persen tuntas. Mungkin saja masih ada sisa-sisa Trojan di registry dan bertebaran di harddisk. Tapi yang penting adalah mematikan aktifitas background Trojan. Selama Trojan masih aktif di background, usaha pembersihan akan percuma. Trojan akan melakukan re-infection. Area yang paling penting di perhatikan menurut saya adalah startup applications, background process dan Windows library files.
Startup Applications mendapat perhatian utama karena Trojan yang aktif akan selalu berusaha berbagai macam cara agar dirinya bisa kembali aktif begitu windows restart. Karena itu disarankan untuk melakukan scan full di mode Safe Mode windows.
Selain itu jangan lupa untuk mematikan Fitur Windows Restore. Start – Control Panel – Stsrem – System Restore. Lalu aktifkan pilihan ‘Turn off system restore on all drive‘. Gunakan tools HijackThis untuk melihat aplikasi – aplikasi mencurigakan dan yang anda tidak kenal. Begitu scan selesai, langsung pilih opsi Fix untuk membuang proses proses startup yang anda yakin tidak kenal. Harap berhati-hati karena hasil scan yang tampil bukan berarti semua adalah proses yang mencurigakan. Tetap kita sebagai user yang memilah dan meneliti satu persatu. Kalau anda bingung dan tidak begitu paham, kirimkan hasil output HijackThis ke forum – forum IT yang berhubungan dengan Virus/Trojan/Worm dan lainnya. Di bawah blog ini ada daftar forum yang mungkin bisa membantu persoalan anda.
Oke, sampai tahap ini mungkin anda sudah mendapat beberapa gambaran apa aja sih yang harus dilakukan.
Mari kita jabarkan step-stepnya.
- Download Spybot Search and Destroy dan Lavasoft Ad-aware. Anda boleh langsung melakukan update ketika tools diinstal atau mengambil file update secara terpisah. Download saja disini, lokasinya di bagian virus definitions / sebelah kanan halaman web. Saran saya download saja file updatenya terpisah. Karena kadang lebih cepat download terpisah dari pada update langsung. Lagipula bisa di gunakan di komputer lain dan lebih praktis. Tidak perlu koneksi internet lagi untuk download update. Tetapi jangan lupa untuk secara berkala mendownload update.
.
Mungkin anda bertanya kenapa harus dua tools? kenapa tidak satu saja?. Tools Anti Trojan adalah aplikasi buatan manusia yang mengandalkan update signature terjadwal. Dan dari demikian banyak Trojan berseliweran di Internet, mungkin saja ada Trojan yg belum teridentifikasi di salah satu AntiTrojan, tapi sudah terdeteksi di Antitrojan lainnya. Karena itu alangkah baiknya untuk melakukan test scan dengan 2 atau lebih merek yang berbeda. Asalkan dengan catatan, kedua tools tidak aktif secara bersamaan ketika windows start.
.
Sedikit tips, saya pribadi selalu membuang antispyware dari daftar startup windows. Karena 2 tools ini hanya digunakan ketika diperlukan untuk scan mingguan / bulanan. Untuk penggunaan sehari-hari/preventif, saya menggunakan AVG (antivirus) dan ZoneAlarm (Firewall) yang juga punya feature antispyware/trojan. ZoneAlarm akan mengingatkan saya apabila ada aktifitas background (misal penulisan ke registry) yang tidak beres. AVG selalu digunakan untuk memeriksa flashdisk atau harddisk external yang dipasang ke usb port.
.
Kembali ke Spybot dan Lavasoft Ad-aware, Walaupun sama fungsinya, cara kerja keduanya tidak sama persis. SpybotDoctor membaca signature dan mencari tipe infeksi yang sama dengan isi signature. Jumlah signature Trojan/Worm yang di punya Spybot saat ini mencapai lebih dari 340 ribu. Spybot Doctor membaca dan melakukan compare semua signature satu persatu sampai habis.
.
Adware melakukan scan ke harddisk dengan 2 tipe scanning. Smart scan dan Full System Scan. Smart scan melakukan pemeriksaan hanya pada file2 yang dianggap penting dan mencurigakan. Misal .tmp .exe .com .pif .dll. Untuk Full system scan, pemeriksaan dilakukan ke seluruh file di harddisk. Scan Full system disarankan. Karena ada Trojan yang menyembunyikan induk virus (HIVE) dengan mengganti nama file dan extensi menjadi random.
. - Selesai diinstal, jangan jalankan kedua software bersamaan. Sebaiknya Spybot Doctor terlebih lalu dilanjutkan dengan Ad-aware. Langsung pilih fix / clean ketika ditemukan Spyware/Trojan/Worm.
. - Apabila setelah selesai Scanning ditemukan file terinfeksi yang tidak bisa dibersihkan, coba lakukan pembersihan Trojan dari ‘safe mode’ windows. Restart windows lalu segera tekan tombol F8 ketika Post Bios Cek selesai dan akan masuk ke tulisan WindowsXP start. Pilih mode ‘safe mode‘, dan jalankan spybot / ad-aware ketika sudah di dalam windows safe mode.
. - Ada kemungkinan besar, ketika Trojan/Malware/Spyware sudah berhasil di remove, beberapa file penting windows (library .dll, msconfig, task manager, windows explorer, dll) tidak bisa kembali normal atau corrupted. Tapi jangan takut, kita bisa lakukan re-verify file penting Microsoft Windows . Masuk ke windows start – run, lalu ketik command berikut di dalam box ‘sfc /scannow‘. Windows akan melakukan verifikasi semua file penting windows dan mereplace dengan yang aseli apabila ditemukan perbedaan ukuran file, creation date, dan versi file. Jangan lupa, untuk itu anda memerlukan CD installer Windows.
.
Selain itu, task manager, regedit, command prompt, msconfig biasanya belum kembali ke kondisi semula. Berikut cara untuk mengembalikan ke kondisi normal.
.
Task Manager
cara 1. ketik start – run lalu input command dibawah
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
cara 2. Start, Run, ketik gpedit.msc dan click OK
arahkan ke bagian ini : User Configuration / Administrative Templates / System / Ctrl+Alt+Delete Options / Remove Task Manager, lalu klik task manager dan pilih ke mode Not Configured.Regedit
cara 1. ketik start – run lalu input command dibawah
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
cara 2. Start, Run, ketik gpedit.msc dan click OK
arahkan ke bagian ini : User Configuration / Administrative Templates / System / Ctrl+Alt+Delete Options / , klik Disable registry editing tools dan pilih mode Not Configured.Command Prompt
cara 1. ketik start – run lalu input command dibawah
REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f
cara 2. Start, Run, ketik gpedit.msc dan click OK
arahkan ke bagian ini : User Configuration \ Administrative Templates \ System ,
lalu klik Prevent Access to the command prompt dan pilih mode Not Configured
.
Berikut dibawah adalah tools yang bisa digunakan untuk memperbaiki registry secara otomatis.- CCCleaner atau FixRegistry. Untuk memperbaiki dan optimasi registry yang mungkin masih rusak
- RRT versi 4 (Remove Restrictions Tools) berfungsi untuk mengembalikan Folder option di Windows Explorer (trial software)
untuk free nya di versi 1, click disini
.
- Sampai disini seharusnya komputer sudah dalam kondisi terkendali. Coba lakukan pemeriksaan ulang trafik ke internet dengan Bandwidth Monitor.Periksa juga dengan menggunakan netscan dan HijackThis, dan pastikan sudah tidak ada koneksi TCP UDP ke situs yang tidak anda kenal. Post kembali ke forum hasil netscan dan HijackThis anda untuk menjadi bahan diskusi dan memastikan komputer anda sudah bersih.
Selanjutnya untuk mencegah terulang kejadian infeksi, harus dijalankan tindakan – tindakan preventif.
Di blog selanjutnya : Part 3. Pencegahan Infeksi Spyware / Trojan.
Lampiran
————
Daftar Forum-Forum yang bisa membantu Log HijackThis atau pertanyaan mengenai Virus/Trojan/Worm
a. Kaskus Virus Klinik (lokal)
b. TechGuy Forum (luar)
c. Tech Support Forum (luar)
d. Startup Program Database (luar)
e. Process Library (luar)
0 komentar:
Posting Komentar