Tutorial Mengatasi Virus

Selasa, Juni 24, 2008



Author: Yogi Rinaldi

BAGIAN 1: MODAL DASAR

  1. Cara-cara Alternatif untuk Menjalankan Program

    Umumnya kita mengklik ikon program yang ada di start menu atau di desktop untuk menjalankan program tertentu. Tetapi program-program utilitas tidak semuanya tersedia di start menu atau di desktop. Program-program ini (misalnya REGEDIT.EXE, CMD.EXE) biasanya dijalankan melalui menu Start > Run. Apa yang dapat kita lakukan seandainya menu Run tidak ada di start menu? Berikut beberapa alternatif menjalankan program tertentu dengan cara yang ‘tidak biasa’:

    a. Memanfaatkan Windows Explorer

    Jalankan program Windows Explorer, cari file program yang ingin dijalankan di folder C:\Windows, atau di C:\Windows\System, atau di C:\Windows\System32. Kemudian klik dua kali pada file program tersebut.

    b. Memanfaatkan Command Prompt (CMD.EXE)

    = Klik Start > Programs > Accessories > Command Prompt, atau jalankan CMD.EXE dengan cara pertama di atas.

    = Ketikkan nama program yang ingin dijalankan, kemudian tekan enter.

    C:\Documents and Settings\mr. orche!>REGEDIT

    c. Menggunakan Batch File

    = Jalankan Notepad melalui start menu atau melalui Windows Explorer.
    = Ketik nama program yang ingin dijalankan, misalnya “REGEDIT” (tanpa tanda petik).
    = Simpan file tersebut menggunakan ekstensi .bat, misalnya “TES.BAT”.
    = Jalankan file .bat tersebut melalui Windows Explorer (klik dua kali).

    d. Menggunakan Task Manager (TASKMGR.EXE) (Windows XP)

    = Tekan Ctrl + Alt + Del.
    = Klik tombol [New Task...] pada tab Applications.
    = Ketikkan nama program, lalu tekan enter.

    e. Memanfaatkan Browser File pada ACDSee

    = Jalankan ACDSee dari Start Menu.
    = Cari file program yang ingin dijalankan di jendela browser file.
    = Klik dua kali pada file program tersebut.


  2. Cara-cara Alternatif Operasi Registry

    Jika REGEDIT tidak dapat dijalankan, operasi registry masih dapat dilakukan dengan beberapa alternatif berikut:

    Alternatif 1: Menggunakan perintah REG

    1. Jalankan Command Prompt (CMD.EXE).

    2. Untuk melihat daftar key dan value, gunakan perintah REG QUERY lokasikey.
    Contoh:
    REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    REG DELETE HCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    3. Ketikkan REG DELETE namakey /V namavalue untuk menghapus value tertentu.

    Contoh:
    REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoRun
    REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

    Catatan:

    = Nama root harus disingkat, HKCR untuk HKEY_CLASSES_ROOT, HKLM untuk HKEY_LOCAL_MACHINE, HKCU untuk HKEY_CURRENT_USER, HKU untuk HKEY_USERS, dan seterusnya.

    = Untuk nama key yang mengandung spasi, nama key diapit dengan tanda petik ganda.

    = Untuk mengetahui tatacara operasi selengkapnya menggunakan perintah REG, ketikkan “REG /?” tanpa tanda petik.

    Alternatif 2: Menggunakan file .REG
    1. Jalankan Notepad dan ketikkan seperti contoh berikut:

    Format baru (WinXP):
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoFolderOptions"=dword:00000000

    Format lama (Win9X/NT):
    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoFolderOptions"=dword:00000000

    2. Simpan file tersebut dengan ekstensi .REG, kemudian klik dua kali pada file .reg yang telah disimpan.

    Penjelasan:

    = Baris pertama, “Windows Registry Editor Version 5.00” atau “REGEDIT4”, adalah aturan baku untuk menandai file registry.

    = Baris kedua, “[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]” menunjukkan lokasi key registry, di mana daftar value beserta nilai data yang disebutkan di bawahnya akan disimpan.

    = Baris ketiga, "NoFolderOptions"=dword:00000000, menyebutkan nama value beserta data yang diinginkan untuk value tersebut. Pada contoh ini berarti mengubah/memberi data bernilai 0 pada value bernama “NoFolderOptions”.

    = File regedit yang diketik dengan format WinXP (format baru) maupun format lama (Win9X/NT), keduanya dapat digunakan untuk Windows XP, tetapi format lama hanya dapat digunakan untuk Windows 9X/NT.

    Alternatif 3: Menggunakan StartUp Disk (hanya berlaku untuk Win9X)
    Cara ini adalah cara yang paling susah, dan mungkin merupakan satu-satunya cara efektif memulihkan registry ketika sistem sudah terlanjur lumpuh sama sekali.

    1. Boot menggunakan StartUp Disk
    a. Masukkan StartUp Disk Win95/98 ke floppy drive.
    b. Restart (pastikan konfigurasi setting boot sequence di BIOS menunjuk ke disket).

    2. Masuk ke direktori (folder) C:\Windows
    A:\>C:
    C:\>CD WINDOWS

    3. Lakukan ekspor data dari registry ke file .reg khusus untuk key yang diinginkan
    Format perintah:
    REGEDIT /E namakey namafilereg

    Contoh:
    REGEDIT /E HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer TES.REG

    Jika nama key mengandung spasi, gunakan tanda petik:
    REGEDIT /E “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” TES.REG

  3. Memunculkan Kembali Menu Folder Options pada Windows Explorer

    Beberapa virus perlu menyembunyikan file-file tertentu agar user (pemakai komputer) tidak menyadari adanya virus dan agar virus tersebut lebih susah dihapus, dengan membuat file tersebut menjadi hidden. File hidden tersebut masih dapat dilihat oleh user jika setting Folder Options pada pilihan ‘Show hidden files and folders’ diaktifkan. Kadang-kadang menu inipun dihilangkan oleh virus untuk menjamin file-file virus tetap tak terlihat. Untuk menyembunyikan menu Folder Options, cara paling mudah dan paling umum diterapkan oleh virus adalah dengan mengubah setting registry, dengan menyisipkan value “NoFolderOptions” yang bernilai 1. Untuk memunculkan kembali menu Folder Options, value ini harus dihapus, atau diubah nilainya menjadi “0”.

    = Untuk mengubah setting Folder Options, klik menu Tools > Folder Options pada Windows Explorer.

    = Value NoFolderOptions pada registry berada salah satu atau kedua lokasi berikut:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    Value tersebut dapat dihapus dengan menggunakan program REGEDIT, atau dengan mengetikkan perintah berikut pada Command Prompt:

    REG DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

    REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

  4. Memunculkan Menu Run

    Hapus value “NoRun” atau ubah nilainya menjadi 0 dengan menggunakan operasi registry (lihat contoh operasi registry untuk memunculkan menu Folder Options di atas). Value “NoRun” berada pada key:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  5. Memunculkan Menu Find

    Hapus value “NoFind” atau ubah nilainya menjadi 0 dengan menggunakan operasi registry (lihat contoh operasi registry untuk memunculkan menu Folder Options di atas). Value “NoFind” berada pada key:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  6. Mengaktifkan REGEDIT

    Kadang-kadang REGEDIT tidak dapat dijalankan karena di-disable melalui setting registry oleh virus. Untuk memulihkan kembali, hapus value “DisableRegistryTools” atau ubah nilainya menjadi 0 dengan menggunakan Command Prompt (hanya untuk WinXP), atau dengan membuat file .REG (hanya untuk Win9X).

  7. Memunculkan File Hidden dengan Mengubah Atributnya Melalui Command Prompt

    File hidden (tersembunyi) dapat dimunculkan tanpa memainkan Folder Options, tetapi dengan menonaktifkan atribut hidden pada file tersebut. Atribut file hidden hanya dapat diubah di Windows Explorer jika setting Folder Options memungkinkan file hidden ditampilkan. Alternatifnya adalah dengan mengubah atribut file tersebut melalui Command Prompt. Untuk melihat daftar file hidden melalui Command Prompt, gunakan perintah “DIR /AH”. Selanjutnya gunakan perintah ATTRIB diikuti parameter atribut yang akan diubah. Contoh berikut dapat digunakan untuk menonaktifkan atribut hidden, read only, dan system sekaligus, pada semua file di direktori aktif:

    ATTRIB –r –h –s *.*

  8. Mencari File Melalui Command Prompt

    a. Melihat daftar file/folder yang berada di folder aktif:

    DIR *.*

    b. Melihat daftar file/folder yang berada di folder aktif, termasuk file/folder hidden:

    DIR *.* /A “A” adalah singkatan dari “ALL”

    c. Melihat daftar file (tidak termasuk folder) yang berada di folder aktif:

    DIR *.* /A-D “D” adalah singkatan dari “DIRECTORY”, “-“ berarti pengecualian

    d. Melihat daftar folder (tidak termasuk file) yang berada di folder aktif:

    DIR *.* /AD “D” adalah singkatan dari “DIRECTORY”

    e. Melihat daftar file/folder hidden:

    DIR *.* /AH “H” adalah singkatan dari “HIDDEN”

    f. Melihat daftar file/folder urut berdasarkan nama:

    DIR *.* /ON untuk file dan folder, “O” berarti “ORDER BY”, “N” berarti “NAME”
    DIR *.* /AD /ON untuk folder saja
    DIR *.* /A-D /ON untuk file saja
    DIR *.* /A-DH /ON untuk file hidden saja
    DIR *.* /ADH /ON untuk folder hidden saja

    g. Melihat daftar file/folder urut berdasarkan tipe (ekstensi)

    Caranya mirip dengan pengurutan berdasarkan nama, hanya saja “/ON” diganti dengan “/OE”.

    h. Melihat daftar file urut berdasarkan ukuran

    Caranya mirip dengan pengurutan berdasarkan nama, hanya saja “/ON” diganti dengan “/OS”.
    Untuk informasi rinci tentang aturan pemakaian perintah DIR, ketikkan “DIR /?” lalu tekan enter.

  9. Mematikan Proses yang Dicurigai

    Yang dimaksud proses adalah program yang berjalan di latar belakang (background program), tidak memiliki form karena tidak dibuat untuk berinteraksi dengan user. Berbeda dengan program aplikasi yang memang terlihat karena harus berinteraksi dengan user. Virus biasanya dibuat sedemikian rupa sehingga ketika virus tersebut berjalan tidak terlihat sama sekali, ia hanya berupa proses. File virus yang sedang berjalan biasanya tidak dapat dihapus karena prosesnya sedang berjalan. Biasanya file virus tersebut baru dapat dihapus setelah prosesnya dihentikan. Daftar program aplikasi dan proses yang sedang berjalan dapat dilihat menggunakan Windows Task Manager (TASKMGR.EXE) cukup dengan menekan tombol Ctrl + Alt + Del. Setelah jendela Windows Task Manager muncul, kita dapat memilih “Applications” untuk melihat daftar program aplikasi; atau “Processes” untuk melihat daftar proses. Pilihan lainnya adalah “Performance”, “Networking”, dan “Users”.
    Untuk menghentikan program aplikasi yang sedang berjalan, pilih nama aplikasi dari daftar, kemudian klik tombol “End Task”. Untuk menghentikan proses yang sedang berjalan, pilih nama proses kemudian klik tombol “End Process”. Jika Windows Task Manager tidak dapat dijalankan, kita masih dapat melihat dan menghentikan proses yang sedang berjalan dari Command Prompt dengan memanggil program “TASKLIST.EXE” untuk melihat daftar proses, kemudian memanggil program “TASKKILL.EXE” untuk menghentikan proses.

    Contoh:
    TASKLIST
    TASKKILL /F /IM Notepad.exe /IM MSPAINT.EXE
    TASKKILL /F /PID 1230 /PID 1253 /T

    Keterangan:
    Parameter “/F” yang berarti “FORCE” akan menyebabkan proses dihentikan secara paksa.
    Parameter “/IM” berarti “IMAGE (NAME)”. Maksudnya proses yang akan dihentikan adalah proses dengan nama yang disebutkan setelah parameter “/IM”.
    Parameter “/T” berarti “TREE” dan menyebabkan semua proses cabang juga dihentikan.
Bagian 2Sep 29, '07 10:39 PM
for everyone
BAGIAN 2: CELAH-CELAH PEMICU AKTIFNYA VIRUS

Program virus yang dikopi ke komputer yang bersih dari virus tidak mengakibatkan komputer tersebut tertular. Virus tersebut menjadi aktif dan mulai bekerja ketika program tersebut dijalankan oleh user, misalnya ketika diklik dua kali melalui Windows Explorer. Jadi infeksi virus pertama kali ke komputer diakibatkan oleh user sendiri. Sekali saja diberi kesempatan, virus dapat secara leluasa membuat jadwal aktif sesuai yang diinginkan pembuatnya. Dengan melihat celah-celah yang dapat menjadi pemicu aktifnya virus, kita akan lebih mudah menemukan sarang persembunyian virus kemudian meringkusnya.
  1. Registry

    Registry menyediakan fasilitas yang memungkinkan program aktif sendiri sebelum start menu muncul. Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi menggunakan program REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya terdiri atas lima root (HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, dan HKEY_CURRENT_CONFIG), masing-masing root memiliki banyak cabang yang disebut key. Setiap key dapat memuat beberapa key dan/atau value. Dalam struktur manajemen file, root dapat diidentikkan dengan drive, key identik dengan folder, dan value identik dengan file. Seperti halnya folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value. Data registry yang dapat mempengaruhi perilaku sistem secara keseluruhan dimuat dalam value. Untuk mengetahui struktur registry secara lebih jelas, jalankan REGEDIT. Hati-hati menjalankan REGEDIT, karena salah prosedur dapat mengakibatkan sistem lumpuh total!!!

    a. Key "Run"

    Key "Run" dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu di:
    = Key "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion"
    = Key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"
    = Beberapa key di dalam key "HKEY_USERS"

    Jika satu atau beberapa user didaftarkan dalam User Account (Control Panel > User Account), maka pada root HKEY_USERS akan terdapat beberapa key yang menampung setting untuk masing-masing user. Sebagian dari key ini juga berisi key "Software\Microsoft\Windows\CurrentVersion" dan di dalamnya mungkin juga memuat key "Run".

    b. Value "Shell" dan "Userinit" di dalam Key "Winlogon"

    Value "Shell" dan value "Userinit" di dalam key "Winlogon" dapat memberikan efek yang sama efektifnya—bagi virus—dengan value yang disimpan di dalam key "Run". Umumnya data untuk kedua value tersebut adalah:

    Shell = "Explorer.exe"
    Userinit = "C:\WINDOWS\system32\userinit.exe,"

    Key "Winlogon" berada di:
    = Key “HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”
    = Key “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion”
    = Beberapa key di dalam key “HKEY_USERS”

    Selain value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak key/value yang dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif, dan selama ini penulis belum pernah menemukan.
    Jika ditemukan value yang mencurigakan, lakukan analisis yang memadai sebelum memutuskan untuk menghapusnya. Jangan asal hapus!!!


  2. Start Menu dan Desktop

    a. Start > Programs > StartUp

    Folder "StartUp" di start menu disediakan untuk menampung program-program yang akan dijalankan secara otomatis oleh Windows ketika proses booting selesai. Virus dapat memanfaatkan folder ini untuk memicu aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan membuat duplikat virus di dalamnya. Virus Brontok versi awal memanfaatkan folder ini dengan membuat file bernama "EMPTY.PIF" bergambar program DOS.

    b. Link/Shortcut

    File-file link atau shortcut (file berekstensi “.LNK” dan “.PIF”) yang berada di start menu atau di desktop berfungsi sebagai “jalan pintas” ke file program untuk memudahkan user menjalankan program tersebut. File semacam ini, karena bukan benar-benar program, umumnya berukuran kecil, tidak lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke program yang seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui shortcut tersebut dibelokkan atau tidak, klik kanan pada file shortcut tersebut, klik “Properties”, kemudian lihat keterangan pada kotak “Target”.

    File shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus yang ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini jarang, tetapi pernah terjadi. Jika hal ini terjadi, umumnya ukuran file ‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file "shortcut" yang besar tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi program virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor. Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari pemrograman atau teknik elektronika digital —yang bisa memahami program HEX Editor. File shortcut umumnya memiliki gambar panah, kecuali jika file tersebut dilihat di start menu. Jika kita melihat isi folder start menu menggunakan Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki gambar panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut tersebut sudah bukan shortcut beneran.


  3. Task Scheduler

    Lihat Control Panel > Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah dijadwalkan di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.


  4. AUTOEXEC.BAT

    Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan menjalankan perintah-perintah di dalamnya, jika ada. Tentu saja peluang ini menguntungkan program aplikasi maupun program virus. Periksa isinya, dan hapus perintah yang merugikan atau yang menunjuk ke file virus. Jika tidak yakin dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi hal-hal yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa file AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau beberapa perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata "REM" (tanpa tanda petik).


  5. Ambil Alih Program

    Virus bisa juga mengambil alih program dengan cara sebagai berikut:

    a. Mengubah nama program aplikasi yang sering digunakan user. Misalnya WINWORD.EXE (Microsoft Word) diubah menjadi WINWORD1.EXE.

    b. Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam contoh ini, virus membuat duplikat dengan nama WINWORD.EXE.

    c. Ketika user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya menjalankan program virus, kemudian program virus tersebut memanggil program aplikasi yang asli yang telah diubah namanya (WINWORD1.EXE).

    Strategi ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp. Untuk memeriksanya, cek program-program yang shortcutnya tersedia di start menu atau di desktop. Program virus umumnya kecil, yaitu antara 30KB sampai 300KB, sedangkan program aplikasi biasanya berukuran relatif besar (WINWORD.EXE berukuran lebih dari 8.000KB, EXCEL.EXE berukuran lebih dari 6.000KB). Tanggal pembuatan program juga dapat digunakan untuk mengetahui apakah suatu program masih asli atau tidak, meskipun sebenarnya suatu file dapat diubah tanggalnya dengan mudah.


  6. Kemungkinan Celah-celah Lain
    a. ???
    b. ???
sumber : http://ncupsange.multiply.com

0 Comments:

 
FaceBlog © Copyright 2009 tip's trik blog, free download software | Blogger XML Coded And Designed by Edo Pranata | Blogger Templates | pc desktop computers