jump to navigation

Part 2, Membersihkan Komputer dari Trojan / Worm January 4, 2009

Posted by ZoeL in Desktop PC, Security.
Tags:
trackback

Membersihkan Trojan tidak bisa diharapkan sukses 100 persen tuntas. Mungkin saja masih ada sisa-sisa Trojan di registry dan bertebaran di harddisk. Tapi yang penting adalah mematikan aktifitas background Trojan. Selama Trojan masih aktif di background, usaha pembersihan akan percuma. Trojan akan melakukan re-infection. Area yang paling penting di perhatikan menurut saya adalah startup applications, background process dan Windows library files.

Startup Applications mendapat perhatian utama karena Trojan yang aktif akan selalu berusaha berbagai macam cara agar dirinya bisa kembali aktif begitu windows restart. Karena itu disarankan untuk melakukan scan full di mode Safe Mode windows.

Selain itu jangan lupa untuk mematikan Fitur Windows Restore. Start – Control Panel – Stsrem – System Restore. Lalu aktifkan pilihan ‘Turn off system restore on all drive‘. Gunakan tools HijackThis untuk melihat aplikasi – aplikasi mencurigakan dan yang anda tidak kenal. Begitu scan selesai, langsung pilih opsi Fix untuk membuang proses proses startup yang anda yakin tidak kenal. Harap berhati-hati karena hasil scan yang tampil bukan berarti semua adalah proses yang mencurigakan. Tetap kita sebagai user yang memilah dan meneliti satu persatu. Kalau anda bingung dan tidak begitu paham, kirimkan hasil output HijackThis ke forum – forum IT yang berhubungan dengan  Virus/Trojan/Worm dan lainnya. Di bawah blog ini ada daftar forum yang mungkin bisa membantu persoalan anda.

Oke, sampai tahap ini mungkin anda sudah mendapat beberapa gambaran apa aja sih yang harus dilakukan.
Mari kita jabarkan step-stepnya.

  1. Download Spybot Search and Destroy dan Lavasoft Ad-aware. Anda boleh langsung melakukan update ketika tools diinstal atau mengambil file update secara terpisah. Download saja disini, lokasinya di bagian virus definitions / sebelah kanan halaman web. Saran saya download saja file updatenya terpisah. Karena kadang lebih cepat download terpisah dari pada update langsung. Lagipula bisa di gunakan di komputer lain dan lebih praktis. Tidak perlu koneksi internet lagi untuk download update. Tetapi jangan lupa untuk secara berkala mendownload update.
    .
    Mungkin anda bertanya kenapa harus dua tools? kenapa tidak satu saja?. Tools Anti Trojan adalah aplikasi buatan manusia yang mengandalkan update signature terjadwal. Dan dari demikian banyak Trojan berseliweran di Internet, mungkin saja ada Trojan yg belum teridentifikasi di salah satu AntiTrojan, tapi sudah terdeteksi di Antitrojan lainnya. Karena itu alangkah baiknya untuk melakukan test scan dengan 2 atau lebih merek yang berbeda. Asalkan dengan catatan, kedua tools tidak aktif secara bersamaan ketika windows start.
    .
    Sedikit tips, saya pribadi selalu membuang antispyware dari daftar startup windows. Karena 2 tools ini hanya digunakan ketika diperlukan untuk scan mingguan / bulanan. Untuk penggunaan sehari-hari/preventif, saya menggunakan AVG (antivirus) dan ZoneAlarm (Firewall) yang juga punya feature antispyware/trojan. ZoneAlarm akan mengingatkan saya apabila ada aktifitas background (misal penulisan ke registry) yang tidak beres. AVG selalu digunakan untuk memeriksa flashdisk atau harddisk external yang dipasang ke usb port.
    .
    Kembali ke Spybot  dan Lavasoft Ad-aware, Walaupun sama fungsinya, cara kerja keduanya tidak sama persis. SpybotDoctor membaca signature dan mencari tipe infeksi yang sama dengan isi signature. Jumlah signature Trojan/Worm yang di punya Spybot saat ini mencapai lebih dari 340 ribu. Spybot Doctor membaca dan melakukan compare semua signature satu persatu sampai habis.
    .
    Adware melakukan scan ke harddisk dengan 2 tipe scanning. Smart scan dan Full System Scan. Smart scan melakukan pemeriksaan hanya pada file2 yang dianggap penting dan mencurigakan. Misal .tmp .exe .com .pif .dll. Untuk Full system scan, pemeriksaan dilakukan ke seluruh file di harddisk. Scan Full system disarankan. Karena ada Trojan yang menyembunyikan induk virus (HIVE) dengan mengganti nama file dan extensi menjadi random.
    .
  2. Selesai diinstal, jangan jalankan kedua software bersamaan. Sebaiknya Spybot Doctor terlebih lalu dilanjutkan dengan Ad-aware. Langsung pilih fix / clean ketika ditemukan Spyware/Trojan/Worm.
    .
  3. Apabila setelah selesai Scanning ditemukan file terinfeksi yang tidak bisa dibersihkan, coba lakukan pembersihan Trojan dari ‘safe mode’ windows. Restart windows lalu segera tekan tombol F8 ketika Post Bios Cek selesai dan akan masuk ke tulisan WindowsXP start. Pilih mode ‘safe mode‘, dan jalankan spybot / ad-aware ketika sudah di dalam windows safe mode.
    .
  4. Ada kemungkinan besar, ketika Trojan/Malware/Spyware sudah berhasil di remove, beberapa file penting windows (library .dll, msconfig, task manager, windows explorer, dll) tidak bisa kembali normal atau corrupted. Tapi jangan takut, kita bisa lakukan re-verify file penting Microsoft Windows . Masuk ke windows start – run, lalu ketik command berikut di dalam box ‘sfc /scannow‘. Windows akan melakukan verifikasi semua file penting windows dan mereplace dengan yang aseli apabila ditemukan perbedaan ukuran file, creation date, dan versi file. Jangan lupa, untuk itu anda memerlukan CD installer Windows.
    .
    Selain itu, task manager, regedit, command prompt, msconfig biasanya belum kembali ke kondisi semula. Berikut cara untuk mengembalikan ke kondisi normal.
    .
    Task Manager
    cara 1. ketik start – run lalu input command dibawah
    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
    cara 2. Start, Run, ketik gpedit.msc dan click OK
    arahkan ke bagian ini : User Configuration / Administrative Templates / System / Ctrl+Alt+Delete Options / Remove Task Manager, lalu klik task manager dan pilih ke mode Not Configured.

    Regedit
    cara 1. ketik start – run lalu input command dibawah
    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
    cara 2. Start, Run, ketik gpedit.msc dan click OK
    arahkan ke bagian ini : User Configuration / Administrative Templates / System / Ctrl+Alt+Delete Options / , klik Disable registry editing tools dan pilih mode Not Configured.

    Command Prompt
    cara 1. ketik start – run lalu input command dibawah
    REG add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f
    cara 2. Start, Run, ketik gpedit.msc dan click OK
    arahkan ke bagian ini : User Configuration \ Administrative Templates \ System ,
    lalu klik Prevent Access to the command prompt dan pilih mode Not Configured
    .
    Berikut dibawah adalah tools yang bisa digunakan untuk memperbaiki registry secara otomatis.

    .

  5. Sampai disini seharusnya komputer sudah dalam kondisi terkendali. Coba lakukan pemeriksaan ulang trafik ke internet dengan Bandwidth Monitor.Periksa juga dengan menggunakan netscan dan HijackThis, dan pastikan sudah tidak ada koneksi TCP UDP ke situs yang tidak anda kenal. Post kembali ke forum hasil netscan dan HijackThis anda untuk menjadi bahan diskusi dan memastikan komputer anda sudah bersih.

Selanjutnya untuk mencegah terulang kejadian infeksi,  harus dijalankan tindakan – tindakan preventif.
Di blog selanjutnya : Part 3. Pencegahan Infeksi Spyware / Trojan.

Lampiran
————

Daftar Forum-Forum yang bisa membantu Log HijackThis atau pertanyaan mengenai Virus/Trojan/Worm
a. Kaskus Virus Klinik (lokal)
b. TechGuy Forum (luar)
c. Tech Support Forum (luar)
d. Startup Program Database (luar)
e. Process Library (luar)

*saya akan coba lengkapi lebih banyak lagi forum lokal di dalam list

.end.

Comments»

1. sawanganpunggelan - March 20, 2014

Reblogged this on Sawangan Punggelan and commented:
cara membuang trojan horse (hirin)

2. Acmal Tandjoeng Malvy - November 15, 2011

Mas saya sudah coba sofware ini. saya mau tanya ini bentrok gak sama antivirus yang sudah ada saya pakai eset nod??

ZoeL - November 25, 2011

wah saya belum pernah coba eset nod. Kalau mau aman, selesai instalasi, service yang running di mati2kan saja. biar ngga bentrok ama eset node.

Thx.

3. acmal - November 15, 2011

Mas saya sudah donlot smua filen ya tapi ko yang file lavasfoft adware nya kaya core.aawdef bukan .exe??

Anonymous - November 25, 2011

ehmm ini blognya dah lama banget. jadi mungkin aja file link downloadnya sudah berubah. yang penting sebenarnya installer nya di download lalu di update. kalau yang core.aawdef itu file updatenya. jadi langsung di overwrite ke folder instalasi aja. imho.

4. agung - April 13, 2010

Thank’s banget penjelasannya … ku yang newbie … jd tau nih … lam kenal ..

5. Rin - April 9, 2010

klu make 2 anti trojan apa gk papa2???
gk bahaya??
ntar kerjanya bertabrakan donk???

ZoeL - April 14, 2010

gpp asal secara service resident yang hidup hanya satu. cuma diinstal tapi gak jalan ya gapapa donk.😀

6. riz - July 22, 2009

artikel nya bagus dan komplit..kbetulan kompi saya lg ga beres. task manager nya tau2 disabled sndiri. setelah baca disini jd tau klo kena trojan.uda dibersihin pk comodo antivirus, tp msh ada aja trojannya..lgs praktekin deh cara2 diatas..trims..ntar kl ada kesulitan blh nanya ya mas🙂

ZoeL - July 22, 2009

oke mas. silahkan di coba ya. Thx.

7. irvin - June 3, 2009

Saya menggunakan symantec tapi tidak setiap hari saya update, apakah ini sudah cukup aman?
Terima kasih

ZoeL - June 3, 2009

saya rasa tidak perlu setiap hari, asal minimal banget sebulan sekali diupdate. lagipula, kalau symantec ada tuh file update-nya di sertakan gratis di dalam cd/dvd bonus beberapa majalah / tabloid Komputer.

8. khansai - May 22, 2009

wah bagus nich tutornya….
tapi mana ya “Part 3. Pencegahan Infeksi Spyware / Trojan”.?
salam kenal..

ZoeL - May 22, 2009

wah ada juga yang baca toh.. jadi semangat nerusin ke part 3. hehe.

lam kenal juga.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: