jelas. Mulai dech si
virus...
saya coba buka folder C:\ dan hasilnya.... ada dialog open with!
Namun ini bisa diatasi dengan menggunakan click kanan pada folder, kemudian
memilih Open atau Explore. Lihat juga semua folder bergambar tangan, artinya
dishare, tapi nyatanya setelah saya cek, sebenarnya tidak dishare. Cuman guyonan
pembuat virus. Tapi sampai akhir pelajaran nanti, saya belum dapat mengembalikan
icon folder ke tempat semula.
Lihat di start>>> run nya hilang.
tekan Ctrl - Alt - Delete,,, standar, ada pesan Task Manager di disable.
Lalu pergi ke Explorer .. Tools-- Pilihan Folder Option dihilangkan
Untuk mengembalikan regedit, click warking.exe. Centang saja semua pilihan disitu
(kalau perlu ya dibaca-bacalah sedikit). Setelah itu, untuk membuka regedit, gunakan
Reg Cleaner, dari Tools- run regedit.
Sebenarnya setelah restart, yang saya harapkan adalah adanya pesan kesalahan,
karena sebuah file tidak ditemukan (jelas aja, khan udah kita hapus sebelumnya ).
Tapi itu nggak terjadi dalam kasus ini. Akhirnya saya coba membuka PE TOOLS
lagi, kuatir virusnya kembali lagi. Dan benar saja, setelah membuka sebuah aplikasi,
virus kembali MUNCUL. Saya delete dengan cara sebelumnya. Dan... MUNCUL
LAGI..... Setelah beberapa kali pusing dan marah (ngamuk maksudnya, terus
ditinggal makan yang banyak), akhirnya ketemu masalahnya.
Saya ganti mode pencarian di Windows Commander dengan mode pencarian kata.
Lihat settingan (search for *.*, search in in All disk, find text 6Mthì8 <==
karakteristik satu file ini (bukan i lho, tapi saya copy paste dari kolom sebelahnya),
dan hasilnya...
BUAAAAAAMMMMMMMMMMMMMMM
Mengerti sekarang? Mengapa setiap kali didelete, kemudian kita buka sebuah
aplikasi, virusnya kembali lagi?. Ternyata virus ini LINTAH juga, yaitu menempeli
program-program Windows. Di bagian atas ada iexplore, notepad.exe dan mspaint.
Bayangin. Kalau anda membuka aplikasi tersebut, itu sama artinya dengan memanggil
virus kembali.
5. Untuk menangani virus jenis ini,saya belum bisa menanganinya secara otomatis,
alasannya ya seperti yang saya kemukakan di No Lintah V1.0. Makanya saya perbaiki
secara manual saja.
o Click PE TOOLS lagi, pastikan tidak ada icon folder (ada virus) di memori.
Bila ada, tekan tombol delete
o di Windows Commander, Click Feed to Listbox
o
o
o
o
Del *.scr yang iconnya seperti File Folder (logonui.scr, service.scr ... dst)
Di Windows Commander, click Configuration - Option. Pilih Edit/View, Pergi
ke kotak Editor for F4, pilih HexWorkshop. Jadi setiap kali anda tekan F4
yang keluar (bukan Meteor Garden) Hex Workshop. Terus tekan Apply - dan
OK
Ingat-ingat file dan folder yang kena tempelan virus (kalau perlu ditulis), terus
pergi ke folder tersebut, cari file yang kena virus tadi (oh, ya, jangan pakai
explorer, karena foldernya disembunyiin, explorer nggak akan nunjukin folder
yang kita inginkan), kalau sudah dapet, click kanan, tekan F4, maka Hex
Workshop akan terbuka
Ini yang agak susah menerangkannya. Perhatikan baik-baik isi header sebuah
file Exe. Ada tulisan "This program cannot be run under DOS Mode " atau
semacamnya tapi nggak harus. Dengan pengalaman, kamu akan bisa
mengenali header sebuah file, dan menentukan tertempel virus atau nggak.
Kalau mau gampang, tak kasih tahu, besarnya file virus sekitar 107 519 byte
atau dalam heksa 1A3FF (berkurang satu byte dari file yang bytenya
ditunjukin oleh Windows Commander), berarti file asli ada di bawahnya, dan
kita harus ketemu MZ di posisi itu. Coba pergi ke 1A400 (1A3FF+01).
Caranya di Hex Workshop tekan Alt F5, kemudian tulis di offset 1A400, pilih
Hex, dan From Beginning of File. Anda akan ketemu MZ
Kalau sudah gitu, tinggal tekan Shift + Home untuk memilih mulai dari posisi
kursor sampai keatas, terus tekan gambar gunting untuk Cut, terus Save. Kalau
ada pertanyaan : Mau disimpan sebagai .BAK, jawabannya terserah kamu.
Window akan protes karena merasa kalau file sistemnya diganti, jawab aja
YES untuk mengganti file tersebut dengan yang sudah anda simpan. Kerjakan
untuk semua file yang tertempel Virus. PASTIKAN TIDAK ADA SATU
FILEPUN YANG KELEWATAN. Check ulang dengan search di Windows
Commander seperti awal tadi. Udah selesai?. Belum tinggal langkah terakhir.
6. Langkah terakhir adalah check perubahan di registri. Buka PC Surgeon (atau program
yang lain yang dapat snapshot registry) ambil snapshot registri sekarang, dan
bandingkan. Kalau sudah, anda tinggal memperbaiki registry yang dirusak (sayangnya
saya tidak melakukan snapshot, sehingga tidak ada contohnya.
7. Hasil Akhir
Setelah melalui langkah yang cukup melelahkan, akhirnya komputer saya dapat
kembali 90% ke keadaan semula (ya nggak bisa 100% dong, soalnya saya tidak pake
snapshot atau deepfreeze. Hasilnya kira2 seperti ini (setelah ada perubahan di
program, kena virus yang lain, dan seterusnya... dan seterusnya ). Langkah-langkah
pengembaliannya saya sampe lupa, saking banyaknya....
Semua icon kembali, folder HD tidak ada gambar tangan lagi, dan komputernya cepat
lagi. Tapi sampai sekarang (mungkin juga gara-gara virus yang lain ) Folder setting
saya masih belum bisa kembali, restore tidak bisa digunakan dan ekstensi reg dan lic
key tidak langsung import ke registry ketika diclick. Tapi secara keseluruhan, cukup
berhasil....
8. OKE, dan SELAMAT...
Anda sekarang telah menjadi Pembunuh Virus..................
Kemana Setelah Ini?
Halaman Bantuan Umum
Download