Teknik Membasmi Virus

Sebelum memposting artikel ini,sempat saya bahas mengenai membuat virus dengan dos pada bab kemarin.tidak hanya untuk membuatnya,namun saya juga menyediakan tips-tips yang mungkin membantu anda dalam menangani virus.untuk itu yuk ikuti tips dan triknya di bawah ini:
Sebelum kita membasmi virus, alangkah baiknya mempersiapkan dulu hal-hal yang nantinya kita butuhkan. Antara laian yang perlu kita siapakan yaitu:
* Anti virus terpercaya tentunya
* Tools-tools seperti : currproses, regworkshop portable , cmd portable , dll
* Windows PE atau Windows portable
* Secangkir capuccino+choco granule.hehehe

Anti Virus

Anti virus (yang sudah terupdate tentunya ) sangat kita butuhkan dalam membasmi virus. Dari mananya saja sudah anti virus, ya pasti perlu lah…Nah, permasalahannya sekarang adalah, mana anti virus yang paling baik..? Penilaian mengenai baik tidaknya anti virus dapat dinilai dari :
1. Sejauh mana anti virus mengenal virus-virus terbaru dan seberapa cepat dia mengenalinya.Untuk memahami lebih lanjut maksud saya diatas, saya akan membuat suatu contoh kasus.Misal pada hari ini muncul satu virus dengan nama ” batosai “. Setalah munculnya virus ini ,maka anti virus manakah yang paling cepat mendeteksi virus ini. Dan dia membutuhkan waktu berapa lama agar bisa mendeteksinya. Anti virus yang baik adalah ia sesegera mungkin dapat mendetaksi virus ini. Karena semakin cepat anti virus bisa mendeteksi virus maka akan lebih cepat untuk meminimalkan penyebaran virus tersebut.Beberapa anti virus yang perlu disediakan adalah PCMAV. Anti virus ini cukup ampuh dalam membasmi virus-virus lokal indonesia. Anti virus lain semisal : Norton , avg , avira, bitdefender ,kaspersky,mcafee dll. Untuk anti virus ini , kita cukup memilih satu saja.
2. Tools-tools
Salah satu hal yang tak kalah pentingnya adalah tools-tools. Betapa tidak, sebagain besar virus yang menyebar di Indonesia malah mematikan proses antivirus. Sehingga anti virus pun tidak berkutik >_<. Oleh karena itu, disinilah kita memerlukan tools lain untuk bisa mematikan aktivitas virus. Tools yang lain berguna jika registry editor dan command promt windows didisable oleh virus 3. Windows PE atau Windows Portable Kedua windows ini sangat berguna apabila kita sudah tidak bisa lagi menbasmi virus melalui Windows normal. Kelebihan kedua windows ini adalah, windows ini tidak akan bisa terserang virus. Karena kedua windows ini berdiri sendiri. Selain itu, didalam windows PE dan portable sudah terdapat tools dan anti virus. Sekedar menambahkan, windows PE ini dibuat kira-kira tahun 2005, jadi data base anti virus tidak bisa dipakai. Namum ada tools lain yang tidak kalah pentingnya, yaitu registry editor untuk OS. Jadi walaupun kita make Windows PE, kita masih bisa mengotak atik registry milik windows yang terinstall 4. Secangkir capuccino + choco granule cukup untuk menemani kita. Kalo lagi pusing nggak ketemu-ketemu lalu pusing, mungkin dengan minum capuccino pikiran bisa memulihkan kepusingan kita. ^_^ 2. Langkah umum mengatatasi virus 1. Hentikan proses yang mencurigakan Sebagian besar proses yang sedang berjalan pada windows adalah proses system windows itu sendiri, semisal svchost.exe, services.exe, lsass.exe dll. Namum diantara sebagian besar proses system, terdapat beberapa proses program, semisal Winamp.exe, firefox.exe dll. Namun tak jarang pula terdapat proses virus. Proses virus inilah yang menjadi akar permasalahan. Karena proses ini akan menggangu system bahkan malah merusak system. Proses inilah yang membuat kita jengkel, membuat kompi menjadi lambat, proses untuk menyebarkan diri dan menduplikai diri, bahkan membuat banyak data menghilang. Tak jarang pula kita salah dalam mematikan proses, dikira proses virus ternyata proses system. Apabila hal ini terjadi kemungkinan yang akan muncul adalah komputer akan restart sendiri, atau bahkan tidak ada efek sama sekali. Untuk menghindari hal ini , kita perlu hati-hati serta kita harus memiliki sedikit pengetahuan tentang windows. Manakah yang merupakan proses system, proses program dan manakah proses virus. Berikut ini adlah sedikit trik kusus untuk membedakan antara proses virus atau bukan a. Proses virus biasanya memiliki nama yang aneh dan tidak dikenal, semisal kspool.exe pada virus kspools, runner.exe pada virus bhatosai, explorasi pada virus brontok. b. Proses virus biasanya memiliki nama yang sama dengan proses system. Semisal svchost.exe pada virus flu burung, lsass.exe pada virus brontok c. Proses virus biasanya memiliki icon yang aneh, seperti icon gerigi pada virus kspool, icon folder pada virus bhatosai dan icon microsoft word pada virus flu burung. Yang menjadi permasalahan adalah bagaimana kita bisa membedakan antara proses virus dengan proses system apabila memiliki nama yang sama..? Caranya adalah kita harus mengetahui tempat proses tersebut berjalan. Yaitu dengan menggunakan software lain seperti currproses. Apabila terdapat proses yang memiliki nama yang sama dengan nama proses system maka proses virus biasanya letak proses tersebut tidak di c:\windows\system32. Karena semua proses system akan berjalan di c:\windows\system32. Sebagai contoh virus flu burung, letak proses ini ada di c:\recycled. Virus bathosai c:\windows\system\ dll. Apabila kita sudah mengetahui semua proses virus, langkah selanjutnya adalah kita harus bisa mematikan proses virus tersebut secara bersamaan . Apabila kita mematikan tidak bersama-sama maka nantinya proses lain ( yang belum kita matikan ) dari virus akan menjalankan lagi proses virus yang kita matikan lagi ( hanya untuk beberapa virus ). Cara mematikan proses virus ini dapat dilakukan dengan beberaa cara : a. Dengan menggunakan software seperti currproses. b. Dengan mengunakan Command Promt. Yaitu denga perintah tasklist untuk mengetahui proses yang sedang berjalan. Sedang perintah taskkill untuk mematikan proses. Contoh perintah mematikan proses taskkill /F /IM notepad.exe /IM xxx.exe atau dengan menggunakan PID taskkill /PID 3214. PID dapat dilihat di sebelah kanan nama proses. 2. Lumpuhkan pemicu aktivitas virus Virus yang hanya dikopikan ke komputer yang bersih dari virus, tidak akan menyebabkan komputer tersebut tertular. Virus tersebut akan akan menjadi aktif apabila file virus tersebut dijalankan oleh user secara manual atau memalui program yang bisa menjalankannya secara otomatis. Dan apabila virus ini aktif, maka virus akan membuat program sendiri agar virus itu dapat berjalan secara otomatis. Ini yang disebut dengan celah pemicu aktivitas virus. Adapun celah pemicu : a. Registry Registry menyediakan fasilitas yang memungkinkan program aktif sendiri sebelum start menu muncul. Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi menggunakan program REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya terdiri atas lima root (HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, dan HKEY_CURRENT_CONFIG). Masing-masing root memiliki banyak cabang yang disebut key. Setiap key dapat memuat beberapa key dan/atau value. Dalam struktur manajemen file, root dapat diidentikkan dengan drive, key identik dengan folder, dan value identik dengan file. Seperti halnya folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value. Data registry yang dapat mempengaruhi perilaku sistem secara keseluruhan dimuat dalam value. Untuk mengetahui struktur registry secara lebih jelas, jalankan REGEDIT. Hati-hati menjalankan REGEDIT, karena salah prosedur dapat mengakibatkan sistem lumpuh total!!! Key “Run” Key “Run” dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu di: * “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion” * “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion” *”HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer” Jika satu atau beberapa user didaftarkan dalam User Account (Control Panel > User Account),maka pada root HKEY_USERS akan terdapat beberapa key yang menampung setting untuk masing-masing user. Sebagian dari key ini juga berisi key “Software\Microsoft\Windows\CurrentVersion” dan di dalamnya mungkin juga memuat key “Run”.
Value “Shell” dan “Userinit” di dalam Key “Winlogon”
Value “Shell” dan value “Userinit” di dalam key “Winlogon” dapat memberikan efek yang samaefektifnya—bagi virus—dengan value yang disimpan di dalam key “Run”. Umumnya data untukkedua value tersebut adalah:Shell = “Explorer.exe”Userinit = “C:\WINDOWS\system32\userinit.exe,” .Key “Winlogon” berada di:
* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion”
* Beberapa key di dalam key “HKEY_USERS”
Selain value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak key/value yang dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif, dan selama ini penulis belum pernah menemukan.Jika ditemukan value yang mencurigakan, lakukan analisis yang memadai sebelum memutuskan untuk menghapusnya. Tapi ingat,jangan asal hapus!!!
b. Start Menu dan Desktop a. Start > Programs > StartUp
Folder “StartUp” di start menu disediakan untuk menampung program-program yang akan dijalankan secara otomatis oleh Windows ketika proses booting selesai. Virus dapat memanfaatkan folder ini untuk memicu aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan membuat duplikat virus di dalamnya. Virus Brontok versi awal memanfaatkan folder ini dengan membuat file bernama “EMPTY.PIF” bergambar program DOS.
c. Link/Shortcut
File-file link atau shortcut (file berekstensi “.LNK” dan “.PIF”) yang berada di start menu atau di desktop berfungsi sebagai “jalan pintas” ke file program untuk memudahkan user menjalankan
program tersebut. File semacam ini, karena bukan benar-benar program, umumnya berukuran kecil,tidak lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke program yang
seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui shortcut tersebut dibelokkan atau tidak, klik kanan pada file shortcut tersebut, klik “Properties”, kemudian lihat keterangan pada kotak “Target”.File shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus yang ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini jarang, tetapi pernah
terjadi. Jika hal ini terjadi, umumnya ukuran file ‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file “shortcut” yang besar tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi program virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor.
Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari pemrograman atau teknik elektronika digital —yang bisa memahami program HEX Editor. File shortcut umumnya memiliki gambar panah, kecuali jika file tersebut dilihat di start menu. Jika kita melihat isi folder start menu menggunakan Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki
gambar panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut tersebut sudah bukan shortcut beneran.
d. Task Scheduler
Lihat Control Panel > Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah dijadwalkan di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.
e. AUTOEXEC.BAT
Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan menjalankan perintahperintah di dalamnya, jika ada. Tentu saja peluang ini menguntungkan program aplikasi maupun program virus. Periksa isinya, dan hapus perintah yang merugikan atau yang menunjuk ke file virus.Jika tidak yakin dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi hal-hal yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa file
AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau beberapa perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata “REM” (tanpa tanda petik).
f. Ambil Alih Program
Virus bisa juga mengambil alih program dengan cara sebagai berikut:
* Mengubah nama program aplikasi yang sering digunakan user. Misalnya WINWORD.EXE
(Microsoft Word) diubah menjadi WINWORD1.EXE.
* Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam contoh ini,
virus membuat duplikat dengan nama WINWORD.EXE.
* Ketika user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya
menjalankan program virus, kemudian program virus tersebut memanggil program aplikasi yang asli yang telah diubah namanya (WINWORD1.EXE).
Strategi ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp. Untuk memeriksanya, cek program-program yang shortcutnya tersedia di start menu atau di desktop.
Program virus umumnya kecil, yaitu antara 30KB sampai 300KB, sedangkan program aplikasi biasanya berukuran relatif besar (WINWORD.EXE berukuran lebih dari 8.000KB, EXCEL.EXE
berukuran lebih dari 6.000KB). Tanggal pembuatan program juga dapat digunakan untuk mengetahui apakah suatu program masih asli atau tidak, meskipun sebenarnya suatu file dapat diubah tanggalnya dengan mudah.
g. Celah lain
….???
3. Hapus file duplikat virus
Jika virus di sistem (di drive C:) sudah bersih, cari juga di folder data dan di drive lain. Hapus semua file yang diyakini sebagai virus. Menggapus du[likat file bisa secara manual atau dengan
cara scan dengan anti virus. Hemat saya, apabila kita menscan kemputer dengan anti virus akan tetapi masih ada proses yang sedang berjalan maka hasil scan tersebut kurang maksimal dari
pada kita menscan komputer pada saat semua proses virus sudah dimatikan.
4. Pulihkan sistem
Kembalikan setting registry yang telah dimanipulasi virus untuk memperlancar aksinya, misalnya:
aktifkan kembali REGEDIT, munculkan kembali menu Folder Options, konfigurasi Folder Options yang memudahkan user mengenali karakteristik file, dan sebagainya.

Artikel ini adalah hasil copas dari file pdf penulis lain,sayangnya tidak mencantumkan nama penulisnya.saya bermaksud untuk berbagi kepada kawan-kawan semua yang sedang mencari trik-tips ini.

Bookmark and Share

Teknik Membasmi Virus