Virus.Suriv.Visur.Sivur.Rusiv. Tingkat Tinggi (2)

Howdy….Sekarang kita coba melumpuhkan virus yang sudah terlanjur menginfeksi komputer.

Pada bagian satu sudah kita bahas mengenai penggunaan ProceXP, sebuah utiliti kecil pengganti Task Manager bawaan Windows. Dibandingkan dengan Task Manager Windows, ProceXP memiliki fitur-fitur tambahan yang memungkinkan kita untuk melihat lebih dalam service-service atau file yang sedang berjalan di sistem komputer kita.

Nah, kali ini pertanyaannya adalah bagaimana jika registri windows sudah di-blok oleh virus sehingga kita tidak dapat mengakses registri lagi, dan dengan demikian file atau service bawaan virus tidak dapat dihentikan ?

Tentu saja tugas pertama kita adalah membuka proteksi registri dulu, sehingga kita dapat dengan mudah meng-aksesnya.

Copy teks dibawah ini lalu buka di notepad dan simpan dengan nama bebas dengan ekstension .inf (misalkan unhook.inf), maka file  teks tadi akan berubah menjadi file inf (Installation File) :

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

Seperti biasa masuk Windows dalam modus Safe Mode dulu.

Setelah itu klik kanan file tersebut lalu klik Install.  Action ini akan menyebabkan entri registri yang sudah dibuat di file .inf diatas akan dimasukkan ke registri sistem. Tidak ada window apapun yang muncul pada proses instalasi unhook.inf ini. Restart komputer dan masuk kembali dalam safe mode

Kembali ke ProceXP dan lanjutkan mencari service atau file yang dicurigai sebagai virus.

HIJACKTHIS

Ada satu lagi utiliti yang bernama HijackThis . Utiliti ini mirip seperti MSCONFIG di Windows, yaitu bertugas menampilkan entri-entri startup secara lebih mendalam. Bahkan entri tersembunyi pada startup dapat ditampilkan juga.

Klik tombol Do a System Scan Only untuk memulai penelusuran entri startup. Setelah itu akan muncul hasil penelusuran seperti contoh dibawah :

Proses selanjutnya adalah ceklist entri yang anda curigai sebagai entri virus. Proses ini harus dilakukan dengan sangat hati-hati, karena salah-salah anda malah menghapus entri yang “tidak bersalah”.

Setelah itu anda tinggal klik Fix Checked untuk menghapus entri yang nakal tersebut.

KESIMPULAN

Jadi kesimpulannya adalah untuk melumpuhkan virus anda perlu mengikuti urutan seperti dibawah :

1. Boot dalam safe mode

2. Matikan entri startup yang anda curigai menggunakan MSCONFIG atau Hijackthis

3. Restart dan masuk kembali dalam safe mode

4. Matikan entri virus yang masih ada di sistem menggunakan ProceXP

5. Full Scan sistem anda dengan anti virus. Saya menyarankan pada kondisi ini gunakan anti virus yang portable, atau minimal instal guna menghindari virus menghinggapi anti virus.

6. Perbaiki registri (jika perlu) dengan utiliti perbaikan registri. Coba cari di SnapFiles/Freeware

Ditunggu komentar anda…..