Senin, 30 Juni 2008

BatamHacker yang Menyebalkan

08.47 0 komentar by Bobby

Mungkin baru pertama kali ini saya dimintai tolong oleh temanku untuk menjadi "dokter" pc khususnya masalah membasmi virus. sebenarnya saya tidak terlalu mahir dan memang tidak mahir kalo ada urusannya dengan komputer. Tapi karena yang meminta tolong ini adalah Umam, adik kelasku, maka mau tidak mau saya harus siap.

Setelah bergoogling ria, akhirnya saya menemukan beberapa tips yang akhirnya saya coba.

Ada baiknya tutorial itu saya posting di blog saya ini dengan tujuan, agar teman-teman yang mungkin mengalami masalah yang sama bisa mempraktekkan metode ini.

Sebelumnya, perlu Anda ketahui, virus BatamHacker ini adalah perpaduan antara trojan dan worm (atau sejenisnya). Seperti halnya tipe virus "perusak" lainnya, virus ini juga menggandakan dirinya dan membuat sebuah user account dengan nama BatamHacker. Selain itu, Commad Line (cmd), MSCONFIG, Registry Editor (Regedit) yang biasanya mudah diakses lewat Start - Run... menjadi agak "rewel" atau bahkan kalau sudah memasuki stadium "akut", bisa-bisa langsung restart sendiri.

Berikut ini adalah artikel asli yang saya kutip langsung dari situs www.cangkirkopi.org




Hmm.. kalau dibilang virus ya boleh di bilang trojan ya boleh, karena perilaku batamhacker ya sebagai virus dan trojan, bagi pembuatnya yang kebetulan baca silakan koreksi hehehe, virus ini asli buatan indonesia mungkin hasil modifikasi dari virus luar, hebat juga yah.

Virus ini menyebar biasanya melalui media flashdisk yang sudah terinfeksi. Pertama kali menginfeksi dia akan mencopy beberapa file, saya tidak ingat nama filenya, jarang-jarang saya mendokumentasi pembasmian virus pada komputer pasien, tapi biasanya virus ini membuat file dan disimpan ke folder Windows\Shell kemudian folder ini di buat hidden. Virus ini akan membuat user baru dengan nama user "BatamHacker" kurang lebih begitu namanya, kemudian ia akan mengubah registry user login, jadi setiap kali restart windows akan login dengan nama user tersebut. Virus ini tergolong merusak file sebagai induksemang apabila file-file utama virus ini dihapus virus ini akan membuat file tersebut lagi dan sangat menganggu karena setiap anda membuat task manager atau command prompt pasti akan di close oleh si virus. File-file yang dibuat virus tersebut saya curigai sebagai file pengirim dan penerima informasi, kemungkinan bisa sebagai pengendali jarak jauh. Maaf saya tidak terlalu mengekplore lebih jauh mengenai cara kerja virus ini karena customer gak sabar supaya komputernya bersih dan berjalan normal lagi

Ulasan mengenai si virus saya kira cukup sekian, nah sekarang bagaimana membersihkannya. Untuk membasmi virus ini tidak cukup dengan software anti virus, karena sebagian pasti tidak terdeteksi dan tetap aktif di komputer.

Langkah awal, restart secara paksa windows anda bila windows anda sepertinya lama sekali untuk shutdown, sebelum windows booting, tekan F8, anda akan masuk ke menu-menu pilihan booting windows. Pilihlah menu booting Safe Mode and Command Prompt.

Windows akan terbuka dengan fasilitas windows Command Prompt. Pengetahuan tentang command-command DOS sangat berharga dalam membasmi virus secara manual kayak begini.

  1. masuk ke direktori windows, misal windows anda ada di c:\>windows, ketik perintah c:\>cd windows
  2. kemudian untuk melihat direktori yang di hidden ketik perintah : c:\>dir /ah , parameter /ah ini adalah attribute hidden, jadi hanya menampilkan direktori atau file yang dihidden. Akan tampak direktori Shell yang dihidden
  3. masuklah ke direktori tersebut dengan perintah : c:\window> cd shell
  4. nah sekarang lihat isinya dengan perintah : c:\windows\shell>dir , bila tidak kelihatan filenya gunakan dir /ah
  5. anda tidak dapat menghapus file-file yang ada di direkroti shell tersebut karena attribute filenya sudah dibuat +h +r +s
  6. gunakan perintah : c:\windows\shell> attrib -h -r -s ->perhatikan tanpa parameter nama file artinya seluruh file yang ada di direktori ini diubah attribnya.
  7. setelah mengubah attrib filenya, hapus dengan perintah "del . " -> artinya semua file yg ada direktori dihapus
  8. kemudian hapus direktori shel, anda harus mundur ke direktori windows dengan perintah c:\windows\shell> cd ..
  9. ubah attribut shell tersebut dengan attrib -h -r -s shell , setelah itu del shell
  10. nah anda sudah menghapus file utama si virus tersebut, namun pekerjaan belum selesai
  11. apabila direktori windows anda juga di hidden, mudah saja, gunakan perintah attrib -h windows
  12. Nah sekarang kita mencari file2x yang sudah terinfeksi pada hardisk anda. Direktori pertama yang musti anda check adalah "Document and Settings" gunakan perintah -> dir /ah /s /p perintah ini digunakan untuk mencari file2x yang terhidden di seluruh direktori dan sub direktori. Silakan cek satu persatu, apabila ada nama file ektensi .exe sama dengan nama folder/direktori berarti itu adalah virus. Hapus secara manual.
  13. Harap diingat selain mencari file2x yang ter-hidden cari file.exe lainnya yang mencurigakan.
  14. Untuk menghapus file yang terhidden ubah attributnya terlebih dahulu dengan attrib -h -r -s
  15. Lakukan pengecekan secara manual tersebut pada seluruh partisi hardisk anda. Biasanya virus membuat file .exe dengan ukuran file dan tanggal file yang sama persis. Pembersihan harus secara tuntas. Jangan sekali-kali membuka windows explorer dalam proses pembersihan.
  16. virus ini mengubah beberapa registry bahkan menghapus bagian-bagian penting windows, anda musti meng-repair windows anda setelah semua pekerjaan selesai.
  17. ok kita lanjutkan, sekarang ketik regedit, untuk memanggil windows registry editor
  18. masuk ke HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows NT\Current Version\WinLogon
  19. perhatikan pada registry winlogon tersebut, ada beberapa key yang diubah, pertama key "DefaultUserName" ubah ke nama user anda, kedua key "Shell" seharusnya valuenya hanya "Explorer.exe" hapus sisanya, virus telah menambahkan isinya dengan nama filenya. Cek pula "Userinit" seharusnya hanya "userinit.exe" bila masih normal dibiarkan key tersebut.
  20. setelah anda mengedit key-key registry tersebut. Panggil Task Manager dengan Ctrl+Alt+del kemudian pilih menu File|New Task, isi dengan explorer.exe, maka windows akan membuka start menu.
  21. Masuk ke dalam control panel, dan masuk menu User, hapus user BatamHacker.
  22. Setelah itu jalankan menu Run dari "Start Menu" ketik msconfig
  23. Pada msconfig masuk ke tab "Startup" hapus bagian-bagian yang mencurigakan dengan meng-uncheck. Kemudian klik OK, maka ada pertanyaan apakah anda mau restart, klik yes.
  24. Nah masuklah ke windows dengan normal mode seperti biasanya, check lagi msconfignya, bila masih ada file yg dijalankan berarti virus pasti ngendon dikomputer anda, ulangi lagi proses check dan penghapusan.
  25. Setelah anda yakin virus tidak lagi aktif, repair lah windows anda dengan menginstall ulang, ingat bukan install ulang total tapi hanya me-repair, jadi software2x dan data anda tidak hilang semua.
  26. Selamat mencoba, segala kerusakan software dan hardware bukan tanggung jawab penulis. Membasmi virus harus dilakukan secara sabar dan teliti. Penulis tidak menjamin komputer anda bebas total dari virus. Artikel ini akan diupdate apabila ada bagian-bagian yang belum disebutkan dalam proses pembasmian virus BatamHacker. trims



0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)