Membasmi Virus Bandel

Minggu lalu sebuah server di kantor saya tidak bisa diakses oleh para staff. Selidik punya selidik, ada sebuah process yang bernama Services.exe (dengan huruf “S” besar) yang menggunakan memory hingga ratusan mega. Setelah di cek di  log antivirus (CA eTrust Antivirus 7.1 Corporate), ternyata anti virus ini menemukan virus Win32/Sality.W yang menginfeksi banyak file dan beberapa diantaranya gagal di bersihkan. Waduh! Gawat nih, saya pikir dalam hati.

Langkah pertama tentu saja “selidiki musuh mu”. Dengan bantuan mbah Google, saya mulai mencari informasi mengenai virus ini. Sality ternyata bukan virus yang terlalu berbahaya, namun dia menginfeksi file berekstensi .exe dan ini yang rada merepotkan: ia termasuk virus polymorphic. Polymorphic? Secara singkat, virus polymorphic adalah virus yang bisa memodifikasi dirinya sendiri. Jadi virus ini bisa memiliki varian/turunan. Jika dilihat dari nama virus di atas Sality.W, maka bisa di asumsikan bahwa sudah ada varian dari huruf abjad A s/d V,  dan perlu teknik yang berbeda-beda untuk membersihkan tiap varian ini. Weleh-weleh…

Oke, sekarang masuk tahap kedua: “bagaimana cara membersihkannya?”. Berhubung saya sudah menggunakan antivirus (walaupun gagal membersihkan virus ini dengan baik & benar), saya berusaha mencari “pembersih” lain yang tidak perlu diinstall (bukanlah ide yang baik untuk menggunakan 2 anti virus pada sistem yang sama, karena hanya akan memberatkan sistem). Saya juga tidak mungkin mengganti dengan yang lain karena antivirus ini asli bawaan pas beli server (dan sumpah deh, saya sudah coba cari solusi freeware antivirus yang mumpuni untuk Windows Server 2003, dan sejauh ini saya bilang tidak ada.) Jadi berhubung sudah dapet gratisan pas beli sever yah di manfaatin aja, walau gak ampuh-ampuh banget… Yah dari pada gak ada? Nah kembali ke permasalahan tadi, sekarang pilihan saya ada dua: cleaner atau rescue disk. Hmm apa beda & kelebihannya?

tmpEB8ECleaner atau sering disebut removal tool biasanya adalah program standalone (tidak perlu diinstall, dan sering kali hanya merupakan 1 file exe). Cleaner ini bisa untuk menghapus satu jenis virus saja, atau beberapa virus. Untuk hasil yang terbaik, jalankan cleaner ini ketika Windows sedang dalam safe mode.Hampir semua produsen antivirus punya sejenis cleaner ini, dan biasanya gratis :-) . Kok bisa gratis? Karena seperti saya telah sebutkan sebelumnya, program ini hanya “membersihkan” & tidak akan memberikan perlindungan 24/7 seperti layaknya program anti virus yang di install. Ini saya beri beberapa contoh:

Rescue disk biasanya merupakan bootable CD. Jadi kita cukup download file .iso nya, bakar ke CD kosong, lalu boot sistem yang bermasalah dengan CD ini. Tunggu beberapa saat, dan sistem Anda akan bersih kembali! Praktis kan? Ini link beberapa vendor yang menyediakan rescue CD:

Sumber link & artikel lengkapnya: Rescue CD gratis dari Avira, BitDefender, Kaspersky dan F-Secure

Perlu diingat, setiap vendor punya solusi yang berbeda-beda ketika ia tidak bisa “menyembuhkan” sebuah file: ada yang langsung main hapus & ada yang juga punya solusi lain seperti me-rename nama file menjadi ektensi yang berbeda (.xxx misalkan). Bahkan ketika bisa disembuhkan tidak selalu file tersebut kembali ke kondisi seperti semula. Jadi selalu backup data Anda terlebih dahulu sebelum menjalankan tool yang mana pun!

Nah kembali ke permasalahan saya, server yang terinfeksi sialnya juga merupakan Active Directory. Jadi saya hanya punya waktu yang terbatas jika ingin mematikan server ini (atau usernya bakal ngamuk-ngamuk). Setahu saya, server yang jadi Active Directory tidak bisa masuk safe mode (benar tidak ya ini? Perasaan pernah coba tapi tidak bisa). Jadi sudah pasti teknik menggunakan cleaner tidak bakal efektif. Jadi saya pilih teknik rescue CD. Karena keterbatasan waktu, saya hanya bisa mendownload Avira Antivir Rescue System (karena paling kecil), langsung saya bakar dan begitu jam pulang, server saya matikan dan boot dari CD ini. Data sudah aman semua, karena tiap malam sudah di back-up otomatis.

tmpCFB6Proses kerja Avira cukup lama, karena harus men-scan 2 hard disk (80 GB & 250 GB). Avira berhasil menyembuhkan beberapa file, namaun yang tidak berhasil di rename menjadi nama_file.exe.XXX. Hmm artinya belum tuntas nih. Setelah boot lagi, saya lihat bahwa process yang mencurigakan sudah hilang (Services.exe, dangan huruf “S” besar) dan server sudah berjalan normal kembali, kecuali eTrust yang setiap beberapa kali muncul melaporkan menemukan virus Sality.W tapi gagal menyembuhkan. Wah nampaknya perlu langkah selanjutnya.

Dari blog bakazero di bagian komentar artikel, ada yang menyarankan pakai Norman untuk membasmi Sality. Saya langsung ke website Norman dan mendownload (mengunduh? sorry, sampai sekarang kata mengunduh masih janggal sekali di telinga saya) Norman Malware Cleaner. Perlu saya beritahu kalau program ini tidak memberi pilihan apa-apa ketika tidak bisa membersihkan… langsung di hapus! Gilee bener… Namun dalam posisi saya (karena Sality hanya menginfeksi file berakhiran .exe), hal ini tidak jadi masalah. Dokumen jauh lebih penting dari pada file program. Sekedar info, terdapat pilihan tidak membersihkan dengan menambahkan “/noclean” sebagai command line switch. Untuk lengkapnya bisa di lihat di web Norman dengan menggunakan link di atas.

Setelah Norman di jalankan, baru ketahuan ternyata yang menginfeksi adalah Win32/Sality.AA (bukan versi W & sudah dua digit). Pantas saja eTrust tidak bisa nyembuhin, mungkin mereka belum punya signature untuk bersihin varian yang ini. Cukup oke juga nih Norman, walau proses bersihinnya lumayan lama. Segala perubahan di catet dalam file log dan otomatis di simpan di desktop. Setelah selesai, saya cukup mengecek file apa saja yang di hapus sama Norman dan coba restore kembali dari backup (yang sudah dipastikan bersih dari virus tentunya). Sekarang tinggal mencari PC mana dalam jaringan yang jadi sumber kekisruhan ini… Angry

Sepandai-pandai tupai melompat, akhirnya jatuh juga. Secanggih-canggihnya anti-virus masih bisa bobol juga. Apalagi kalau kita stuck dengan anti virus cupu! (tahun depan begitu lisensinya habis kemungkinan besar saya akan cari vendor lain…). Tapi jangan menyerah, sistem masih bisa diselamatkan dengan tool gratisan dari vendor anti-virus lain.

38 thoughts on “Membasmi Virus Bandel

  1. hehehe…akhir cerita,…ngaku juga neh klo yg cupu itu ternyata ujang AVG 7.x

    Tapi, oke juga neh infonya. Singkat, padat, jelas dan lugas…mandolin kali ya..
    Saya juga sedang cari2 yg ampuh neh,.. AVG gagal.. malah ikut2an jadi soak….najis tralala..

    thks ya info -oke-nya

  2. @rip
    Terima kasih info-nya. Tapi saya mencoba mencari solusi freeware, dan Kaspersky bukanlah freeware. Untuk menginstall versi Trial juga beresiko karena ini adalah server. Makanya saya mencari solusi alternatif seperti scanner/cleaner yang tidak perlu diinstall.

  3. mas rip,..
    klo pake kaspersky, nge-install-nya dimana ? di pc yg udah kena sality ? apa ga bakal ketularan kaspernya ?

  4. komputerq tiba2 melambat…. setelah scan pake avira profesional. Kira2 knapa ya??? sebelumnya office excel saya kena virus micro, trus coba scan pake avira bisa jalan sekarang officenya.. tapi omputer jadi lambat knapa ya??

  5. notebook ku kena salyti nih,w32\salyti.aa,
    awalnya aku udah pake avira pro,trus baru nyadar kalo icon nya hilang.
    trus aku cek task manager ke hidden, dan folder option meng hidden files.
    untung aku pernah mem back up nya pake norton ghost, jadi sempet sedikit tenang.
    namun driver2 ku di drive d, berisi software2, dengan kode .exe kena semua.
    setelah aku buka backu up, aku instal avira, dan scan drive d ( karena c udah aman, ku scan masih zero virus ) seluruh software di hajaR semua oleh avira tanpa ampun.

    nah jika kasusnya aku tidak back up, dan dapet masalh tsb, apa ada solusi antivirus yang baik?atau tanpa harus menghapus seluh file .exe?

    terimakasih atas balesan dan info2 nya..
    mario
    surabaya

    1. Jika antivirus Mas Mario up to date, saat ini saya rasa hampir semua anti virus bisa membersihkan sality tanpa menghapus file tersebut. Jadi kuncinya anti virus dengan definisi yang paling baru.

      1. tapi yang terjadi seperti itu.
        seluruh sofware dengan extensi .exe kena scan oleh avira, tanpa pikir panjang aku hapus saja semua.karena mungkin aku pikir virus masih bercokol disana,

        tapi, menurut saudara blazta, apa setelah di scan, virus itu sudah bersih?tanpa harus menghapus software2 tersebut?

        thax infonya..

        1. Kalau file .exe nya terinfeksi dan tidak bisa dibersihkan hingga harus dihapus.. yah sebaiknya memang di hapus saja. Kalau tidak dia akan menginfeksi file lain ketika dijalankan.

          Terus terang saya pribadi tidak begitu khawatir jika file .exe yang kena & harus dihapus karena toh bisa download lagi. Kalau file data/dokumen yang kena, nah ini baru runyam…

  6. Laptop gw udah kena ini virus, dan gw kewalahan untuk ngatasin penyakit kurang ajar ini. Waktu gw beli laptop gw udah diinstal XP SP2, karena kena virus, gw putusin buat nge-repair. Eh … ga’ bisa … setelah gw telusur ternyata laptop gw memang harus diinstall ama Windows Vista. Repot banget … padahal gw ga’ pengen pake Vista. And akhirnya gw coba pake Norman Malware Cleaner, semua file *.exe yang dimasukin virus di repairnya. Trus direboot. Tapi virus itu kembali muncul, and selalu begitu … ;-( Gimana nich … gw pengen virus itu mati, soalnya gw lagi malas buat format ulang and install ulang OS … please Help me !!!!

    1. Hmm repot juga ya.. tp kalau file .exe nya sudah dihapus sama NWC saya saranin install ulang saja OS nya. Boleh saya tahu repairnya tidak berhasil karena apa?

  7. matur kasuwun pak…kompie ane jg lagi kna sality neh, biz install ulang msh aj nongol virus na..ni mo coba tutor bapak…

  8. mnalem… sedikit mau tanya neh leh yoo….

    aku punya laptop yang jadul banget toshiba dynabook serinya lupa aku…. laptop masih pentium 2 dengan ram cuman 64. kayaknya kena virus deh…..sality kalo gasalah n juga confiker …. udah aku sering banget instal ulang karena lapyop segitu g bakal bisa diinstal antivirus seri yang tinngi. gimana neh solusinya…. task manajer q juga gak bisa registry juga gak bisa dibuka folder optionsnya juga gak ngefek…. ada yang punya saran buat aku ?

  9. waduh,kalo safemode diblock juga(blue screen langsung restart),tanda2x virus apaan nich,tapi sama kis kedetect alman.b n sality.aa dan pake kis 2009 pun tuh virus ngak bisa dibersihin,cuma didelete dari dir asli trus dipindahin entah kemana,ada solusi gimana cara nyelamati file exenya .!

  10. kang….
    aku mau tnya….
    gmna yach cara agar rescue cdnya bisa jadi bootable…
    aku ud bakar pakek nero8 tetep aj gak bisa….
    gak bisa boot pakek cd…
    kL pakek flasdisk kan gampang…
    tpi kL FD thu eman2….
    mendingan CD karena..
    setelah dibakar kan ud gak bisa di tambahin ap2 lagi…
    mohon pencerahannya

    1. burn cd dgn speed paling rendah (2x atau bahkan 1x)
      kalau punya sd-card bisa juga sebagai alternatif cd, pastikan write protectnya sudah di geser sebelum di tancapkan ke port usb pc yg bermasalah

  11. lho kang
    tetep aj gak bisa….
    kan harus ad file boot_nya….
    tyuz kL kita gabung am hiren gmna…..
    kan kL hiren kan bisa thu…
    tpi tetep aj akune gak bisa langkah ngeburn_nya….
    gmn kL kita buat dari ” iso ” dari flasdisk yg udah bisa bootable….
    tyuz kita bakar….
    kira2 bisa gak kang blaszta

    1. Sorry baru reply.. burn file .iso nya jangan seperti burn file biasa, tapi dengan menu burn image/iso (tiap program beda2 lokasi menunya). Burn dengan speed paling slow saya jamin bisa buat booting. Jika tidak bisa juga, mungkin drivenya kotor, coba dengan cd/dvd rom drive PC lain.
      Buat flash disk bootable dari iso juga bisa, salah satunya dengan unetbootin: http://unetbootin.sourceforge.net/

  12. Mas Minta tolong Driver laptop seri ini
    TOSHIBA Satellite L840D PSK9EL-001001
    yang lengkap ya….kami dah dapat tapi masih ada yang kurang di bagian display masih tandatanya (?)

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>