Menyingkirkan Malware Secara Manual

Artikel sebelum ini (Mengenal Ancaman Siber: BOTNET) menjelaskan tentang bahayanya bot atau botnet yang mana ianya adalah sebahagian daripada malware. Langkah-langkah proaktif iaitu langkah pencegahan juga telah diperjelaskan.

---

Namun begitu, bagaimana sekiranya komputer anda telah dijangkiti malware dan perisian pengesanan kewujudan malware hanya mampu mengesan tetapi tidak dapat menyahkan malware tersebut? Sesetengahnya pula langsung tidak dapat mengesan kewujudan malware tersebut. Isu ini sering terjadi, seterusnya komputer anda masih lagi mengalami masalah masa pemprosesan yang lambat, penggunaan memori komputer yang tinggi yang menyebabkan tugas seharian terganggu dan ini berkemungkinan menyebabkan seluruh rangkaian ICT organisasi dijangkiti malware.

Malware terdiri daripada pelbagai perisian perosak yang berbeza seperti adware, spyware, viruses, worm dan yang terkini botnet. Setiap satunya berkongsi satu objektif iaitu akses ke dalam sistem seterusnya menyebabkan masalah sistem pengoperasi dan juga kecurian maklumat.

Tanda-tanda Jangkitan

Sepertimana yang telah dimaklumkan sebelum ini, malware akan melambatkan fungsi sistem pengoperasian. Walau bagaimanapun, terdapat beberapa keadaan lain yang memungkinkan komputer dijangkiti malware seperti:

• Wujudnya fail atau program yang tidak dikenali;
• Pengguna menghadapi kegagalan apabila cuba melayari laman web www.microsoft.com atau laman web anti virus;
• Terdapatnya beberapa direktori pada Windows Explores tetapi direktori tersebut tidak dapat diakses atau dibuka; dan
• Perisian browser seperti Internet Explorer atau Firefox membuka (pop-up) iklan-iklan yang tidak diingini.

Menyingkirkan Malware

Sekiranya tidak berpengalaman ianya agak sukar untuk menyingkirkannya, tetapi didalam artikel ini diperjelaskan langkah-langkah yang boleh diambil untuk menyingkirkan malware tersebut.

Langkah-Langkah Penyingkiran

Sebelum mengambil langkah yang terperinci pertamanya, tutup semua program dan juga Internet Browser. Sekiranya perlu, proses backup untuk data-data penting adalah perlu.

Pertama : Memberhentikan semua proses Malware dengan cara mengesannya terbilih dahulu.

Kaedah mengenal pasti malware adalah seperti berikut :

Menggunakan Windows Explorer

Dengan memilih konfigurasi diatas, semua fail berserta atribut akan dipaparkan. Seterusnya kenal pasti fail autorun.inf pada removalable drives seperti USB thumbdrives. Sekiranya USB thumbdrives tersebut autorun buka menggunakan notepad.exe untuk melihat sama ada fail-fail tersebut adalah merujuk kepada program yang sah.

Menggunakan Process Explorer

Dengan merujuk kepada gambar di atas, klik pada Option dan pilih 'Verify Image Signatures'. Pilihan ini adalah bagi mengenal pasti sama ada perisian tersebut daripada pembekal yang sah. Seterusnya pada lajur Company, lihat pada proses yang bukan daripada Microsoft Corporation. Sekiranya namanya tidak pernah didengari dan agak pelik, perhatian khusus harus diberikan kerana ianya berkemungkinan malware. Akhir sekali, periksa nama proses seperti csrss.exe, lsass.exe dan services.exe yang datangnya bukan daripada Microsoft. Nama-nama proses seperti ini sering digunakan oleh malware bagi mengelirukan pengguna.

Menggunakan TCP View

Lihat pada proses yang sedang dilaksanakan dan sambungan (connection) yang aktif. Sekiranya terdapat sambungan (connection) yang janggal, hentikan sambungan tersebut.

Menggunakan Notepad

Buka fail 'C:\WINDOWS\system32\drivers\etc\hosts' dalam Notepad.exe. Sepatutnya didalam fail tersebut hanya terdapat satu IP atau data iaitu:

127.0.0.1 localhost

Jika terdapat maklumat lain, ini mungkin malware tersebut telah mengubah kandungan fail tersebut. Fail ini boleh digunakan untuk mengarahkan host-names tertentu kepada pelbagai komputer.

Menggunakan Windows Task Manager

Klik pada start>run>type taskmgr. Pada tab processes akan kelihatan senarai proses yang sedang berjalan. Cari dan berhentikan proses malware dan buang semua fail non-malware yang berkaitan dengan malware. Untuk mengenalpasti sama ada proses yang sedang berjalan adalah malware, kenalpasti keadaan berikut nama fail yang mencurigakan, kenalpasti nama fail atau direktori yang di rasakan luar daripada kebiasaan, maklumat berkenaan fail yang pelik (file properties) seperti contoh hidden files, tiada versi fail atau nama pembekal, tarikh fail yang kelihatan tidak normal. Untuk memberhentikan proses. Klik pada proses tersebut dan pilih ‘End Task’.

Kedua : Setelah proses malware dikenal pasti, langkah seterusnya adalah menghapuskan proses tersebut daripada sistem komputer. Ia melibatkan empat langkah utama iaitu :

1. Hentikan semua proses malware yang sedang berjalan.
2. Keluarkan atau buang fail yang dijangkiti malware daripada sistem
3. Dengan menggunakan registry editor (Start->Run: regedit), lakukan proses carian dan buang segala entri yang berkaitan dengan fail atau program yang ditemui.
4. Ubah konfigurasi untuk tidak mengaktifkan autostart/autorun. Rujuk gambarajah di bawah : Taip pada ruang Run gpedit.msc

Kebiasaannya malware susah untuk dihapuskan dan ia akan tegar atau tidak akan boleh dihapuskan dengan cara mengujudkan proses kedua yang masih ada didalam sistem. Oleh yang demikian keempat-empat langkah yang dinyatakan diatas berserta langkah-langkah mengenal pasti kewujudan malware adalah sangat penting dan perlu perhatian khusus sebelum ianya memudaratkan sistem komputer.

Tools

Berikut adalah senarai tools yang boleh digunakan, semuanya adalah freeware dan tidak memerlukan proses instalasi yang rumit.

• Process Explorer (SysInternals/Microsoft)
• Autoruns (SysInternals/Microsoft)
• TCP View (SysInternals/Microsoft)
• Rootkit Revealer (SysInternals/Microsoft)
• Process Monitor (SysInternals/Microsoft)
• PsTools Suite (SysInternals/Microsoft)
• SmartSniff (Nirsoft)
• DTaskManager (Dimio)
• O&O RegEditor O&O Software

______________________________________

Penulis:

Bahagian Pematuhan ICT, MAMPU.

source and credit : http://www.ictsecurity.gov.my/