Menghajar Worm Trojan Horse.

xx
Setelah menjadi korban langsung dari keganasan Worm TrojanHorse dan tidak mendapatkan solusi yang
memuaskan di milist ini akhirnya setelah searching kesana kemari ..alhamdulillah..saya dapat menangani
tanpa menggunakan ANTIVIRUS manapun dan saya akan berbagi resepnya dimariyang dijamin
Maknyuuuuss(pinjem istilah Pak Bondan)

Worm ini terdetek AVG sebagai Trojan horse BackDoor.Generic6.GMX sementara oleh Symantec
Corporate terdetek sebagai Trojan.Horse

Gejala Komp Kena Worm Trojan

Sebenernya worm ini tidak banyak mengubah sistem, tetapi sangat menyebalkan karena Program AntiVirus
kebanggaan kita yang canggih hanya bisa mengandangkan alias karantina, yang apes ya ..kalau
setingannya langsung delete thread. Waks. Musti direcover manual.

1. Document MSWord (*.doc) dan MSExcel (*.xls) menjadi EXE (Executable)

2. Size (Ukuran) file menjadi 10 kali lipat.
Document yang aslinya Cuma 40 kb menjadi 400 kb.. !! ini utk satu file..kalo filenya ratusan..dijamin nih
virus bikin flesdis kita cepet penuh..(klo udah penuh yaa beli flesdis lagi aja, hubungi kang Wawang aja
hehe..)

Sebelum lanjut, perlu ditekankan disini bahwa trik ini berlaku untuk varian trojan dengan gejala seperti
di atas (point 2). Jika file exe hanya berukuran semua seragam misalnya 47kb maka dapat dilakukan
penghapusan langsung dan untuk mengembalikan document asli cukup dengan perintah DOS yaitu
attrib s h r a /s /d

WARNING
BAGI BAPAK/IBU YANG SUDAH TERINFEKSI, MOHON UNTUK TIDAK GEGABAH! JANGAN
MENGGUNAKAN ANTIVIRUS APAPUN
BIASANYA ANTIVIRUS MALAH AKAN MENGHAPUS DOKUMEN ANDA!!. KALAU UDAH BEGINI COBA
RECOVER PAKE UNDELETEPLUS... ambil dimari trims pak Wawan Surachman.
PENANGANAN :
Sebelum melakukan penyembuhan dan pencegahan worm ini, lakukan persiapan sebagai berikut :
9 Hijackthis (sudah saya sertakan di forum ini, silahkan di donlod ).

9 Kopi plus rokok..hehe..buat yg hobi ..biar rileks..

1. BUNUH WORM DARI SISTEM:

1) Masuklah ke Safemode. (Tekan tombol F8 sebelum masuk Windows, modus ini bertujuan agar
sistem tidak meload program antivirus terlebih dahulu)

2) Jalankan Hijackthis
(1) Pilih Do a System Scan and Save a logfile

(2) Klik / Check Item yang ada mengandung kata Kspool.exe

Jika tidak ada item tersebut anda boleh lega, karena komputer anda aman dari Worm Trojan
Horse, tinggal nanti merecover data anda di plesdisk aja (akan saya jelaskan caranya nanti
setelah ini..)

(3) Kemudian klik Fix Checked.

Sampai disini artinya Hijackthis sudah menghapus baris registry dari worm tersebut yang di
load melalui Services Windows

(4) Klik Config kemudian pilih Misc Tool kemudian klik Delete a file on reboot.

3) Hapus file kspool.exe. pada C:\Windows\System32.

Inilah biang dari worm TrojanHorse yang mengkonversi semua document kita menjadi EXE.

4) Restart Sistem Anda kembali ke normal mode.

2. MENGEMBALIKAN DOKUMEN YANG TERINFEKSI

Langkah langkah mengembalikan Dokumen kita berupa Word atau Excel yang telah berubah menjadi EXE
adalah :
CARA KONVENSIONAL (untuk user pemula)
1) Booting Windows dalam Mode SAFEMODE!!
2) Copykan semua data di flesdis ke harddisk dalam satu folder utk mempermudah.
3) Diskonek / Safely Remove flesdisknya
4) Buka Ms. Word
5) Buka Explorer, kemudian open data yang berubah jadi application.
6) Close Ms. Word yang sudah mengopen data2 tersebut, sisain satu, lanjutin untuk semua data yang lain.
Jadi hanya buka file terus closeIngat..jangan sampai diclose application MSWordnya!! (lihat gambar)

7) Sekarang beralih ke Explorer, Lihat apa yang terjadi setelah anda membuka dan mengclose file
tersebut,
Terretttt!!! file tersebut akan berubah normal seperti semula, bukan hanya itu, ukuran Kbnya
juga menjadi normal. Kalau masih bandel nongol tuh virus silahkan delete aja langsung toh
document kita sudah kembali normal.

8) Sekarang anda ulangi langkah no. 4 untuk Ms. Excell/PowerPoint, ingat selalu sisain satu window
yang terbuka. Lumayan nih kalau documentnnya sampai ratusan..hihiitung2 senam jari deh.

9) Kalau udah ok semua RESTART, klo perlu RESET

Mungkin anda bertanya kenapa harus langkah 2?

Karena ternyata virus ini hanya mengincar flesdisk saja.
Kenapa harus langkah 6? karena kalo kita menutup aplikasi Office, maka file kspoold.exe akan
langsung ngendon dalam system kita.

CARA CEPAT (untuk expert user)

Cara cepat ini sebenarnya sama dengan cara di atas cuma beda dalam cara memanggil document aja.
INGAT..MODUS OPERASI INI WINDOWS DALAM SAFEMODE..!!
Disarankan digunakan pada komputer dengan performa yang lumayan cepat dengan memori yang
cukup memadai.

Setelah document dari flashdisk dipindahkan ke hardisk dalam satu folder, ikutin langkah2 berikut :
1) Buka MS Word dan MS Excel
2) Masuk ke folder tersebut, kemudian pencet tombol F3 utk memanggil fungsi Search
3) Pada kotak search ketikan *.exe (tanpa tanda kutip)
4) Setelah muncul hasil search yang kita yakin adalah document kita yang telah bermutasi, maka pilih
semua kemudian open.
5) Setelah teropen semua, tinggal kita close dengan menekan tombol ALTFC Ingat jangan tutup
aplikasi MS Word dan EXCelnya..(sisain masing2 satu)
BONUS TUTORIAL NIH :
TIPS MENGHADAPI AUTORUN FLASH DISK

Virusvirus yang beredar saat ini melalui flesdis banyak memanfaatkan fitur autorun di Windows yaitu otomatis
memanggil file Autorun.inf/Desktop.ini/Folder.htt sehingga ketika flesdis dicolokkan maka dapat menjadi celah yang
membahayakan user.
Berikut tips yang dapat dilakukan agar skrip tersebut tidak akan dijalankan :

Klik tombol [Run] pada menu Start

ketikkan GPEDIT.MSC (tanpa tanda petik) kemudian tekan tombol enter
Pilih User Configuration kemudian klik Administrative Templates (lihat gambar)

Kemudian klik System

Pada menu system tersebut klik kanan Turn off Autoplay kemudian pilih Properties
Pada layar Turn off Autoplay properties
o Klik tabulasi Setting
o Pilih option Enable
o Pada menu Turn off Autoplay on pilih All Drives
o Klik Tombol Apply kemudian Klik Tombol OK (lihat gambar)
O Tutup Group Policy

Demikian sedikit trik dan tutorial dari saya semoga dapat bermanfaat untuk semua warga BPKP.
Jika anda menemui kesulitan silahkan contact ke tasurun@bpkp.go.id atau tasurun@gmail.com

Akhirul Kalambillahi taufiq wal hidayah..Wassalamu alaikum ..wr.wb..