Saturday, December 8, 2012

TIPS MENDETEKSI KEBERADAAN VIRUS 2

     Tips ini mungkin bermanfaat, terutama disaat komputer kita atau teman kita kok tiba-tiba “aneh”. Ada beberapa indikasi yang mungkin bisa dijadikan dasar untuk memperkirakan apakah komputer kita terinfeksi virus ( Untuk Sistem Operasi Windows ),



diantaranya :
  • Komputer mulai berjalan sangat lambat, ini juga bisa terjadi karena banyaknya program yang kita install dan berjalan di background
  • Munculnya file-file aneh di folder tertentu. Misalnya file yang bernama sama dengan file dokumen atau nama folder
  • Komputer sering restart atau mati sendiri sewaktu-waktu atau kita membuka program khusus seperti Task Manager, anti virus dan lainnya
  • Adanya logo tertentu jika kita klik kanan My Computer > Properties
  • Hilangnya beberapa opsi di komputer atau program tidak bisa berjalan, seperti tidak bisa membuka Folder Options atau menunya hilang, tidak bisa menjalankan Registry Editor, Membuka kotak RunCommand Promptdan lainnya
  • Program Anti virus dan sejenisnya tidak bisa berjalan
  • Terkadang muncul pesan-pesan aneh seperti puisi dan sejenisnya
     Jika komputer anda mengalami beberapa indikasi diatas, berikut tips untuk mencari lokasi virus yang kemungkinan menyerang komputer kita.

     Sebelumnya ada tools/program yang diperlukan, yaitu Autoruns yang merupakan merupakan bagian dari tools SysinternalsSuit Untuk melakukan pengecekan, pertama-tama silahkan dibuka program Autoruns , kemudian pilih tab Logon. Daftar yang ditampilkan merupakan file-file atau program yang berjalan bersama Windows ketika kita mengaktifkan komputer. Jika ada file-file yang aneh atau tidak penting maka bisa di non aktifkan, dengan menghilangkan tanda check. Tetapi hati-hati, jangan salah menonaktifkan program, karena bisa berakibat Windows tidak berhasil hidup. Berikut beberapa daftar yang merupakan program atau aplikasi yang dimiliki Windows dan sebaiknya tetap dibiarkan, jangan dihilangkan tanda checknya :
  • rdpclip, merupakan aplikasi utama yang menangani masalah Copy File. Menyediakan fungsi bagi Terminal Services server yang mengijinkan copy dan paste antara server dan client. Program is important penting untuk kestabilan dan keamanan komputer, jadi biarkan saja
  • userinit, merupakan kunci proses di sistem operasi Windows. Pada proses boot-up aplikasi ini mengatur urutan start up yang diperlukan, seperti Koneksi jaringan, dan Windows Shell. Program ini sangat penting, jangan dimatikan
  • explorer, merupakan program manager atau Windows Explorer. Aplikasi ini mengatur Tampilan Windows, Start Menu, taskbar, DEsktop dan File Manager. Jika dimatikan maka tampilan/antarmuka windows tidak akan muncul.
  • ctfmon, merupakan proses aplikasi yang dimiliki Microsoft Office, mengatur masalah Alternative User Input Text Input Processor (TIP) dan Microsoft Office XP Language Bar. Program ini tidak harus jalan, tetapi sebaiknya tidak dimatikan.
     Ketiga file pertama merupakan aplikasi yang biasanya senantiasa ada di sistem operasi windows ( kecuali windows 9x / ME, yang mungkin hanya userinit dan explorer), dan seharusnya dibiarkan saja, sedang aplikasi keempat muncul jika terdapat aplikasi Microsoft Office di sistem. Dan penting diperhatikan bahwa dua aplikasi pertama diatas ( rdpclip danuserinit ) lokasinya ( kolom Image Path ) ada di C:\Windows\sistem32, aplikasi explorer ada di folder C:\Windows, sedang ctfmon ada di folder C:\Windows\sistem32, dengan asumsi kita install Sistem operasi di Drive C:. Selain keempat file diatas, bisa dicermati lokasi filenya dikolom Image Path, Apakah file tersebut merupakan anti virus, anti spyware, Sound manager, tools untuk printer dan sebagainya. Jika ada aplikasi yang lokasinya di tempat aneh atau di windows system, tetapi kita tidak mengenalinya atau tidak pernah menginstall aplikasi tersebut, bisa jadi merupakan virus.

     Ada beberapa hal ketika kita mencermati daftar yang ada dalam Autoruns tersebut. Terkadang virus, Trojan, Malware dan sejenisnya akan menggunakan nama yang sama atau mirip dengan aplikasi yang dimiliki windows seperti explorer, expiorer, exploler, spooler dan sebagainya, maka perlu dicermati nama dan lokasinya. Misalnya ada nama explorer tetapi lokasinya bukan di C:\Windows, maka bisa jadi adalah virus. Selain itu, jika kita hilangkan tanda check program atau aplikasi tertentu kemudian setelah beberapa waktu di refresh kembali lagi atau muncul lagi, maka kemungkinan besar aplikasi tersebut merupakan salah satu virus.
Sebenarnya ini bukan virus yang terlalu berbahaya. Kalau menurut Symantec virus ini punya Risk Level 1 atau Very Low. Kerjanya virus ini cuma mengakses website-website tertentu agar website tersebut terlihat memiliki traffic yang tinggi. Hanya saja cukup mengganggu pengguna komputer karena setiap saat Antivirus Norton memunculkan notifikasi bahwa dia baru saja mendeteksi virus ini. Bahkan dalam sehari bisa lebih dari 200 notifikasi yang muncul. Sangat annoying, bukan? Lalu bagaimana cara membersihkannya?

     Saya sering melihat teman-teman saya hobi menginstall ulang komputer. Kalau menemukan ada bug, ada yang error dengan komputernya, atau terinfeksi virus yang susah dihilangkan, mereka lebih memilih untuk menginstall ulang Windows atau bahkan memformat ulang hard disk. Duh, kalau saya paling benci kalau harus menginstall ulang Windows. Karena berarti saya harus menghabiskan setidaknya sehari penuh untuk menginstal Windows, menginstall software-software yang biasa saya gunakan (saya juga suka irit nginstall software-software tambahan karena nggak pingin nginstall banyak-banyak kalo harus install ulang Windows), dan melakukan setting ulang terhadap environment Windows – customize Windows Explorer, customize IE, customize Desktop, dll. Nyebelin, kan. Sehingga kalau ada masalah di komputer saya, entah itu virus atau bug, saya akan berusaha sedapat mungkin membetulkannya sebelum memutuskan untuk install ulang.

     Kalau saya menemukan virus, saya akan langsung berusaha menghapusnya sendiri secara manual. Biasanya melalui Command Prompt. Karena virus-virus di Windows seringkali dapat menduplikasi diri secara otomatis kalau ada yang berusaha menghapus lewat Explorer. Virus tersebut dapat mendeteksi kalau kita menekan tombol delete atau mengklik menu delete. Tapi untungnya, virus-virus tersebut karena dirancang untuk Windows, umumnya tidak dapat mendeteksi kalau kita berusaha menghapusnya lewat Command Prompt.

     Kalau masih bandel juga, masih terus-terusan muncul tiap kali restart, padahal sudah dihapus. Nah, itu berarti kita harus mengecek MS Config, tempat setting startup berada. Virus-virus yang selalu muncul saat restart pasti terlihat di situ. Tinggal lihat saja kalau ada nama yang aneh tinggal di-disable saja. Virus nggak akan nongol lagi.

     Kalau masih nongol juga. Hmmm… ada kemungkinan kita harus utak-atik Registry. Tapi ini sebenarnya butuh keberanian dan tidak dianjurkan bagi pengguna komputer yang masih awam. Kalau kita sudah tau nama virus atau nama file yang terinfeksi, kita bisa langsung mencarinya di Registry. Virus-virus yang ngumpet di belakang layar biasanya tampak di sini. Dan harus hati-hati untuk menghapusnya. Tidak boleh lupa untuk melakukan backup terlebih dulu. Kalau gagal, Windows bisa tambah error.

     Masih belum berhasil juga? Cari di Google, virus yang spesifik, tidak terbunuh oleh Antivirus yang ada, butuh penanganan khusus. Biasanya ada yang punya pengalaman membersihkan virus tersebut dan membeberkan pengalamannya di salah satu virus. Biasanya dia akan menganjurkan untuk menginstall software Antivirus tertentu atau langsung menunjukkan langkah penghapusan step-by-step. Biasanya ini langsung tokcer.

     Nah, untuk lpk775.dll ternyata pengalaman baru buat saya. Saya scan pakai Spyware Doctor nggak kena. Saya sudah cari di google ternyata juga nggak ada yang pernah kena. Saya hapus langsung dari Command Prompt nggak bisa karena katanya ada process yang sedang pakai file tersebut. Saya sudah matikan sebagian process juga masih belum bisa dihapus. Yang bisa dihapus malah justru file lpk.dll yang kalau dicari di Google ternyata itu malah bukan virus. Saya sudah hapus entri-nya di Registry masih aja muncul. Saya masuk ke Safe Mode dan berusaha menghapusnya lewat Command Prompt di Safe Mode. Masih nggak bisa juga.

     Akhirnya, setelah berhari-hari terganggu virus tersebut, muncul ide baru. Saya menggunakan CD installer Windows untuk boot komputer. Selain untuk install ulang, di situ juga ada option untuk Repair menggunakan Recovery Console atau dengan kata lain, ini adalah Command Prompt tanpa masuk Windows. Mirip seperti kalau kita boot dengan disket DOS di jaman dulu. Kalau saja hard disk-nya tidak diformat NTFS, saya mungkin akan pakai startup disk yang berisi MS DOS. Nah, setelah masuk ke Recovery Console, memasukkan password Administrator (password yang kita buat saat install Windows), masuk deh ke Command Prompt. Saya tinggal cd ke Windows\System32 tempat lpk775.dll berada, ketik del lpk775.dll dan sim salabim… abrakadabra… file tersebut langsung terhapus. Tinggal ketik exit, restart dan Windows saya telah kembali tanpa notifikasi lpk775.dll yang nyebelin itu

     Buat temen yang lain! perlu diingat bahwa virus biasanya dibuat dengan bahasa vb atau dengan c++, dan biasanya gak kan bisa bergerak bila kita tidak mengeksekusi file tersebut, jika komputer kita bersih dari virus alangkah baiknya bila kita menampilakan executable filenya yang ada difolder option. apa bila dari flashdisk kita menemukan file .exe yang memiliki icon yang mencurigan seperti folder atau word lebih baik dihapus saja karena itu merupakan virus. dan bila ingin lebih aman dalam memasukkan flashdisk lebih baik di search dulu file .exe dengan pilihan search yang ada di start menu atau clik kanan. dan hapus file-file yang mencurigakan.

     Dan perlu diingin belakangan ini virus juga disertai aplikasi autorun.inf yang merupakan jalan virus untuk menginfeksi komputer tanpa di eksekusi oleh pengguna. oleh karena itu hapus juga file autorun.inf yang ada di flashdisk.

     Cara ini sangat efektif bagi saya untuk mengatasi virus tanpa menggunakan antivirus yang harus up to date.

     Apalagi yang komputernya tidak terkoneksi ke internet atau jaringan bisa menggunakan cara ini untuk meblokir virus menginfeksi.

Sekian dulu mungkin ada yang kurang lain kali akan kita bahas kembali.

     Sekarang ini sangat banyak varian trojan yg masing2 memiliki serangan yg khas. kalau kita tidak bisa mengindentifikasi dengan jelas gejalanya tentu akan sulit untuk mencari solusinya. nah, kalau sudah ketemu gejalanya, sukur2 sudah tertangkap antivirus meskipun tidak sampai terbasmi, bisa dicari di google dengan keyword yg sebisa mungkin detil mengungkap gejala2nya.

     Untuk antivirus, saya sekarang sukanya pakai norton yg corporate edition yg untuk client karena cukup ringan. yg penting selalu download update-nya. antivirus memang kadang hanya sanggup mendeteksi tapi tidak bisa menghapus. artikel2 di internet kadang suka ada yg menjelaskan cara menghapusnya. biasanya menggunakan aplikasi hijackthis untuk mendeteksi gejalanya (bukan untuk membasmi).

     Beberapa waktu lalu saya menemukan artikel, ternyata kita bisa menonaktifkan fitur autorun untuk semua removable media. kalau untuk mematikan cd rom bisa dari properties yg biasa diakses dengan klik kanan di drive cd rom. hasilnya kalau kita memasukkan cd rom tidak akan muncul pilihan akan membukan isi cdrom denga aplikasi apa. nah, untuk flash disk agak susah, karena drive flash disk hanya muncul ketika flash disk terpasang. jadi untuk mematikan autorun flash disk harus melalui edit registry. jadi nanti kalau memasang flash disk tidak akan lagi muncul pilihan akan membuka isi flash disk dengan apa. sehingga dengan begitu juga file autorun.inf yg sekarang juga dimanfaatkan oleh virus tidak tereksekusi secara otomatis.
komputer i kena virus trojan di temporary internet file… sy sdh clean pakai virus scan on-demand scan progress tapi failed..

pas saya cek di folder temproary internet fileny tidak file sama sekali
bagaimana ya cara hapusnya thanks.. penting

jwb

     Kalau sudah tahu file yg mana yg merupakan virus, kalau saya biasanya saya hapus melalui command prompt. karena biasanya virus berusaha bertahan dari aktivitas penghapusan atau pembersihan kalau ada aksi dari operasional standar windows. jadi kalau dihapus dari command prompt biasanya bisa. kalo masih terkunci dan menolak untuk dihapus, coba pindahkan hard disk ke komputer lain dan coba hapus dari komputer tsb. karena os di hard disk tersebut tidak dijalankan, virus tidak aktif jadinya tidak terkunci dan bisa dihapus paksa.

     Kalau autorun.inf itu sebenernya virusnya bukan berupa file itu. file autorun.inf itu sebenernya adalah file yg otomatis menjalankan file lain kalau folder tempat autorun.inf itu berada dibuka. jadi yg harus dihapus (lagi2 lebih baik pake cmd) adalah file virus yg sebenarnya yg lokasinya bisa jadi ada di tempat lain (sehingga nggak langsung bisa disikat sama antivirus saat file autorun.inf kedetect makanya bisa muncul lagi dgn cepat). file autorun.inf ini biasanya memang hidden dan ngumpet di flash disk. makanya bisa nyebar cepat karena secara default windows akan menjalankan file ini saat flash disk dipasang. untuk men-disable fungsi autorun bisa dgn cara ini :http://antivirus.about.com/od/securitytips/ht/autorun.htm sedangkan untuk menghapus virus secara manual bisa dicari dulu lokasinya dengan melihat isi file autorun.inf menggunakan notepad. kalo kira2 autorun.inf sudah tersebar bisa dicari di seluruh drive.

     Ini adalah salah satu Rangkuma dari bebagai sumber, saya buat untu membuat Tugas TI di Kampus saya. Semoga juga bermanfaat bagi kita semua.

No comments:

Post a Comment