Di artikel sebelumnya telah dibahas tentang
Membersihkan Virus di Flashdisk Secara Manual. Nah di artikel ini akan dibahas bagaimana membersihkan komputer yang telah terinfeksi virus. Artikel ini dibuat sebagai alternatif jika semua antivirus belum dapat menghapus virus yang menginfeksi PC, yang mungkin disebabkan karena virus lokal dan belum sempat di analisis oleh Lab antivirus. Perlu diingat bahwa cara yang akan dibahas disini mungkin tidak 100% berhasil, ini tergantung dari analisis kita. Sebelum dibahas lebih lanjut, ada baiknya anda mengetahui jenis-jenis virus dan seberapa parah kondisi yang mungkin anda alami.
Jenis-jenis Virus dari medianya
- Virus Script: Sesuai dengan namanya, virus ini hanya berupa teks biasa (Plain Text ) yang berisi kode pemrograman virus, biasanya berekstensikan *.vbs (visual basic script) atau *.js (java script). Contoh virus ini dapat anda lihat disini. Virus ini cukup mudah dikenali karena memiliki bentuk icon yang tidak lazim, atau kadang juga merupakan bagian dari suatu halaman web. Jika anda menggunakan firefox terbaru maka persoalan ini tidak masalah sebab firefox telah mendisable script yang masuk kecuali diijinkan oleh anda.
- Virus Macro: Virus ini sebenarnya hampir sama dengan virus script hanya saja script virus ini tersimpan dalam dokumen Microsoft Office. Secara kasat mata kita tidak dapat membedakan antara dokumen yang terinfeksi dan yang tidak, tetapi jika anda menggunakan Microsoft Office 2000 keatas maka ketika membuka dokumen yang berisi Macro secara default akan ada warning untuk menjalankan macro atau tidak. Untuk keterangan lebih lanjut anda dapat membaca artikel berikut, atau berikut.
- File Program (Aplication): Ada berbagai macam kategori untuk virus yang berupa program file:
- Worm: Yang berarti cacing, disebut cacing mungkin karena bentuknya yang utuh berupa file executable. Biasanya menggunakan icon yang mirip dengan dokumen Office (Word, excel dll) atau folder untuk mengelabuhi user, sedangkan dokumen yang asli disembunyikan (hidden). Virus ini relatif mudah dikenali jika kita cukup jeli dengan melihat filenya melalui opsi details. Jenis worm ini yang sangat banyak beredar di Indonesia. Dikarenakan cukup mudah membuatnya dan relatif cepat penyebarannya.
- Trojan: Masih ingatkah anda dengan cerita Yunani tentang Kuda Troya? Kurang lebih prinsipnya hampir sama. Kalo penulis menyebutnya program tipu-tipu. Sebuah program seolah-olah berfungsi untuk suatu tujuan tetapi tidak bekerja seperti seharusnya, justru malah merusak system anda. Contohnya dulu ada sebuagh program yang sesumbarnya dapat memecahkan kode voucer gsm, program tersebut dapat menghasilkan sebuah rangkaian kode, tetapi syaratnya agar berhasil harus dijalankan pada 10 komputer. Bukan voucer yang didapat malah komputer kita yang bermasalah. Disini trojan tidak menular secara otomatis tetapi karena disebarkan oleh orang-orang yang tertipu. Bagi yang mau belajar hacker disarankan juga jangan menggunakan tool-tool buatan orang lain, karena bisa saja justru kita yang di hack, lebih baik anda mencari source code dari program tersebut.
- Spyware: Spy: berarti mata-mata dan Ware: berarti software. Bentuk spyware bisa berupa worm ataupun trojan, tetapi tujuan utamanya adalah untuk memata-matai komputer kita. Yang dicuri biasanya adalah informasi penting seperti User ID dan Password, atau apa saja terserah pembuat spyware tersebut.
- Adware: Singkatan dari Ads: iklan dan Software, jenis ini tidak berbahaya tetapi cukup menyebalkan karena akan memunculkan banner yang berisi iklan dan kadang kala juga mendownload iklan tanpa sepengetahuan kita. Adware bisa berupa worm, trojan atau bisa juga program betulan sebagai kompensasi karena dikasih program gratis.
- Virus: Atau virus sejati, ini adalah yang sebenarnya dinamakan sebagai virus. Ia bukan sebuah program yang berdiri sendiri melainkan hanyalah sebuah bagian code yang menempel di program yang lain. Program yang terinfeksi virus tetap berjalan sebagaimana biasanya tetapi ia juga menjalankan perintah yang terdapat dalam virus. Jenis virus ini telah ada sejak zaman DOS sampai sekarang. Virus sejati jarang buatan lokal, sebab untuk membuatnya harus mengetahui bahasa assembler atau bahasa C, tetapi seringkali mudah terdeteksi oleh Anti Virus terkenal. Jika komputer anda telah terinfeksi virus ini maka kemungkinan besar anda harus menginstal ulang windows dan seluruh aplikasinya, sebab sangat sulit untuk memisahkan file yang terinfeksi dan virusnya. Karena virus ini menginfeksi program file maka, jangan sekali-kali anda menginstal master program di dalam harddisk sebab sudah dipastikan Master Program anda juga terinfeksi. Begitu pula ketika anda akan menginstal anti virus, anti virus segera terinfeksi dan menolak untuk meneruskan penginstalan. Untuk virus ini Mencegah masuk jauh lebih mudah daripada membersihkannya. Virus tidak menginfeksi dokumen dan data-data yang lain jadi anda tidak perlu khawatir kehilangan data.
Ciri-ciri komputer yang terinfeksi
Komputer yang terinfeksi biasanya tidak langsung merasakan dampak dari virus tersebut. Biasanya virus menunggu beberapa saat baru menunjukkan dampaknya. Ini dimaksudkan untuk memberi kesempatan kepada komputer untuk menularkan kepada komputer yang lain. Biasanya dampak dari virus diatur dari tanggal atau dari berapa lama virus tersebut menginfeksi komputer. Selama waktu tunggu ini biasanya user tidak sadar kalau komputernya terinfeksi. Tetapi ada beberapa ciri-ciri yang cukup lazim ditemukan:
- Registry editor di disable, silahkan anda coba cek dari menu Start > Run, ketik regedit, Ok, jika terinfeksi maka ada pesan yang artinya Registry Editor di disable oleh administrator.
- Task Manager di disable, cek dengan menekan tombol Ctrl+Alt+Del. Jika terinfeksi jenis Worm sudah dipastikan Task Manager di disable untuk mencegah aplikasi worm di kill.
- Menu Folder Option di Explorer letaknya di Tools > Folder Option menghilang. Ini dimaksudkan agar sipengguna tidak dapat memunculkan hidden file, jadi dokumen yang tersembunyi tidak tampak.
- Msconfig di disable. Untuk mengeceknya di Start > Run ketik msconfig. Ini juga ditujukan untuk mencegah agar start up worm tidak dapat dihilangkan.
Langkah-langkah Membersihkan Virus
1. Analisis
Secara garis besar cuma ada dua kategori yaitu Worm dan Virus, untuk script prinsipnya hampir sama dengan worm. Sedangkan Virus Macro dapat dengan mudah dibersihkan dengan menginstal ulang microsoft office, tetapi dengan menghapus direktori Microsoft Office terlebih dahulu. Ciri-ciri yang disebutkan diatas adalah kebanyakan dari ciri-ciri worm. Sedangkan jika terinfeksi Virus sejati cirinya adalah aplikasi yang dimasukkan kedalam komputer akan sedikit membesar ukuran filenya mungkin hanya beberapa kilobyte.
Jika komputer anda terinfeksi virus sejati maka tidak ada jalan lain kecuali menginstall ulang seluruh system anda, karena dimungkinkan aplikasi-aplikasi yang bawaan dari windows ikut terinfeksi. Sedangkan antivirus-antivirus terkenal hanya mampu mencegah masuk saja tetapi tidak dapat menyembuhkan. Tetapi Jika komputer anda hanya terinfeksi Worm maka mungkin ada beberapa tips yang dapat dilakukan.
- Menganalisa program yang sedang berjalan di background. Tanpa sepengetahuan kita sebenarnya ada banyak program yang berjalan yang tidak tampak di layar. Diantaranya mungkin salah satunya adalah worm, lazimnya kita dapat melihat ini melalui Task Manager. Tetapi kemungkinan sudah di non aktifkan oleh worm ini. Jadi anda memerlukan Tools lain seperti program HiJack yang dapat anda download disini.
- Menganalisa program-program apa saja yang dijalankan ketika windows pertama kali dijalankan. Ini karena Worm adalah program utuh maka untuk dapat berjalan otomatis ia harus membuat start up registry. Biasanya dapat anda atur setingannya melalui msconfig. Tetapi lagi-lagi ini di mungkin sudah di non aktifkan oleh virus.
- Menganalisa kemungkinan-kemungkinan lain dimana virus ini dapat dijalankan selalin lewat Start up registry, misalnya dari manipulasi shortcut, scheduled task, start up folder, shell execute dan lain-lain.
2. Kill The Worm
Setelah anda selesai menganalisis langkah pertama yang harus dilakukan adalah menutup aplikasi Worm yang sedang berjalan, sebab jika worm masih berjalan di memory semua langkah yang akan dijalankan berikutnya akan sia-sia. Misalkan kita menghapus registry start up maka dengan segera worm akan menulis ulang registrynya. Jika Task Manager disable anda dapat menggunakan Program A2HiJackFree yang telah anda download diatas.
Klik bagian Process di sebelah kiri maka akan muncul semua proses yang berjalan di bagian sebelah kanan. Bagian tersulitnya adalah menganalisa manakah proses yang virus/worm atau bukan. Sebab biasanya worm menggunakan nama-nama yang mirip dengan program yang asli.
Tetapi dengan melihat lokasi direktori asalnya kita bisa melihat keaslian dari program tersebut. Misalkan saja svchost.exe lokasi aslinya ada di C:\WINDOWS\system32\, jika ada program svchost yang letaknya di tempat lain misalkan C:\Document and Setting\....\svchost.exe dapat dipastikan ini virus. Maka jangan ragu-ragu, Klik listnya kemudian kill dengan menekan button silang merah diatas. Anda juga dapat mengidentifikasinya dari gambar icon yang muncul, jika yang tampak adalah gambar folder atau dokumen office sudah dapat dipastikan itu adalah virus, sebab yang tampak disini hanyalah program file saja.
Anda tidak perlu khawatir jika salah pilih sebab selama kita belum menghapus registrynya maka program tersebut akan dijalankan kembali saat komputer anda booting. Untuk virus script yang tampak ditampilan bukanlah nama filenya tetapi sebuah program yang bernama wscript.exe, anda tidak perlu ragu untuk meng-kill-nya. Sebenarnya program ini adalah bawaan windows tetapi yang berbahaya bukan programnya melainkan script yang dijalankan program ini.
Jika anda bingung mana aplikasi yang harus di kill, penulis menganjurkan untuk mengkill semua yang mungkin di kill, kecuali aplikasi ini dan explorer.exe. Beberapa process memang tidak dapat di kill karena merupakan services. Jika ada services yang anda curigai sebagai virus anda dapat menyetopnya masih menggunakan program ini dengan cara klik tombol services, kemudian pilih service yang mencurigakan kemudian klik tombol kotak diatasnya. Ini hanya akan menghentikan sementara proses yang sedang berjalan. Jika komputer di reboot maka service akan berjalan kembali. Agar service dapat dihilangkan secara permanen dapat anda lakukan dengan klik 2 kali di listnya, nanti akan muncul registry editor. Anda dapat menghapusnya dari sana secara manual.
Menghapus service melalui registry editor cukup rawan, jika anda melakukan kesalahan, sebaiknya anda tahu cara mengembalikannya. Cara lain untuk menghentikan services dapat dilakukan dengan cara klik Start > Run kemudian ketik services.msc, pilih service yang mencurigakan klik kanan, Properties, di Start Up Type pilih yang disable. Ada baiknya anda melakukan semua proses diatas dalam kondisi safe mode, sebab dalam kondisi ini start up dan services yang dijalankan sangat minimal.
Kemungkinan terburuk jika worm menggunakan lebih dari satu program yang berjalan, sebab ketika worm di kill maka worm yang lain akan mengeksekusi kembali worm tadi, begitu pula sebaliknya. Sedangkan sampai saat ini penulis belum menemukan program yang dapat meng-kill dua proses secara simultan. Satu-satunya cara untuk menghentikannya adalah dengan mendelete file worm tanpa masuk melalui sistem windows tersebut dengan melalui live CD windows atau bisa juga melalui linux, sebab sekarang linux dapat mengakses seluruh file yang ada di windows. Cara membuat Live CD Windows dapat anda baca
disini3. Menghapus Start Up Worm/Virus
Registry Startup
Setelah anda kill process wormnya langkah berikutnya adalah menghapus registry start up dari worm tersebut. Anda bisa menghapusnya melalui registry editor atau menggunakan program A2HijackFree diatas. Penulis menganjurkan untuk menggunakan cara yang kedua. Perhatikan bagian sebelah kiri: Autoruns > Registry > All Users > Run, lihat daftar program-program apa saja yang dieksekusi saat start up, anda dapat menghapusnya dengan cara klik kanan kemudian delete atau anda cukup menghilangkan tanda centang jika anda ingin mengembalikannya sewaktu-waktu. Ini jika anda belum yakin 100% bahwa registry tersebut adalah milik virus/worm. Lokasi yang lain adalah di Autoruns > Registry > Current Users > Run, caranya juga sama seperti yang diatas.
Startup Folder
Selain melalui registry, start up juga dapat dijalankan melalui start up folder. Semua program, shortcut atau dokumen yang ada dalam folder ini akan dieksekusi secara otomatis sesaat setelah komputer booting. Anda dapat melihatnya di dengan cara Klik Start Menu > All Programs > Start Up, nah klik kanan menu ini kemudian open. Di folder ini anda akan menemukan short cut untuk program yang dijalankan pada saat komputer pertama kali menyala. Folder ini biasanya berada di lokasi C:\Documents and Settings\Nama User Anda\Start Menu\Programs\Startup. Selain ini ada juga di lokasi lain seperti di All Users, tepatnya di C:\Documents and Settings\All users\Start Menu\Programs\Startup. File virus atau Worm ini sudah bisa dipastikan di hidden untuk mempersulit user untuk mendeteksi. Untuk menampilan file yang di hidden maka anda perlu mengubah seting explorer anda dengan membuka menu Tools > Folder Options, kemudian klik tab View, pilih Show Hidden File dan hilangkan tanda centang di Hide protected operating system files (recomended). Tetapi beberapa virus mengantisipasinya dengan menghilangkan menu Folder Options. Untuk memunculkan kembali folder options dapat anda baca bagian bawah artikel ini. Alternatif lain anda juga dapat mengubah atribut file dalam folder ini agar tidak hidden lagi menggunakan Command Prompt (dos).
Scheduled Task
Cara lain untuk menjalankan Worm adalah melalui Scheduled Task, atau pekerjaan terjadwal. Scheduled Task ini memang tidak selalu otomatis di eksekusi, tetapi hanya pada waktu-waktu tertentu saja yang telah terjadwal. Bagi virus ini adalah semacam asuransi jika semua start up sudah di nonaktifkan dan user lalai akan hal ini. Dalam waktu yang lama mungkin seolah sudah terbebas virus tetapi pada waktu yang ditentukan virus kembali akan muncul. Scheduled Task dapat anda temukan di Control Panel kemudian klik dua kali icon Scheduled Task. Delete Task-task yang mencurigakan. Penulis menganjurkan untuk 100% menonaktifkan Scheduled Task dengan cara klik menu Advanced > Stop Task Scheduler. Jadi anda tidak perlu menghapus task-task yang ada.
Shell Open Command
Selain cara-cara diatas sebenarnya ada berbagai macam cara bagi virus untuk dijalankan. Misalkan dengan memanipulasi registry untuk ekstensi *.exe. Jadi virus tidak dijalankan saat komputer menyala pertama kali melainkan dijalankan hanya saat kita mengeksekusi program. Ini dapat anda temukan menggunakan Program HijackFree diatas. Lihat bagian Autoruns > Tricky Startups > Shell Open Command, lihat yang list Application, seharusnya berisi "1%"%* jika anda melihatnya berbeda maka segera kembalikan ke bentuk "1%"%* Penulis pernah menemukan kasus ini pada virus Itz.
Manipulasi Shortcut
Prinsipnya adalah dengan mengubah shortcut yang seharusnya untuk menjalankan program tetapi justru menjalankan virus / worm, kemudian worm ini menjalankan aplikasi yang asli agar user tidak curiga. Hal ini juga dianggap sebagai asuransi bagi virus jika Startup gagal atau dihapus. Penulis pernah mengalami kasus ini pada virus decoil. Selain menggunakan Registry virus ini juga telah memanipulasi shortcut Winamp, sehingga saat program winamp dijalankan maka virus kembali menyebar. Biasanya virus mengganti nama programnya yang asli seperti Winamp.exe menjadi Winamp2.exe, kemudian virus di copykan ke folder yang sama dengan nama Winamp.exe. Untuk memperbaikinya sangat mudah tinggal hapus Program Worm / virus dan rename program yang asli ke semula.
Yang menjadi sasaran bisa semua program yang ada di komputer, jadi analisis adalah faktor yang sangat menentukan keberhasilan dari pembersihan virus ini
Autorun.inf
Pernahkah anda menemukan file ini dalam flashdisk atau drive anda? File autorun.inf adalah file teks yang berguna untuk mengeksekusi file saat flashdisk atau drive partisi anda klik dua kali di My Computer. Jadi jika anda memiliki kebiasaan klik dua kali untuk membuka flashdisk atau drive maka sebaiknya buang jauh-jauh kebiasaan ini, terutama jika komputer anda tidak memiliki antivirus terbaru. Sedangkan untuk CD rom autorun.inf akan secara otomatis di eksekusi. File autorun.inf tidaklah berbahaya, yang berbahaya adalah worm atau virus yang dieksekusi oleh script tersebut. File autorun.inf dan wormnya sudah dipastikan dalam keadaan hidden file. Untuk menghapusnya anda harus memunculkan opsi hidden di explorer. kehati-hatian sangat diperlukan dalam hal ini sebab jika anda tanpa sengaja mengeksekusi worm maka semua usaha sebelumnya akan sia-sia.
4. Menhapus File Worm
Tahap terakhir adalah menghapus semua worm yang mungkin masih tersimpan di dalam dokumen anda, prinsipnya hampir sama dengan
membersihkan virus di flashdisk di artikel sebelumnya. Beberapa virus ada yang membuat salinannya pada hampir semua dokumen atau folder yang ada di dalam My Documents. Selama proses penghapusan ini juga anda harus berhati-hati jangan sampai virus tereksekusi lagi. Kalo ini terjadi maka proses harus diulang dari awal.
5. Mengembalikan seting
Ketika virus telah dibersihkan dalam komputer, tidak semerta-merta setingan dikembalikan seperti semula. Bahkan beberapa setingan perlu dikembalikan sebelumnya agar proses pembersihan virus dapat berjalan, seperti mengaktifkan kembali Folder Option dan registry. Setingan Ini dapat dikembalikan menggunakan PCMAV anti virus. Caranya adalah dengan menggunakan Command PCMAV-CLN.exe /regclean. Jika anda bingung menggunakan command promt anda dapat menggunakan shortcut dari PCMAV-CLN.exe kemudian edit shortcutnya dengan cara klik kanan shortcut pilih Properties, dibagian target tambahkan [spasi] /regclean . Nah anda jalankan PCMAV maka akan ada keterangan Registry has been fixed. Maka folder option akan muncul kembali dan registry editor dapat digunakan lagi.
Cara yang lain adalah menggunakan tool HiJackThis yang disertakan bersama HijackFree. Jalankan HiJackThis dan klik tombol Do a system scan only. Di Program tersebut ditampilkan semua registry dan setingan yang berpeluang sebagai worm dan malware (malicious). Tetapi perlu diperhatikan, tidak semua yang ada di daftar tersebut adalah malicious, jadi anda lakukan analisa sendiri berdasarkan informasi diatas. Salah satu diantaranya ada untuk mengaktifkan kembali Registry editor. Beri tanda centang pada registry yang dianggap malicious kemudian klik fix checked.
Setingan lain yang sering diubah adalah taskmanager dibuat disable, jadi ketika anda tekan tombola Ctrl+Alt+Del ada keterangan di disable. Anda dapat mengembalikannya menggunakan Registry Editor (dengan syarat Registry Editor tidak disable). Caranya Klik Start > Run, kemudian ketik regedit, cari kunci registry di HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ kemudia edit DisableTaskMgr yang semula 0x00000001(1) menjadi 0x00000000(0). Anda cukup klik dua kali tulisan DisableTaskMgr kemudian gantilah angka 1 dengan 0
Modifikasi Tools
Beberapa virus / worm kadang telah mengantisipasi penggunaan tools yang berkaitan dengan hijack. Ini dicirikan ketika program ini dijalankan, dalam waktu singkat langsung di close. Virus atau worm mungkin mendeteksi tools ini dari nama process yang berjalan. Jadi sebaiknya anda memodifikasi program / tools ini menggunakan Resource Hacker. Gantilah nama program dengan nama yang acak, ganti juga nama filenya dengan nama acak pula. Resource Hacker dapat anda download melalui link download di bagian kiri halaman web ini. Anda juga dapat membaca artikel yang berkaitan dengan Resource Hacker
disiniPenutup
Tingkat Keberhasilan dari membersihkan virus secara manual adalah tergantung analisis anda. Sebab beda virus beda cara kerja dan beda pula target serangannya. Yang dijelaskan disini mungkin tidak mencakup semua kemungkinan yang dapat terjadi. Beberapa memang tidak dicantumkan disini karena hanya terjadi pada windows 2000 dan sebelumnya. Sedangkan pada windows XP penulis sendiri belum menemukan seluruh celah-celah (security hole) yang mungkin dijadikan sebagai kesempatan bagi virus untuk masuk. Penulis menganjurkan untuk menggunakan antivirus sebagai pencegah bukan sebagai penyembuh atau pengobat, sebab kebanyakan antivirus sangat efektif untuk mencegah virus masuk tetapi tidak untuk menyembuhkan. Bahkan algoritma heuristic antivirus sangat mampu mendeteksi virus-virus baru yang belum masuk daftar blacklist (virus definition).
Kalau di peradilan kita menggunakan asas praduga tak bersalah. Tetapi antivirus menggunakan asas praduga bersalah. Maka kadangkala antivirus mendeteksi program yang bukan virus sebagai virus sebab didalamnya memiliki algoritma yang mirip virus, disini sebaiknya anda menggunakan jalur aman saja dengan tidak menggunakan program tersebut. Penulis sangat mengharapkan Feed back artikel ini demi kelengkapan dan perbaikan jika ada kesalahan dalam tulisan ini
