Kamis, 05 Juni 2014

Hentikan Virus di Memori

PERHATIAN!!!!!

Maksud saya sebenarnya ingin menunjukkan bahwa menangani virus itu mudah, namun ternyata saya salah dalam memilih contoh virus. Virus yang satu ini bernama Deulledu-X, sudah pernah saya tangkap, namun belum sempat menginfeksi komputer saya. Jadi, waktu saya infeksikan ke komputer saya, saya sama sekali tidak tahu karakteristiknya. TERNYATA...TERNYATA..., virus ini tidak cocok untuk dijadikan contoh bagi pemula. Saya kira untuk tingkatan Advanced lah...

Bagi saya, menangani virus itu tetap mudah, hanya butuh kesabaran dan kemauan untuk berpikir saja. Maksud saya, sebagaimana menangkap maling, kita juga harus berpikir seperti maling. Untuk menangkap virus, kita juga harus berpikir seperti pembuat virus, tentang apa yang akan dilakukan, bagaimana cara sembunyinya, bagaimana mengantisipasi pemburu virus seperti anda-anda ini dan seterusnya.

Tentu saja, untuk pemula, penanganan virus sangat sulit, apalagi kalau tiba tiba harus berhadapan dengan virus yang cukup bandel seperti ini. Karena itu, untuk seluruh tutorial yang ada dan akan ada, saya katakan bahwa :

"Saya tidak bertanggung jawab atas segala kerusakan hardware maupun software ataupun kehilangan materi akibat tutorial penanganan virus ini. Segala resiko, anda yang menangggung. ". 
Semuanya sudah saya lakukan sendiri dan, dalam batas-batas tertentu, tidak ada masalah. Kalau anda tidak setuju, sebaiknya anda segera menghentikan membaca tutorial ini saja.....


ALAT-ALAT BERTANDING

Untuk menangani virus ini, cukup banyak peralatan yang perlu disediakan sebelumnya. Artinya, anda tidak bisa menyiapkannya semasa penanganan virus, karena akan sudah sangat terlambat sekali.... Alat-alat maupun bahan yang digunakan adalah :

  1. Otak (bukan otak-otak lho.. ) dan siap mental untuk marah-marah, nyesel (ngapain aku infeksi segala dsb..dsb)
  2. PE TOOLS dari http://www.uinc.ru
  3. Warking.exe dari efvy2k.com (nggak tahu alamatnya bener nggak, yang jelas sofware gratis. Check aja di google)
  4. Reg Cleaner (www.jv16.org)
  5. File MSVBVM60.dll di folder c:\windows\system32 anda bila ada. Bila nggak ada ya nggak usah (nantinya akan dihapus oleh si virus brengsek ini, jadi anda harus punya copy-annya).
  6. Killer Machine (www.thekillermachine.isfun.net)
  7. Hex Workshop (www.bpsoft.com) - program ini nggak gratis, tahu khan maksudnya!!
  8. Windows Commander ( http://www.ghisler.com/) - nggak gratis juga, tapi anda bisa menggunakan trial version sepuasnya
  9. Sebaiknya, anda sediakan juga PCSurgeon (http://www.winutils.com) untuk membandingkan isi registry sebelum dan sesudah kena virus. Saya jarang menggunakan ini, sehingga sampai saat ini saya masih belum tahu apa yang dilakukan virus. Beberapa aplikasi saya nggak jalan euy... Buka PC Surgeon, click Capture & Monitor, pilih Monitor for System Change. Centang semua disk dan registry kemudian Take Snapshots. Nantinya snapshot ini yang akan dibandingkan dengan perubahan yang dilakukan oleh virus.
  10. Kalau yang paling aman, coba aja deepfreeze (saya tidak pernah mencobanya walaupun punya programnya, katanya kadang masih bermasalah, tapi patut dicoba khan?)
Masukkan semua file diatas dalam satu flash disk yang bersih, dalam satu folder. (Perhatikan, bahwa MSVBM60.dll harus satu folder dengan warking.exe dan Killer Machine). Sedang hex workshops, Windows Commander dan PE TOOLS bisa diinstal di hard disk. 
Info : 
Sampai akhir tutorial ini, program saya yang nggak jalan dan belum ketemu jawabannya adalah :
  1. System Restore, ketika diclick dia memanggil notepad
  2. *.reg/ *.lic dan *.key, ketika diclick akan membuka notepad
  3. Icon harddisk yang seperti dishare (ada gambar tangannya) padahal tidak dishare
Yaa, semua masalah ini hanya bersumber pada registry, cuman dimananya itu lho yang agak susah nyarinya. Sampai saat ini belum ketemu. Tapi perasaan, yang lainnya oke-oke saja.
Nah, kalau amunisinya sudah lengkap, kita mulai peperangannya. Dan jangan tertawa yaa.. soalnya saya buat tulisan yang dibawah ini waktu belum tahu karakteristik virus ini, jadi masih PD banget gitu!. Sengaja saya pertahankan bentuk tulisan ini, untuk menjadi pelajaran bagi diri sendiri......... biar nggak gampang sombong lagi....hahahahaha...

PENGANTAR
Saya yakin, semuanya sudah pada kenal yang namanya virus, bahkan sudah pernah merasakan dampak adanya virus tersebut. Sekarang kamu-kamu pasti sudah pasang kuda-kuda, yaitu dengan menginstall antivirus, terus update definition file setiap 2 minggu sekali agar tidak ketinggalan. Waah, berapa banyak ya uang yang kamu habiskan untuk download di warnet sebelah Rumah?

Kalau saya, nggak terlalu suka memakai anti virus, karena ribet dan menyebabkan jalannya komputer saya jadi lambat. Apa nggak kena virus?. Siapa bilang...., bahkan saya punya koleksi beberapa virus yang pernah saya tangani (pastinya telah menginfeksi komputer saya). Lihat gambar folder saya di bawah ini. Kenalkah anda dengan virus tersebut???....

Sayangnya, saya baru-baru ini menginstall anti virus AVG, kemudian virus-virus koleksi saya pada dihapus tanpa ampun. Jadi koleksi saya hilang dech.............. Nggak apa-2 masih ada back-upnya kalau kamu mau!!.
Gambar 01. Beberapa koleksi Virusku (gambarnya jelek tapi kelihatan, biar loadingnya cepet).
Nah, mengapa saya bisa sampai mengoleksi beberapa virus dan dimasukkan dalam folder TANGKAP?. Sebenarnya jawabannya sederhana, KARENA SAYA SEDIKIT TAHU MENGENAI CARA VIRUS BEKERJA. Jadi kalau anda juga tahu (sebentar lagi) cara virus bekerja, maka anda tidak akan takut lagi dan dapat membasminya tanpa ampun juga (itung-itung pembalasan, si virus menginfeksi komputer anda tanpa ampun!).
Logika bekerjanya virus
Logikanya sederhana sekali seperti dibawah ini:
  1. Virus bekerja apabila ada trigger dari anda. Trigger tersebut bisa berupa anda click, tanggal dan waktu, emang dipanggil oleh registry dan lain-lain.
  2. Yang pasti, setelah ditrigger, program akan berjalan di memori, kemudian akan melakukan apa saja sesuai dengan perintah yang sudah diprogramkan pembuatnya.
  3. Contohnya, kalau itu virus tempelan, ia akan mencari file target untuk ditempeli, kemudian nempelin program kita.
  4. Sehingga bila program kita jalankan, maka yang dijalankan adalah program virusnya dulu, selanjutnya terserah virus mau menjalankan program asli atau tidak
  5. Makanya komputer anda jadi lambat, karena tiap detik si virus menjalankan programnya
  6. Anda heran, padahal anda tahu filenya virus, dan sudah didelete tapi kok nggak bisa...
  7. Makanya juga file anda jadi besar, karena ditumpangi virus, atau si virus menginfeksi ke tiap file di semua folder
  8. Makanya anda sewot, karena selain komputer jadi lambat, dan anda tahu ada virus disitu, anda nggak bisa menghilangkannya.
  9. Makanya..... jangan sewot terus.....
Lihat langkah 3. Segala sesuatu yang akan dikerjakan dalam komputer, harus diload dulu di memori. Ini berita bagus. Berarti kalau kita dapat mengintercept (mematikan) virus di memori, pasti program virus tidak akan jalan dan dapat kita delete dengan sukses. Cuman begitu doang??? . Emang cuman begitu!!! Terus gimana caranya ngintercept doong....
BUNUH!!!
Sebagaimana tukang kayu atau tukang yang lain, anda harus punya alat atawa tools. Untuk membunuh juga harus punya alat. Kalau dibilang, lho.. saya membunuh dengan senyuman, berarti alat pembunuhnya adalah senyumnya itu. Untuk mengetahui program apa yang jalan di memori, ada banyak sekali tools. Contohnya yang gratis dan masih aman (setidaknya sebelum saya publish tulisan ini ke anda ) adalah :
  1. PE TOOLS dari http://www.uinc.ru
  2. Whats Running dari http://www.whatsrunning.net
  3. Process Viewer, program kecil bawaannya Visual studio (coba search di google)
  4. Process Explorer dari Sysinternal
  5. Machine Killer (nomer 4 dan 5 sudah masuk dalam target virus, jadi untuk virus-virus baru sudah nggak bisa digunakan)
  6. de el..el.. dan masih banyak lagi
Sedangkan program yang nggak gratis yang mulai saya sukai adalah System Mechanics (http://www.iolo.com)
Oke, kita akan coba menangani virus dengan menggunakan PE TOOLS (saya biasanya menggunakan Process Viewer kalau Process Explorer atau machine killer nggak bisa digunakan).
  1. Download dan Install PE TOOLS
  2. Click shorcut PE TOOLS dan anda akan mendapatkan gambar mirip-mirip seperti ini (nggak harus sama, karena tergantung apa yang ada di memori komputer anda saat ini)

    Gambar 2. Tampilan PE TOOLS

    Lihat angka 1, yang menunjukkan program-program yang lagi berjalan di memori. Anda bisa tahu, oh, saya lagi memakai internet explorer untuk mencek hasil webpage saya, Photoshop untuk ngedit gambar, dreamweaver untuk memproduksi html yang anda nikmati dan sebagainya. Perhatikan juga alamat file yang dipanggil. Untuk sementara ini, abaikan kolom PID, Imagebase dan Image size. Saat ini nggak penting bagi anda.

    Selanjutnya angka 2 menunjukkan modul-modul apa yang dipanggil oleh file yang saya pilih (saya lagi milih explorer.exe - tapi nggak keliatan di gambar). ini juga agak kurang penting saat ini.

    Nah, saya ingin tunjukkan nomer 3, dimana kalau slidernya kita tarik keatas, maka kita akan mendapatkan program-progam standar windows yang harus anda kenali tempat dan besarnya (diingat, kalau perlu ditulis.

     

    Tuh, program yang atas itu yang sering dijadikan sasaran. Tapi nggak akan diinfeksi. Virus cuman membuat file yang namanya sama dengan folder berbeda. Catat nama program dan alamatnya, semuanya di c:\windows\system32. Kalau namanya sama, tapi tempatnya beda, pasti dech virus!. Programnya adalah : smss, csrss, winlogon, services, svchost. Kadang-kadang spoolsv juga. Perhatikan juga file-file dengan icon word, folder, screen saver dan seterusnya yang tidak seharusnya ada.

    Contohnya, saat ini saya sedang menginfeksi komputer saya dengan virus deudel.x, yang khabarnya (maksudnya ada ditulisan filenya) mematikan semua visual basic - The Visual Basic Killer (paling-paling cuman mengganti MSVBVMX.0.dll dengan nama lain doang). 



    sekarang, tekan F5 di PE TOOLS dan lihat di memori, ada yang aneh kah?


    ada folder nyasar di windows? , Komputerku semakin lambat, ada indikasi penggantian file dengan munculnya pesan untuk memasukkan CD Installer Windows? Pasti kena virus dech. Untuk menghentikannya cukup mudah, anda tinggal click kanan, pilih Del. Tapi tunggu!!!. Kita harus tahu file apa yang menjadi virus tersebut!. Pilih dulu Explorer, sehingga kita bisa tahu lokasi dan besarnya file virus. Catat Besar filenya dalam byte.

  3. Sekarang anda butuh program Windows Commander (http://www.ghisler.com) atau Total Commander. Saya pakai Windows commander. Check dimana file virus anda berada. Check besar filenya dalam byte.

    107 520 bytes. Sekarang Search menggunakan Windows commander semua file yang besarnya
    107 520 bytes


    tab general, isi dengan *.*, search in seluruh drive 

    tab Advanced, centang filesize, isi = 107520 bytes
    OK, sekarang tekan Start Search 


    tuh, kan ketangkep, sekarang tekan Feed to Listbox 

    Yang patut diingat, tidak semua yang berukuran 107 520 bytes adalah virus. Contohnya seperti diatas. Tapi anda mengenal yang virus dari iconnya. Dalam kasus ekstrem, anda harus membandingkan isi nya agar yakin betul bahwa file yang anda delete adalah virus. 
    1. Caranya, masih di Windows commander, click kanan salah satu file yang jelas-jelas merupakan virus, selanjutnya tekan Ctrl + Q, maka anda akan melihat isi file virus tersebut.
    2. Cari kira-kira kalimat yang hanya ada di file virus, untuk contoh file diatas, saya pilih 2.03 UPX! (ini merupakan penanda bahwa virus dipack pake UPX versi 2.03). Copy string tersebut seperti gambar
    3. Lakukan search seperti semula, namun dengan tambahan pada tab General, centang Find Text, paste di kotak yang tersedia 2.03 UPX! terus search
    4. Walaupun tidak selalu berhasil, namun hasilnya pasti akan lebih spesifik (Untuk kali ini saya gagal).
    5. Yang paling jitu adalah dengan mencek duplicate file yang same size, same contents di tab Advanced.


      Nah, udah tahu khan mana yang virus, tinggal delete aja semua virus yang sudah ketemu diatas!. Ingat, untuk milih file pake click kanan, jangan click kiri, apalagi sampe dua kali. Jangan Lupa!. Sisain satu buat koleksi!


      Beres!!!....???? Belum......masih ada beberapa langkah lagi
  4. Restart komputer anda!

    HAH!!!!!!!!!.
    ...
    setelah restart, ini yang saya dapatkan...

    tuh, lihat khan.. seluruh icon saya diganti menjadi icon nggak jelas. Mulai dech si virus...
    saya coba buka folder C:\ dan hasilnya.... ada dialog open with!



    Namun ini bisa diatasi dengan menggunakan click kanan pada folder, kemudian memilih Open atau Explore. Lihat juga semua folder bergambar tangan, artinya dishare, tapi nyatanya setelah saya cek, sebenarnya tidak dishare. Cuman guyonan pembuat virus. Tapi sampai akhir pelajaran nanti, saya belum dapat mengembalikan icon folder ke tempat semula.

    Lihat di start>>> run nya hilang.
    tekan Ctrl - Alt - Delete,,, standar, ada pesan Task Manager di disable.
    Lalu pergi ke Explorer .. Tools-- Pilihan Folder Option dihilangkan

    Untuk mengembalikan regedit, click warking.exe. Centang saja semua pilihan disitu (kalau perlu ya dibaca-bacalah sedikit). Setelah itu, untuk membuka regedit, gunakan Reg Cleaner, dari Tools- run regedit. 
    Sebenarnya setelah restart, yang saya harapkan adalah adanya pesan kesalahan, karena sebuah file tidak ditemukan (jelas aja, khan udah kita hapus sebelumnya ). Tapi itu nggak terjadi dalam kasus ini. Akhirnya saya coba membuka PE TOOLS lagi, kuatir virusnya kembali lagi. Dan benar saja, setelah membuka sebuah aplikasi, virus kembali MUNCUL. Saya delete dengan cara sebelumnya. Dan... MUNCUL LAGI..... Setelah beberapa kali pusing dan marah (ngamuk maksudnya, terus ditinggal makan yang banyak), akhirnya ketemu masalahnya.

    Saya ganti mode pencarian di Windows Commander dengan mode pencarian kata. Lihat settingan (search for *.*, search in in All disk, find text 6Mthì8 <== karakteristik satu file ini (bukan i lho, tapi saya copy paste dari kolom sebelahnya), dan hasilnya...
    BUAAAAAAMMMMMMMMMMMMMMM


    Mengerti sekarang? Mengapa setiap kali didelete, kemudian kita buka sebuah aplikasi, virusnya kembali lagi?. Ternyata virus ini LINTAH juga, yaitu menempeli program-program Windows. Di bagian atas ada iexplore, notepad.exe dan mspaint. Bayangin. Kalau anda membuka aplikasi tersebut, itu sama artinya dengan memanggil virus kembali. 
  5. Untuk menangani virus jenis ini,saya belum bisa menanganinya secara otomatis, alasannya ya seperti yang saya kemukakan di No Lintah V1.0. Makanya saya perbaiki secara manual saja.
    • Click PE TOOLS lagi, pastikan tidak ada icon folder (ada virus) di memori. Bila ada, tekan tombol delete
    • di Windows Commander, Click Feed to Listbox
    • Del *.scr yang iconnya seperti File Folder (logonui.scr, service.scr ... dst)
    • Di Windows Commander, click Configuration - Option. Pilih Edit/View, Pergi ke kotak Editor for F4, pilihHexWorkshop. Jadi setiap kali anda tekan F4 yang keluar (bukan Meteor Garden) Hex Workshop. Terus tekanApply - dan OK
    • Ingat-ingat file dan folder yang kena tempelan virus (kalau perlu ditulis), terus pergi ke folder tersebut, cari file yang kena virus tadi (oh, ya, jangan pakai explorer, karena foldernya disembunyiin, explorer nggak akan nunjukin folder yang kita inginkan), kalau sudah dapet, click kanan, tekan F4, maka Hex Workshop akan terbuka
    • Ini yang agak susah menerangkannya. Perhatikan baik-baik isi header sebuah file Exe. Ada tulisan "This program cannot be run under DOS Mode " atau semacamnya tapi nggak harus. Dengan pengalaman, kamu akan bisa mengenali header sebuah file, dan menentukan tertempel virus atau nggak. Kalau mau gampang, tak kasih tahu, besarnya file virus sekitar 107 519 byte atau dalam heksa 1A3FF (berkurang satu byte dari file yang bytenya ditunjukin oleh Windows Commander), berarti file asli ada di bawahnya, dan kita harus ketemu MZ di posisi itu. Coba pergi ke 1A400 (1A3FF+01). Caranya di Hex Workshop tekan Alt F5, kemudian tulis di offset 1A400, pilih Hex, dan From Beginning of File. Anda akan ketemu MZ




      Kalau sudah gitu, tinggal tekan Shift + Home untuk memilih mulai dari posisi kursor sampai keatas, terus tekan gambar gunting untuk Cut, terus Save. Kalau ada pertanyaan : Mau disimpan sebagai .BAK, jawabannya terserah kamu. Window akan protes karena merasa kalau file sistemnya diganti, jawab aja YES untuk mengganti file tersebut dengan yang sudah anda simpan. Kerjakan untuk semua file yang tertempel Virus. PASTIKAN TIDAK ADA SATU FILEPUN YANG KELEWATAN. Check ulang dengan search di Windows Commander seperti awal tadi. Udah selesai?. Belum tinggal langkah terakhir.
  6. Langkah terakhir adalah check perubahan di registri. Buka PC Surgeon (atau program yang lain yang dapat snapshot registry) ambil snapshot registri sekarang, dan bandingkan. Kalau sudah, anda tinggal memperbaiki registry yang dirusak (sayangnya saya tidak melakukan snapshot, sehingga tidak ada contohnya.
  7. Hasil Akhir
    Setelah melalui langkah yang cukup melelahkan, akhirnya komputer saya dapat kembali 90% ke keadaan semula (ya nggak bisa 100% dong, soalnya saya tidak pake snapshot atau deepfreeze. Hasilnya kira2 seperti ini (setelah ada perubahan di program, kena virus yang lain, dan seterusnya... dan seterusnya ). Langkah-langkah pengembaliannya saya sampe lupa, saking banyaknya....



    Semua icon kembali, folder HD tidak ada gambar tangan lagi, dan komputernya cepat lagi. Tapi sampai sekarang (mungkin juga gara-gara virus yang lain ) Folder setting saya masih belum bisa kembali, restore tidak bisa digunakan dan ekstensi reg dan lic key tidak langsung import ke registry ketika diclick. Tapi secara keseluruhan, cukup berhasil....
  8. OKE, dan SELAMAT...
    Anda sekarang telah menjadi Pembunuh Virus..................

source :  http://pascaltutorial.50webs.com/

related post:

Reaksi:

0 komentar:

Posting Komentar

Tips and Trik