Me-remove spyware akibat Video ActiveX Object error

Sebagai seorang yang tau sedikit mengenai IT saya akhirnya mencoba untuk mentroubleshot masalah Video ActiveX Object error pada laptop saya. Awalnya memang laptop saya sudah sering bluescreen😀 jadi apa salahnya mencoba untuk tau :p toh klo mentok diinstall ulang juga🙂

Ciri-ciri yang saya dapat setelah terkena spyware/trojan ini adalah :

  • Muncul pesan (notification) yang menganjurkan untuk mengupdate “security automatic update”. Dalam hal ini auto update bawaan windows off dan tidak dapat dinyalakan. Namun setelah di klik kan membuka webpage yang tampilannya mirip auto update menu di windows.

    Mirip auto update

  • Muncul berbagai macam “fake alarm” (peringatan palsu) yang memberitahukan komputer ini sedang terinfeksi trojan Win32.X (“X” bisa jadi macam2, contohnya “Win32.Netboost” ). Setelah di klik akan me-refer ke sebuah website, dan lagi-lagi bukan website microsoft sebagai vendor/ developer dari Windows.
  • Akan sering terjadi flicker (layar berkedip2). Ini terjadi karena spyware/trojan sedang berusaha menginfeksi komputer lebih dalam. bisa jadi dengan mengupdate isi registry, me-register beberapa file *.dll ke beberapa proses yang normal ada di system (seperti Explorer.exe, lssas.exe, vhost.exe, dll). Yang perlu diingat nama dari file dll ini sangat beragam.
  • Control panel, All program, My Document, Search, Run, Drive hilang. Taskmanager , regedit, switch user disabled.
  • Dan tanda terakhir anda akan merasa jengkel, kesal, marah dan cepat2 mencari CD Windows juga driver komputer anda :p (lho) merasakan komputer anda sangat lambat dan CPU usage yang selalu 100%.

Tools yang saya siapkan :

  1. Process Explorer : berfungsi untuk mengamati perubahan proses-proses yang ada pada system.
  2. Hijackthis : biasa di gunakan untuk mengamati perubahan registry, proses dan daemon yang berjalan.
  3. Safeboot registry : saya gunakan supaya bisa masuk ke safe mode. Karena setiap kali ke safe mode pasti akan stuck waktu import driver (ini bagian dari strategi trojan/virus/spyware/malware dan keluarganya :p ).
  4. Dan yang paling penting, harus menyiapkan “kesabaran”😀

Langkah berikutnya saya coba untuk melakukan scanning, kira-kita jenis trojan/spyware apa yang ada di laptop saya. Bisa melakukan scanning online maupun offline menggunakan trial trojan removal. Dalam kasus ini saya percayakan dari link ini.
http://onecare.live.com/site/en-us/default.htm

(Saya mengambil pertimbangan karena selain urtuk scanning, bisa juga di gunakan untuk meremove)

Anda bisa mencari info lain tentang link atau software untuk scanning dari http://nevyan.blogspot.com/2005/12/online-spyware-removal.htm

Setelah mengetahui jenis trojan yang menginfeksi komputer. Langkah selanjutnya adalah browsing bagaimana trojan itu bekerja. Informasi penting yang saya cari berkaitan dengan registry, file *.dll yang di jalankan dan file yang terinfeksi.

Sebetulnya dengan menggunakan kombinasi , Hijackthis dan Process Explorer anda bisa mengevaluasinya. Namun, tidak ada salahnya browsing 2-5 menit untuk mendapatkan infomasi lebih dan akurat😀

Setelah itu hapus registry untuk meng-enable-kan regedit dan taskmanager:

ketikkan perintah berikut di command prompt :

C:\reg delete hkcu\software\microsoft\windows\currentversion\policies\system

Kemudian jalankan file “SafeBoot-for-Windows-XP-SP2.reg” (karena saya memakai windows XP SP2) dengan cara “klik kanan”> “Merge”, setelah itu restart dan masuk ke opsi “Safe Mode with Networking”. Saya butuh networking untuk men-scanning komputer saya sekali lagi dalam keadaan “safe mode”.

—————————————————————————————–

Troubleshot dari Safe Mode

ketikkan perintah berikut di command prompt :

C:\reg delete hkcu\software\microsoft\windows\currentversion\policies\system
C:\reg delete hkcu\software\microsoft\windows\currentversion\policies\Explorer

Ini berfungsi untuk mengenablekan task manager, regedit dan tampilan drive yang hilang dari explorer. Setelah itu restart Explorer.exe dari Process Explorer. Merestart Explorer dengan tujuan mengembalikan keadaan ke keadaan normal setelah registry kita edit.

Apa yang saya lakukan untuk mencari spyware/trojan :

  • Matikan system restore di komputer. Karena spyware ini mempunyai cara jitu menyimpan/membuat restore point untuk melindungi dirinya.
  • Jalankan scanning dari http://onecare.live.com/site/en-us/default.htm, ini sangat bermanfaat dan mempermudah kerja saya. Bila scanning di lakukan pada keadaan safe mode, ini akan membuat pencarian dan penghapusan spyware lebih efektif karena dlm safe mode Windows hanya akan memjalankan proses-proses basic saja.
  • Jalankan HijackThis kemudian perhatikan registry yang mencurigakan dan process yang berjalan pada saat itu. Catat dan di ingat-ingat, ini berguna untuk mengembalikan registry ke keadaan normal.
  • Jalan kan “Process Explorer”, pilih proses-proses yang dianggap mencurigakan dari menganalisis hasil HijackThis.

Pada kasus saya, trojan /spyware menghinggapi proses “Explorer.exe”, “IExplorer.exe” dan “lssas.exe”. Bagaimana saya bisa tau? saya mencoba melihat “Dll’s” dan “handles” yang ada pada proses-proses tersebut.

Tips mencari dll file yang digunakan trojan :

  • Perhatikan dll view pada Process Explorer, dan cari file dll mencurigakan. Untuk membedakan pilih dll tanpa mempunyai keterangan apapun (lihat gambar)
See suspicious dll file

Cari file dll mencurigakan

  • Kemudian cari informasi file dll tersebut diinternet (lihat attachment). Bila di internet di temukan file tersebut termasuk dll yang berbahaya, rename atau hapus file dll tersebut (lebih baik direname saja terlebih dahulu, in case file ini merupakan file yang diinfeksi oleh virus).
Search di internet

Search di internet

  • Untuk lebih jelas lagi kita bisa lihat thread yang di jalankan oleh file ini pada process yang bersangkutan. Pada gamber di bawah saya contohkan melihat thread pada “Explorer.exe”.
Pilih properties

Pilih properties

Tampilan properties process explorer

Tampilan properties process explorer

  • Ingat, sebelum kita menghapus/unregister file dll tersebut kita harus mematikan proses yang bersangkutan.
  • Setelah semua file dll yang diinstall oleh spyware/trojan hilang. Buka regedit, kemudian search apakah ada input (key, value, data) yang mengandung nama file dll tersebut. Jika ada hapus😀. (ingat, selalu ambil langkah aman dengan membackup registry terlebih dahulu).
  • Setelah itu perbaiki entry registry yang di rubah oleh spyware/trojan.

Kira-kira itulah langkah-langkah yang saya lakukan untuk menghapus spyware yang ada di laptop saya. Alhamdulillah manjur🙂 Semoga sharing saya bermanfaat bagi pembaca sekalian.

Happy cleaning !!

~ oleh r420r pada Juli 16, 2008.

3 Tanggapan to “Me-remove spyware akibat Video ActiveX Object error”

  1. Makasih banyak ya, mas🙂
    Akhirnya kompie ku dah baikan lagi….

  2. @Macen
    Wehehehe… makasih dah berkunjung, waduh klo begitu selamat ya. Akhirnya postingan saya berguna juga🙂

  3. terima kasih sarannya

    tapi saya kena spyware yang membuat safe mode nggak bisa di akses dan akhirnya Blue Screen…

    satu lagi komputer saya juga kena, switch user hilang dan jadi lambat.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: