Jumat, 01 Juli 2011

Bagaimana mengecek komputer ada virusnya atau tidak.

Spoiler for Caranya.:

Karna banyak yang tanya gimana cara saya bisa memecahkan masalah yang berhubungan dengan virus dan malware. Maka saya coba bikin penjelasan yang mungkin bisa jadi panduan buat mengatasi virus yang umumnya beredar.

3 langkah membersihkan virus. Matikan processnya - Cari dan Delete induk beserta pengikutnya - Kembalikan Settingan windows yang dirubah oleh virus.

Tools wajib. hijackthis. ini untuk melihat process apa saja yang sedang berjalan dan startup item apa saja yang berjalan setiap komputer dinyalakan.

contoh log hijackthis di komputer yang bersih dari virus.
Spoiler for loghijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:26:14 PM, on 10/25/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Virtual Machine Additions\vmusrvc.exe
C:\Program Files\Rollback\RollbackTray.exe
C:\Program Files\Virtual Machine Additions\vmsrvc.exe
C:\Program Files\Rollback\RollbackClnt.exe
C:\Program Files\Rollback\shdserv.exe
C:\Program Files\Virtual Machine Additions\vpcmap.exe
C:\Program Files\Anti Virus\HiJackThis.exe
C:\Documents and Settings\VirtualVirus\Desktop\slowview\Slowview.ex e

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Orbit.lnk = D:\Program Files\Orbitdownloader\orbitdm.exe

--
End of file - 1304 bytes


Awal belajar googling satu persatu process yang sedang berjalan dan startup item yang berjalan tiap komputer dinyalakan.

Sedikit penjelasan tentang process yang sedang berjalan.
C:\WINDOWS\System32\smss.exe
Buka google.com ketik smss.exe. Maka anda akan melihat banyak sekali penjelasan tentang file ini. Salah satunya:
Quote:
smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.
sumber
Code:
http://www.liutilities.com/products/wintaskspro/processlibrary/smss/
Kesimpulannya ini bukan virus, maap bahasa inggris saya kurang jago. Pokoknya dijelaskan klo ini bagian dari sistem operasi jadi bukan virus atau malware.
C:\WINDOWS\system32\winlogon.exe
Buka google.com ketik winlogon.exe. Maka anda akan melihat banyak sekali penjelasan tentang file ini. Salah satunya:
Quote:
winlogon.exe is a process belonging to the Windows login manager. It handles the login and logout procedures on your system. This program is important for the stable and secure running of your computer and should not be terminated.
Kesimpulannya ini file milik windows. Jadi bukan virus.
Dan seterusnya silahkan googling sendiri berdasarkan process yang berjalan di komputer anda.

Sekarang bagian startup item yang berjalan setiap komputer dinyalakan.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Buka google.com ketik winlogon.exe. Maka anda akan melihat banyak sekali penjelasan tentang file ini. Salah satunya :
Quote:
nwiz.exe is a part of NVidia's Nview features installable alongside it's graphics hardware products. This application will give the user access to additional features which allow the configuration of up to 32 monitors on a host, or to expand the desktop across many monitors.
Jadi file tersebut merupakan file milik Nvidia. bukan virus atau malware
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
Buka google.com ketik winlogon.exe. Maka anda akan melihat banyak sekali penjelasan tentang file ini. Salah satunya :
Code:
yahoomessenger.exe is the executable for Yahoo! Messenger, a free instant messenging software from Yahoo! Inc.. It allows you to send and recieve messages from online contacts. Other features include LAUNCHcast radio, Yahoo! Weather and Yahoo! Games. Disabling or enabling it is down to user preference.
Ini file yahoo messenger. jadi bukan virus atau malware.
Dan seterusnya silahkan googling sendiri berdasarkan startup item yang berjalan di komputer anda.

Code:
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Membongkar penyamaran sang virus

Setelah tau mana process milik system dan mana process virus, selanjutnya anda perlu mengetahui beberapa virus yang menyamarkan dirinya sebagai file mirip file system windows. beberapa process yang sering dijadikan penyamaran adalah smss, svchost, services. Untuk membongkar penyamaran ini anda dapat menggunakan tools process xp ataupun the killer machine.

Dengan bantuan program process xp dapat dilihat mana yang benar-benar process windows dan mana yang merupakan penyamaran virus dengan melihat process yang sedang berjalan. process file system windows selalu memiliki Company Name Microsoft sedangkan virus yang menyamar tidak memiliki Company Name dan icon yang digunakan virus biasanya dalam bentuk icon folder, icon winamp, icon k-lite mega codec atau icon lain yang tidak sama dengan icon file system windows.

Selain process xp tools yang dapat anda gunakan adalah the killer machine. Anda cukup mengklik process, kemudia pilih satu persatu process yang sedang berjalan, di pojok kanan atas dapat dilihat icon masing-masing process yang sedang bejalan, sama seperti menggunakan process xp icon yang digunakan virus biasanya dalam bentuk icon folder, icon winamp, icon k-lite mega codec atau icon lain yang tidak sama dengan icon file system windows.

Belum selesai...


Menggunakan Hijackthis
.
Spoiler for membuat hijackthis:

1. Download hijackthis dan jalankan.
2. Tutup semua program termasuk browser yang sedang digunakan.
3. klik Do a system scan and save a logfile. akan muncul notepad yang beisi log hijackthis. copy og tsb kemudian paste kesini. gunakan spoiler agar rapi.
Formatnya seperti di bawah ini tanpa spasi
[ spoiler = log hijack ] isi log hijacthis [ / spoiler ] <<< SEKALI LAGI TANPA SPASI.

Klo gak bisa juga gpp deh.
maka hasilnya akan seperti ini.
Spoiler for log hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:13, on 09/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows SteadyState\SCTSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\FirefoxUltimateOptimizer.exe
C:\Program Files\FDGuard\FDGuard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Ansav\HiJackThis.exe

O4 - HKLM\..\Run: [FirefoxUltimateOptimizer] C:\Program Files\Mozilla Firefox\FirefoxUltimateOptimizer.exe
O4 - HKLM\..\Run: [FDGuard] C:\Program Files\FDGuard\FDGuard.exe
O4 - HKLM\..\RunServices: [WinSystemLibrary] pwrszr.exe -system
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A6F0DD1-ECE5-4FC2-92E4-8836AEC3D2BD}: NameServer = 192.168.12.1,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A6F0DD1-ECE5-4FC2-92E4-8836AEC3D2BD}: NameServer = 192.168.12.1,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A6F0DD1-ECE5-4FC2-92E4-8836AEC3D2BD}: NameServer = 192.168.12.1,208.67.222.222
O23 - Service: Ansav Guard (ansavgd) - Unknown owner - C:\WINDOWS\ansavgd.exe
--
End of file - 1505 bytes


Menghilangkan [Fix] startup item.

http://www.bleepingcomputer.com/tuto...utorial42.html


Mematikan system restore.
Spoiler for caranya:
klik kanan my computer - properties - system restore.
turn off system restore on all hard drive.

Tidak ada komentar:

Posting Komentar