Bila anda menemukan kejanggalan di komputer pada saat bekerja di kantor, terutama menemukan gejala-gejala aneh, segeralah untuk melaporkan pada Personel IT yang bertugas agar tugas kerja anda bisa menjadi lancar. Kamis 08/07/2010 lalu salah satu user di kantor saya mengeluhkan sebuah keanehan kecil, "Kenapa saya hari ini tidak bisa mencetak laporan ke printer ?" Begitulah pertanyaan singkatnya. Setelah saya tindak lanjuti keanehan kecil itu ternyata berbuah pengalaman berharga bagi saya dalam menanganinya. Alhamdulillah sempat mengalami kesulitan pada satu jam pertama karena informasi tentang hal ini masih belum berhasil saya temukan di searching di internet, akhirnya problem itu berhasil saya tangani dengan bermodalkan tool seadanya. Nama D0bn3k pada judul tulisan ini saya ambil dari salah satu folder "suspect" yang saya temukan. [caption id="attachment_192572" align="alignleft" width="300" caption="Screen Shoot log File dari Hijack This"][/caption] Bila di kantor belum ada personel khusus untuk menanganinya, anda pun sebenarnya bisa melakukannya. Perhatikan catatan saya berikut : Gejala keanehan :
- Tidak Bisa mencetak dokumen karena service printer dinonaktifkan
- Command Prompt hanya bisa berjalan (running) 10 detik
- Hijack This hanya bisa jalan beberapa detik saja
- Pexplorer, Registry Editor, Msconfig tidak bisa diaktifkan
- Pada Taks Manager akan ditemui beberapa proses aplikasi berjalan dua versi diantaranya :
Winlogon.exe Service.exe lsass.exe smss.exe Gejala lainnya yang dapat ditimbulkan adalah efek startup yang lebih lambat hal ini pada saat startup D0bn3k ini menjalankan file dengan nama msdos.cmd Coba periksa di Start > All Program > Startup > msdos.cmd (jangan di klik, hanya dilihat saja) Cara menangani : Walaupun "saat ini" beberapa Antivirus tidak bisa mendeteksinya, cara manual bisa digunakan tapi membutuhkan kesabaran karena harus menghapus sumber-sumbernya satu persatu.
Salah satu jalan terbaik adalah menggunakan CD booting (ERD Commander) atau sejenisnya (bisa juga dgn linux yg bisa jalan dari CD) lalu menghapus sumber-sumber yang dicurigakan, dan melakukan repairing system dari CD Commander.
Atau Cara Manual lainnya : 1. Matikan System Restore 2. Jalankan Windows pada secara normal untuk mendapatkan informasi lokasi keberadaan tersangka 3. Jalankan Notepad. 4. Jalankan Hijack This (tool ini gratis), Copy logfile "secara cepat" pada Notepad yg dibuka sebelumnya. 5. Baca Logfile, perhatikanlah file yang dicurigakan seperti, contoh logfile yang saya temukan : Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:WINDOWSD0bn3kwinlogon.exe (file ini adalah tersangka) C:WINDOWSsystem322syFRI6smss.exe (file ini adalah tersangka) C:WINDOWSsystem32ctfmon.exe C:WINDOWSD0bn3kservice.exe (file ini adalah tersangka) C:WINDOWSsystem322syFRI6lsass.exe(file ini adalah tersangka) C:WINDOWSsystem32wscntfy.exe C:WINDOWSsystem32wuauclt.exe C:Program FilesInternet Exploreriexplore.exe C:WINDOWSsystem32taskmgr.exe C:Program FilesTrend MicroHijackThisHijackThis.exe F2 - REG:system.ini: Shell=explorer.exe, C:WINDOWSsystem32zsyFRI6a.exe (ini juga tersangka) O4 - HKLM..Run: [8D0bn3kzi] C:WINDOWSD0bn3kspawn.cmd (ini juga tersangka) O4 - Startup: msdos.cmd(ini juga tersangka) 6. Selain dalam logfile di atas jangan lupa ada beberapa file yang harus di anggap sebagai suspect adalah : dUVsmIi43.exe yang ada di lokasi c:windowssystem32 7. Secara default file-file tersebut dalam kondisi hidden, untuk dapat melihatnya file tersebut maka harus unhide dengan memanfaatkan perintah attrib pada command prompt. contoh, pada command prompt : attrib -a -h -s c:windowsD0bn3k [enter] 8. Hapuslah file-file "tersangka" tersebut 9. cari dan hapus juga msdos.cmd 10. Setelah semua selesai dihapus, restart komputer dan update antivirus. Bila langkahnya benar komputer telah terbebas dari gangguan D0bn3k. Kita berharap semoga lebih cepat tersedia antivirus yang mendeteksi dan tentunya langsung mengatasi kehadiran si D0bn3k. Selamat Mencoba, semoga bermanfaat. Dengan senang hati saya akan menjawab pertanyaan bila dalam artikel ini masih ada yang perlu penjelasan lebih. youldee