Membersihkan Komputer yang Terinfeksi

Virus Secara Manual

Di artikel sebelumnya telah dibahas tentang Membersihkan Virus di Flashdisk Secara Manual. Nah
di artikel ini akan dibahas bagaimana membersihkan komputer yang telah terinfeksi virus. Artikel
ini dibuat sebagai alternatif jika semua antivirus belum dapat menghapus virus yang menginfeksi
PC, yang mungkin disebabkan karena virus lokal dan belum sempat di analisis oleh Lab antivirus.
Perlu diingat bahwa cara yang akan dibahas disini mungkin tidak 100% berhasil, ini tergantung dari
analisis kita. Sebelum dibahas lebih lanjut, ada baiknya anda mengetahui jenis-jenis virus dan
seberapa parah kondisi yang mungkin anda alami.

Jenis-jenis Virus dari medianya

1. Virus Script: Sesuai dengan namanya, virus ini hanya berupa teks biasa (Plain Text ) yang
berisi kode pemrograman virus, biasanya berekstensikan *.vbs (visual basic script) atau *.js
(java script). Contoh virus ini dapat anda lihat disini. Virus ini cukup mudah dikenali karena
memiliki bentuk icon yang tidak lazim, atau kadang juga merupakan bagian dari suatu
halaman web. Jika anda menggunakan firefox terbaru maka persoalan ini tidak masalah
sebab firefox telah mendisable script yang masuk kecuali diijinkan oleh anda.
2. Virus Macro: Virus ini sebenarnya hampir sama dengan virus script hanya saja script virus
ini tersimpan dalam dokumen Microsoft Office. Secara kasat mata kita tidak dapat
membedakan antara dokumen yang terinfeksi dan yang tidak, tetapi jika anda menggunakan
Microsoft Office 2000 keatas maka ketika membuka dokumen yang berisi Macro secara
default akan ada warning untuk menjalankan macro atau tidak. Untuk keterangan lebih
lanjut anda dapat membaca artikel berikut, atau berikut.
3. File Program (Aplication): Ada berbagai macam kategori untuk virus yang berupa
program file:
o Worm: Yang berarti cacing, disebut cacing mungkin karena bentuknya yang utuh
berupa file executable. Biasanya menggunakan icon yang mirip dengan dokumen
Office (Word, excel dll) atau folder untuk mengelabuhi user, sedangkan dokumen
yang asli disembunyikan (hidden). Virus ini relatif mudah dikenali jika kita cukup
jeli dengan melihat filenya melalui opsi details. Jenis worm ini yang sangat banyak
beredar di Indonesia. Dikarenakan cukup mudah membuatnya dan relatif cepat
penyebarannya.
o Trojan: Masih ingatkah anda dengan cerita Yunani tentang Kuda Troya? Kurang
lebih prinsipnya hampir sama. Kalo penulis menyebutnya program tipu-tipu. Sebuah
program seolah-olah berfungsi untuk suatu tujuan tetapi tidak bekerja seperti
seharusnya, justru malah merusak system anda. Contohnya dulu ada sebuagh
program yang sesumbarnya dapat memecahkan kode voucer gsm, program tersebut
dapat menghasilkan sebuah rangkaian kode, tetapi syaratnya agar berhasil harus
dijalankan pada 10 komputer. Bukan voucer yang didapat malah komputer kita yang
bermasalah. Disini trojan tidak menular secara otomatis tetapi karena disebarkan
oleh orang-orang yang tertipu. Bagi yang mau belajar hacker disarankan juga jangan
menggunakan tool-tool buatan orang lain, karena bisa saja justru kita yang di hack,
lebih baik anda mencari source code dari program tersebut.
o Spyware: Spy: berarti mata-mata dan Ware: berarti software. Bentuk spyware bisa
berupa worm ataupun trojan, tetapi tujuan utamanya adalah untuk memata-matai
 komputer kita. Yang dicuri biasanya adalah informasi penting seperti User ID dan
Password, atau apa saja terserah pembuat spyware tersebut.
o Adware: Singkatan dari Ads: iklan dan Software, jenis ini tidak berbahaya tetapi
cukup menyebalkan karena akan memunculkan banner yang berisi iklan dan kadang
kala juga mendownload iklan tanpa sepengetahuan kita. Adware bisa berupa worm,
trojan atau bisa juga program betulan sebagai kompensasi karena dikasih program
gratis.
4. Virus: Atau virus sejati, ini adalah yang sebenarnya dinamakan sebagai virus. Ia bukan
sebuah program yang berdiri sendiri melainkan hanyalah sebuah bagian code yang
menempel di program yang lain. Program yang terinfeksi virus tetap berjalan sebagaimana
biasanya tetapi ia juga menjalankan perintah yang terdapat dalam virus. Jenis virus ini telah
ada sejak zaman DOS sampai sekarang. Virus sejati jarang buatan lokal, sebab untuk
membuatnya harus mengetahui bahasa assembler atau bahasa C, tetapi seringkali mudah
terdeteksi oleh Anti Virus terkenal. Jika komputer anda telah terinfeksi virus ini maka
kemungkinan besar anda harus menginstal ulang windows dan seluruh aplikasinya, sebab
sangat sulit untuk memisahkan file yang terinfeksi dan virusnya. Karena virus ini
menginfeksi program file maka, jangan sekali-kali anda menginstal master program di
dalam harddisk sebab sudah dipastikan Master Program anda juga terinfeksi. Begitu pula
ketika anda akan menginstal anti virus, anti virus segera terinfeksi dan menolak untuk
meneruskan penginstalan. Untuk virus ini Mencegah masuk jauh lebih mudah daripada
membersihkannya. Virus tidak menginfeksi dokumen dan data-data yang lain jadi anda tidak
perlu khawatir kehilangan data.

Ciri-ciri komputer yang terinfeksi

Komputer yang terinfeksi biasanya tidak langsung merasakan dampak dari virus tersebut. Biasanya
virus menunggu beberapa saat baru menunjukkan dampaknya. Ini dimaksudkan untuk memberi
kesempatan kepada komputer untuk menularkan kepada komputer yang lain. Biasanya dampak dari
virus diatur dari tanggal atau dari berapa lama virus tersebut menginfeksi komputer. Selama waktu
tunggu ini biasanya user tidak sadar kalau komputernya terinfeksi. Tetapi ada beberapa ciri-ciri
yang cukup lazim ditemukan:

1. Registry editor di disable, silahkan anda coba cek dari menu Start > Run, ketik regedit, Ok,
jika terinfeksi maka ada pesan yang artinya Registry Editor di disable oleh administrator.
2. Task Manager di disable, cek dengan menekan tombol Ctrl+Alt+Del. Jika terinfeksi jenis
Worm sudah dipastikan Task Manager di disable untuk mencegah aplikasi worm di kill.
3. Menu Folder Option di Explorer letaknya di Tools > Folder Option menghilang. Ini
dimaksudkan agar sipengguna tidak dapat memunculkan hidden file, jadi dokumen yang
tersembunyi tidak tampak.
4. Msconfig di disable. Untuk mengeceknya di Start > Run ketik msconfig. Ini juga ditujukan
untuk mencegah agar start up worm tidak dapat dihilangkan.

Langkah-langkah Membersihkan Virus

1. Analisis

Secara garis besar cuma ada dua kategori yaitu Worm dan Virus, untuk script prinsipnya hampir
sama dengan worm. Sedangkan Virus Macro dapat dengan mudah dibersihkan dengan menginstal
ulang microsoft office, tetapi dengan menghapus direktori Microsoft Office terlebih dahulu. Ciri-
ciri yang disebutkan diatas adalah kebanyakan dari ciri-ciri worm. Sedangkan jika terinfeksi Virus
sejati cirinya adalah aplikasi yang dimasukkan kedalam komputer akan sedikit membesar ukuran
filenya mungkin hanya beberapa kilobyte.

Jika komputer anda terinfeksi virus sejati maka tidak ada jalan lain kecuali menginstall ulang
seluruh system anda, karena dimungkinkan aplikasi-aplikasi yang bawaan dari windows ikut
terinfeksi. Sedangkan antivirus-antivirus terkenal hanya mampu mencegah masuk saja tetapi tidak
dapat menyembuhkan. Tetapi Jika komputer anda hanya terinfeksi Worm maka mungkin ada
beberapa tips yang dapat dilakukan.

1. Menganalisa program yang sedang berjalan di background. Tanpa sepengetahuan kita

sebenarnya ada banyak program yang berjalan yang tidak tampak di layar. Diantaranya
mungkin salah satunya adalah worm, lazimnya kita dapat melihat ini melalui Task Manager.
Tetapi kemungkinan sudah di non aktifkan oleh worm ini. Jadi anda memerlukan Tools lain
seperti program HiJack yang dapat anda download disini.
2. Menganalisa program-program apa saja yang dijalankan ketika windows pertama kali
dijalankan. Ini karena Worm adalah program utuh maka untuk dapat berjalan otomatis ia
harus membuat start up registry. Biasanya dapat anda atur setingannya melalui msconfig.
Tetapi lagi-lagi ini di mungkin sudah di non aktifkan oleh virus.
3. Menganalisa kemungkinan-kemungkinan lain dimana virus ini dapat dijalankan selalin
lewat Start up registry, misalnya dari manipulasi shortcut, scheduled task, start up folder,
shell execute dan lain-lain.

Download Aplikasi Hijack

2. Kill The Worm

Setelah anda selesai menganalisis langkah pertama yang harus dilakukan adalah menutup aplikasi
Worm yang sedang berjalan, sebab jika worm masih berjalan di memory semua langkah yang akan
dijalankan berikutnya akan sia-sia. Misalkan kita menghapus registry start up maka dengan segera
worm akan menulis ulang registrynya. Jika Task Manager disable anda dapat menggunakan
Program A2HiJackFree yang telah anda download diatas.
Klik bagian Process di sebelah kiri maka akan muncul semua proses yang berjalan di bagian
sebelah kanan. Bagian tersulitnya adalah menganalisa manakah proses yang virus/worm atau bukan.
Sebab biasanya worm menggunakan nama-nama yang mirip dengan program yang asli.

Tetapi dengan melihat lokasi direktori asalnya kita bisa melihat keaslian dari program tersebut.
Misalkan saja svchost.exe lokasi aslinya ada di C:\WINDOWS\system32\, jika ada program
svchost yang letaknya di tempat lain misalkan C:\Document and Setting\....\svchost.exe dapat
dipastikan ini virus. Maka jangan ragu-ragu, Klik listnya kemudian kill dengan menekan button
silang merah diatas. Anda juga dapat mengidentifikasinya dari gambar icon yang muncul, jika yang
tampak adalah gambar folder atau dokumen office sudah dapat dipastikan itu adalah virus, sebab
yang tampak disini hanyalah program file saja.

Anda tidak perlu khawatir jika salah pilih sebab selama kita belum menghapus registrynya maka
program tersebut akan dijalankan kembali saat komputer anda booting. Untuk virus script yang
tampak ditampilan bukanlah nama filenya tetapi sebuah program yang bernama wscript.exe, anda
tidak perlu ragu untuk meng-kill-nya. Sebenarnya program ini adalah bawaan windows tetapi yang
berbahaya bukan programnya melainkan script yang dijalankan program ini.

Jika anda bingung mana aplikasi yang harus di kill, penulis menganjurkan untuk mengkill semua
yang mungkin di kill, kecuali aplikasi ini dan explorer.exe. Beberapa process memang tidak dapat
di kill karena merupakan services. Jika ada services yang anda curigai sebagai virus anda dapat
menyetopnya masih menggunakan program ini dengan cara klik tombol services, kemudian pilih
service yang mencurigakan kemudian klik tombol kotak diatasnya. Ini hanya akan menghentikan
sementara proses yang sedang berjalan. Jika komputer di reboot maka service akan berjalan
kembali. Agar service dapat dihilangkan secara permanen dapat anda lakukan dengan klik 2 kali di
listnya, nanti akan muncul registry editor. Anda dapat menghapusnya dari sana secara manual.
Menghapus service melalui registry editor cukup rawan, jika anda melakukan kesalahan, sebaiknya
anda tahu cara mengembalikannya. Cara lain untuk menghentikan services dapat dilakukan dengan
cara klik Start > Run kemudian ketik services.msc, pilih service yang mencurigakan klik kanan,
Properties, di Start Up Type pilih yang disable. Ada baiknya anda melakukan semua proses diatas
dalam kondisi safe mode, sebab dalam kondisi ini start up dan services yang dijalankan sangat
minimal.

Kemungkinan terburuk jika worm menggunakan lebih dari satu program yang berjalan, sebab
ketika worm di kill maka worm yang lain akan mengeksekusi kembali worm tadi, begitu pula
sebaliknya. Sedangkan sampai saat ini penulis belum menemukan program yang dapat meng-kill
dua proses secara simultan. Satu-satunya cara untuk menghentikannya adalah dengan mendelete file
worm tanpa masuk melalui sistem windows tersebut dengan melalui live CD windows atau bisa
juga melalui linux, sebab sekarang linux dapat mengakses seluruh file yang ada di windows. Cara
membuat Live CD Windows dapat anda baca disini

3. Menghapus Start Up Worm/Virus

Registry Startup

Setelah anda kill process wormnya langkah berikutnya adalah menghapus registry start up dari
worm tersebut. Anda bisa menghapusnya melalui registry editor atau menggunakan program
A2HijackFree diatas. Penulis menganjurkan untuk menggunakan cara yang kedua. Perhatikan
bagian sebelah kiri: Autoruns > Registry > All Users > Run, lihat daftar program-program apa
saja yang dieksekusi saat start up, anda dapat menghapusnya dengan cara klik kanan kemudian
delete atau anda cukup menghilangkan tanda centang jika anda ingin mengembalikannya sewaktu-
waktu. Ini jika anda belum yakin 100% bahwa registry tersebut adalah milik virus/worm. Lokasi
yang lain adalah di Autoruns > Registry > Current Users > Run, caranya juga sama seperti yang
diatas.

Startup Folder

Selain melalui registry, start up juga dapat dijalankan melalui start up folder. Semua program,
shortcut atau dokumen yang ada dalam folder ini akan dieksekusi secara otomatis sesaat setelah
komputer booting. Anda dapat melihatnya di dengan cara Klik Start Menu > All Programs > Start
Up, nah klik kanan menu ini kemudian open. Di folder ini anda akan menemukan short cut untuk
program yang dijalankan pada saat komputer pertama kali menyala. Folder ini biasanya berada di
lokasi C:\Documents and Settings\Nama User Anda\Start Menu\Programs\Startup. Selain ini
ada juga di lokasi lain seperti di All Users, tepatnya di C:\Documents and Settings\All users\Start
Menu\Programs\Startup. File virus atau Worm ini sudah bisa dipastikan di hidden untuk
mempersulit user untuk mendeteksi. Untuk menampilan file yang di hidden maka anda perlu
mengubah seting explorer anda dengan membuka menu Tools > Folder Options, kemudian klik
tab View, pilih Show Hidden File dan hilangkan tanda centang di Hide protected operating
system files (recomended). Tetapi beberapa virus mengantisipasinya dengan menghilangkan menu
Folder Options. Untuk memunculkan kembali folder options dapat anda baca bagian bawah artikel
ini. Alternatif lain anda juga dapat mengubah atribut file dalam folder ini agar tidak hidden lagi
menggunakan Command Prompt (dos).

Scheduled Task

Cara lain untuk menjalankan Worm adalah melalui Scheduled Task, atau pekerjaan terjadwal.
Scheduled Task ini memang tidak selalu otomatis di eksekusi, tetapi hanya pada waktu-waktu
tertentu saja yang telah terjadwal. Bagi virus ini adalah semacam asuransi jika semua start up sudah
di nonaktifkan dan user lalai akan hal ini. Dalam waktu yang lama mungkin seolah sudah terbebas
virus tetapi pada waktu yang ditentukan virus kembali akan muncul. Scheduled Task dapat anda
temukan di Control Panel kemudian klik dua kali icon Scheduled Task. Delete Task-task yang
mencurigakan. Penulis menganjurkan untuk 100% menonaktifkan Scheduled Task dengan cara klik
menu Advanced > Stop Task Scheduler. Jadi anda tidak perlu menghapus task-task yang ada.

Shell Open Command

Selain cara-cara diatas sebenarnya ada berbagai macam cara bagi virus untuk dijalankan. Misalkan
dengan memanipulasi registry untuk ekstensi *.exe. Jadi virus tidak dijalankan saat komputer
menyala pertama kali melainkan dijalankan hanya saat kita mengeksekusi program. Ini dapat anda
temukan menggunakan Program HijackFree diatas. Lihat bagian Autoruns > Tricky Startups >
Shell Open Command, lihat yang list Application, seharusnya berisi "1%"%* jika anda melihatnya
berbeda maka segera kembalikan ke bentuk "1%"%* Penulis pernah menemukan kasus ini pada
virus Itz.

Manipulasi Shortcut

Prinsipnya adalah dengan mengubah shortcut yang seharusnya untuk menjalankan program tetapi
justru menjalankan virus / worm, kemudian worm ini menjalankan aplikasi yang asli agar user tidak
curiga. Hal ini juga dianggap sebagai asuransi bagi virus jika Startup gagal atau dihapus. Penulis
pernah mengalami kasus ini pada virus decoil. Selain menggunakan Registry virus ini juga telah
memanipulasi shortcut Winamp, sehingga saat program winamp dijalankan maka virus kembali
menyebar. Biasanya virus mengganti nama programnya yang asli seperti Winamp.exe menjadi
Winamp2.exe, kemudian virus di copykan ke folder yang sama dengan nama Winamp.exe. Untuk
memperbaikinya sangat mudah tinggal hapus Program Worm / virus dan rename program yang asli
ke semula.

Yang menjadi sasaran bisa semua program yang ada di komputer, jadi analisis adalah faktor yang
sangat menentukan keberhasilan dari pembersihan virus ini

Autorun.inf

Pernahkah anda menemukan file ini dalam flashdisk atau drive anda? File autorun.inf adalah file
teks yang berguna untuk mengeksekusi file saat flashdisk atau drive partisi anda klik dua kali di My
Computer. Jadi jika anda memiliki kebiasaan klik dua kali untuk membuka flashdisk atau drive
maka sebaiknya buang jauh-jauh kebiasaan ini, terutama jika komputer anda tidak memiliki
antivirus terbaru. Sedangkan untuk CD rom autorun.inf akan secara otomatis di eksekusi. File
autorun.inf tidaklah berbahaya, yang berbahaya adalah worm atau virus yang dieksekusi oleh script
tersebut. File autorun.inf dan wormnya sudah dipastikan dalam keadaan hidden file. Untuk
menghapusnya anda harus memunculkan opsi hidden di explorer. kehati-hatian sangat diperlukan
dalam hal ini sebab jika anda tanpa sengaja mengeksekusi worm maka semua usaha sebelumnya
akan sia-sia.

4. Menhapus File Worm

Tahap terakhir adalah menghapus semua worm yang mungkin masih tersimpan di dalam dokumen
anda, prinsipnya hampir sama dengan membersihkan virus di flashdisk di artikel sebelumnya.
Beberapa virus ada yang membuat salinannya pada hampir semua dokumen atau folder yang ada di
dalam My Documents. Selama proses penghapusan ini juga anda harus berhati-hati jangan sampai
virus tereksekusi lagi. Kalo ini terjadi maka proses harus diulang dari awal.
5. Mengembalikan seting

Ketika virus telah dibersihkan dalam komputer, tidak semerta-merta setingan dikembalikan seperti
semula. Bahkan beberapa setingan perlu dikembalikan sebelumnya agar proses pembersihan virus
dapat berjalan, seperti mengaktifkan kembali Folder Option dan registry. Setingan Ini dapat
dikembalikan menggunakan PCMAV anti virus. Caranya adalah dengan menggunakan Command
PCMAV-CLN.exe /regclean. Jika anda bingung menggunakan command promt anda dapat
menggunakan shortcut dari PCMAV-CLN.exe kemudian edit shortcutnya dengan cara klik kanan
shortcut pilih Properties, dibagian target tambahkan [spasi] /regclean . Nah anda jalankan PCMAV
maka akan ada keterangan Registry has been fixed. Maka folder option akan muncul kembali dan
registry editor dapat digunakan lagi.

Cara yang lain adalah menggunakan tool HiJackThis yang disertakan bersama HijackFree. Jalankan
HiJackThis dan klik tombol Do a system scan only. Di Program tersebut ditampilkan semua
registry dan setingan yang berpeluang sebagai worm dan malware (malicious). Tetapi perlu
diperhatikan, tidak semua yang ada di daftar tersebut adalah malicious, jadi anda lakukan analisa
sendiri berdasarkan informasi diatas. Salah satu diantaranya ada untuk mengaktifkan kembali
Registry editor. Beri tanda centang pada registry yang dianggap malicious kemudian klik fix
checked.

Setingan lain yang sering diubah adalah taskmanager dibuat disable, jadi ketika anda tekan tombola
Ctrl+Alt+Del ada keterangan di disable. Anda dapat mengembalikannya menggunakan Registry
Editor (dengan syarat Registry Editor tidak disable). Caranya Klik Start > Run, kemudian ketik
regedit, cari kunci registry di
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
kemudia edit DisableTaskMgr yang semula 0x00000001(1) menjadi 0x00000000(0). Anda cukup
klik dua kali tulisan DisableTaskMgr kemudian gantilah angka 1 dengan 0

Modifikasi Tools

Beberapa virus / worm kadang telah mengantisipasi penggunaan tools yang berkaitan dengan
hijack. Ini dicirikan ketika program ini dijalankan, dalam waktu singkat langsung di close. Virus
atau worm mungkin mendeteksi tools ini dari nama process yang berjalan. Jadi sebaiknya anda
memodifikasi program / tools ini menggunakan Resource Hacker. Gantilah nama program dengan
nama yang acak, ganti juga nama filenya dengan nama acak pula. Resource Hacker dapat anda
download melalui link download di bagian kiri halaman web ini. Anda juga dapat membaca artikel
yang berkaitan dengan Resource Hacker disini

Penutup

Tingkat Keberhasilan dari membersihkan virus secara manual adalah tergantung analisis anda.
Sebab beda virus beda cara kerja dan beda pula target serangannya. Yang dijelaskan disini mungkin
tidak mencakup semua kemungkinan yang dapat terjadi. Beberapa memang tidak dicantumkan
disini karena hanya terjadi pada windows 2000 dan sebelumnya. Sedangkan pada windows XP
penulis sendiri belum menemukan seluruh celah-celah (security hole) yang mungkin dijadikan
sebagai kesempatan bagi virus untuk masuk. Penulis menganjurkan untuk menggunakan antivirus
sebagai pencegah bukan sebagai penyembuh atau pengobat, sebab kebanyakan antivirus sangat
efektif untuk mencegah virus masuk tetapi tidak untuk menyembuhkan. Bahkan algoritma heuristic
antivirus sangat mampu mendeteksi virus-virus baru yang belum masuk daftar blacklist (virus
definition).
Kalau di peradilan kita menggunakan asas praduga tak bersalah. Tetapi antivirus menggunakan asas
praduga bersalah. Maka kadangkala antivirus mendeteksi program yang bukan virus sebagai virus
sebab didalamnya memiliki algoritma yang mirip virus, disini sebaiknya anda menggunakan jalur
aman saja dengan tidak menggunakan program tersebut. Penulis sangat mengharapkan Feed back
artikel ini demi kelengkapan dan perbaikan jika ada kesalahan dalam tulisan ini