Prolog
Seperti yang ku tulis di posting sebelumnya, kompi rumah ku terkena virus Brontok. Awalnya ku kira dengan cara ‘biasa’ sudah beres. Tapi ternyata ini Brontok yang lebih bandel . Berbeda dengan Brontok versi awal, menu Folder Options tidak di-hide, tapi begitu dibuka, maka akan langsung ditutup. Lokasi dan nama files dan folders Brontok pun berbeda dan lebih tersembunyi, begitu pula dengan registry nya. Bahkan safemode pun dibuat tak berdaya. Karena ia jalan sebagai startup, bukan sebagai service. Baru setelah file start up Brontok dijalankan, service Brontok dijalankan. Perilaku berbeda dari varian Brontok inilah yang membuat tools yang banyak beredar tidak mempan untuk membasmi Brontok, karena umumnya mereka hanya mencari dan menghapus file dan registry Brontok pada tempat tertentu saja.

Kalau melihat isi salah satu file.ini yang dibuat Brontok, sepertinya ini tipe Brontok.C yang dibuat oleh Jowobot. Kalau mengalami masalah yang sama atau sekedar ingin tahu, silakan baca kelanjutan posting ini.

Bagian pertama ini bisa dibilang tidak perlu dibaca🙂. Karena isinya hanya cerita. Tapi karena sudah capek-capek ditulis (siapa suruh ya :D) tolonglah dibaca dulu sebelum masuk ke bagian kedua. Bagian kedua adalah mengenai langkah-langkah menghapus Brontok dari kompi. Selamat menikmati.

Bagian Pertama : Perang Brontok
Cari-cari di internet cara menghapus varian baru Brontok ini, karena menggunakan metode lama gagal total, akhirnya ketemu juga yang sepertinya bisa diandalkan. Sebuah artikel yang ditulis oleh Yohanes Nugroho di sini. Dia melakukan juga analisa tentang Brontok, jadi seperti tulisan ilmiah, sehingga kesannya dapat dipercaya. Cari sumber lain, ketemu yang mereferensikan ke cara Yohanes itu. Bahkan dibundel pula dengan tools yang diperlukan untuk menghapus. Kalau ingin men-downloadnya:
Brontok.Remover-bZ.rar
mirror Brontok.Remover-bZ.rar.html

OK, lalu Sabtu pagi dengan amunisi lengkap untuk membabat Brontok, misi pun dimulai. Dalam hitungan menit misi selesai. Hasilnya? Brontok menang telak !!! >_< Aargh …

Kata bung Yohanes, pembuat Brontok tidak terlalu ahli. Well, mungkin memang tidak. Tapi sepertinya rajin mengikuti perkembangan, dan artikel bung Yohanes itu pun dibacanya. Kemudian dibuatlah varian baru yang lebih mumpuni.

Menyerah? Enak saja :p. Rencana B dijalankan, yaitu hapus manual😦. Sebelum masuk ke misi, layaknya misi militer, perlu dibahas dulu tentang varian baru Brontok ini. Mari kita mulai briefing nya.

Tidak seperti versi awalnya, menu Folder Options tidak di-hide. Jadi seakan kompi belum dijajah oleh Brontok. Tapi kalau coba-coba membuka Folder Options, maka akan langsung disergap oleh pasukan jaga Brontok. Lokasi ‘markas’ mereka pun pindah ke tempat yang lebih tersembunyi. Tidak seperti dulu terpampang jelas sehingga gampang diserang.

Tapi ciri khas Brontok masih dipertahankan. Yaitu menyerang dengan cara membuat file .exe dengan nama yang sama dengan direktori file itu dan lengkap dengan samaran ikon folder. Yang berbeda adalah modus operandi Brontok selanjutnya. Sekarang kita masuk ke tahap pembantaian Brontok. ^-^

Menurut saksi mata yang dapat dipercaya, segera setelah file .exe tersebut dijalankan oleh penduduk sipil yang tidak tahu apa-apa, muncul jendela command prompt yang memperlihatkan sekelebat bahwa sebuah file yang berawal dengan huruf ‘o’ pada folder C:\WINDOWS dijalankan. Tapi sayang tidak jelas karena kejadiannya begitu cepat. Belakangan, file yang dimaksud ternyata memang ada. Singkat cerita, setelah bergerilya beberapa jam, akhirnya pasukan Brontok berhasil dibantai. Mungkin masih ada beberapa pelarian yang bersembunyi di hutan registry, tapi sepertinya kalaupun ada tidak cukup kuat untuk mengadakan serangan balasan, karena kekuatan utama mereka telah musnah.

Hei, tidak dijelaskan bagaiman cara menghapus Brontok secara detil sehingga yang lain tahu? Tenang, itu akan dibahas di bagian selanjutnya.

Bagian Kedua : Panduan Menghapus Brontok
Saat file .exe Brontok dijalankan, dia menginfeksi Start-Up, membuat file-file di folder WINDOWS dan System32, serta membuat registry. Detil file dan registry akan dijelaskan selanjutnya. Oh ya, langkah-langkah berikut tidak perlu dilakukan di safe-mode, karena sama saja. Dan jangan restart komputer sebelum semua beres, karena bisa saja yang tertinggal justru yang dapat me-revive Brontok kembali. Dan pasti tidak ada yang mau mengulangi langkah pertama penghapusan Brontok, yang akan dijelaskan setelah ini, kalau bisa memilih. Kenapa? Baca saja.

Langkah Pertama
Agar misi penghapusan lancar, perlu dilakukan langkah awal. Langkah ini lah yang paling menyebalkan dan butuh kesabaran. Yaitu melumpuhkan file-file services Brontok. Merekalah yang menjadi aktor aktif. Mereka yang mematikan antivirus yang berjalan, mematikan Task Manager, mematikan tools yang bisa dipakai untuk menghapus Brontok, mencegah setting di Folder Options bisa diubah, dll. Mereka adalah:

  • winlogon.exe (proses utamanya)
  • crss.exe
  • lsass.exe
  • m12543.exe
  • services.exe
  • smss.exe
  • qm1053.exe (?) — lupa, maaf lupa dicatat, keburu dihapus karena gemes🙂

Bung Yohanes menyarankan menggunakan tool Process Explorer dari sysinternals.com, karena katanya pembuat Brontok belum memperhitungkan tool yang satu ini. Tapi ternyata virus ini up to date juga. Sama seperti Task Manager, Process Explore pun dilumpuhkan. Hanya kira-kira 1 detik setelah aplikasi berjalan, langsung dimatikan oleh Brontok. Bahkan kadang kurang dari itu. Tapi dengan ‘sedikit’ (banyak sih tergantung luck, dan kecepatan komputer) usaha waktu 1 detik itu cukup. Yang harus dilakukan dalam kisaran 1 detik itu adalah:

  • Jalankan Process Explorer atau Task Manager atau tool lain. Terserah pakai yang mana, tapi kalau dengan Task Manager akan sulit membedakan mana yang proses windows dan brontok. Dengan tool seperti Process Explorer akan lebih mudah karena menampilkan ikon dari file proses nya dan lokasi nya.
  • Scroll daftar proses untuk mencari proses-proses Brontok. Ciri-ciri utamanya adalah memiliki ikon folder. Kalau beruntung tidak perlu melakukan scroll dan proses-proses Brontok itu langsung terlihat.
  • Klik file tersebut, dan tekan Del untuk mematikan proses.
  • Konfirmasi (OK / Cancel) mematikan proses.
  • Bila gagal ulangi terus😉.

Ada cara ‘cepat’ untuk menyelesaikan tahap ini, yaitu dengan mematikan process tree dari winlogon.exe. Tapi perlu langkah tambahan (yap waktu tetap 1 detik, tidak bertambah). Bila menggunakan Process Explorer, klik kanan proses winlogon.exe dan pilih opsi Kill Process Tree. Harus begitu karena tidak ada shortcut keyboard untuk mematikan process tree.

Sepertinya mudah, tapi tidak juga. Yang pasti butuh kesabaran dan koordinasi tangan kanan-kiri dalam penggunaan mouse dan keyboard. Semoga berhasil.
Tahap selanjutnya bisa dikerjakan dengan santai. Karena ibaratnya proses-proses inilah yang memberi perintah. Dengan lumpuhnya mereka, langkah selanjutnya menjadi mudah.

Langkah Kedua
Setelah semua proses Brontok telah berhasil dimatikan (ciri utamanya Process Explorer atau Task Manager tidak akan mati sendiri lagi) adalah penghapusan file-file, start-up dan regisry Brontok. Bisa pilih untuk membereskan yang mana dahulu, karena sama saja.

Menghapus Start Up Brontok
Ada 2 file yang dijalankan pada saat start up oleh brontok, yaitu:

  • C:\WINDOWS\j6154022.exe alias N2328c
  • C:\WINDOWS\System32\s10107\zh592511084y.exe alias f4104Adi

Hapus dari startup dengan tool. Yang kupakai adalah program kecil bernama Startup (tidak tahu download dari mana, tanya Charles Fasilkom 2001 karena ini dari dia :D). Tool lain mungkin bisa, coba saja. Kalau melalui msconfig percuma, karena hanya disable saja, dan perlu restart agar perubahan aktif.
Salah satu atau kedua file tersebut kemudian juga menjalankan file lain saat startup:

  • C:\WINDOWS4154027.exe

Menghapus file-file Brontok
Sebelumnya pada Folder Options -> View, pilih untuk menampilkan Hidden Files and Folders, non-aktifkan opsi ‘Hide extensions for known file types’ dan ‘Hide protected operating system files’. Ini busuknya Brontok karena mereka menyamar sebagai file penting Windows. Setelah langkah di atas dilakukan, maka file-file Brontok akan muncul dengan ciri-ciri berikut:

  • Tanggal Last Modified nya adalah saat virus menginfeksi atau pada saat kompi dinyalakan (tidak tahu pasti maaf, malas melakukan penelitian).
  • Bila folder, maka namanya tidak bermakna, kombinasi huruf dan angka dan warna ikonnya pun agak transparan (ciri folder penting Windows).
  • Bila file, maka ikonnya adalah folder tapi tipenya aplikasi(.exe) dan ukurannya berkisar 42-44 Kb. Semua file Brontok berukuran sama, dan Last Modified-nya pun mirip, jadi mudah diidentifikasi.

Jadi yang perlu dihapus adalah:

  • File-file Brontok yang dijalankan saat start up (lihat bagian sebelumnya). Ada 3 buah.
  • File C:\WINDOWS\_default15402 (MS-DOS Application tipenya).
  • File C:\WINDOWS\System32\c_15402k.com.
  • Folder C:\WINDOWS\System32\s10107\ beserta seluruh isinya.
  • Folder C:\WINDOWS\System32\s8787\ beserta seluruh isinya.
  • Folder C:\WINDOWS\Ad26058\ beserta seluruh isinya.
  • Folder C:\WINDOWS\Ad22098\ beserta seluruh isinya.
  • File C:\Documents and Settings\User_Name\Local Settings\Application Data\jalak-932511015-bali.com
  • Folder C:\Documents and Settings\User_Name\Local Settings\Application Data\dv6251100x\ beserta seluruh isinya.
  • Beberapa file di C:\ (ada beberapa, lupa dicatat namanya, tapi pokoknya ada nama brontok nya).
  • Mungkin masih ada yang terlewat  Tolong beritahu ya kalau ada yang lain😉.

Menghapus Registry Brontok
Sebelumnya jalankan dulu file fixbrontok.inf (untuk menjalankan, klik kanan pada file, pilih opsi install) yang dibuat oleh bung Yohanes untuk menghapus registry yang mendisable regedit. Setelah itu, gunakan fungsi Find dari regedit untuk mencari registry lain yang dibuat oleh Brontok. Kunci pencarian yang bisa digunakan:

  • N2328c
  • F4104Adi
  • j6154022
  • zh592511084y
  • Dll, pokoknya semua yang mengandung nama file atau folder yang disebut di atas. Aku sendiri belum selesai mengecek seluruhnya, belum sempat.

Ok, lalu apa bukti telah bebas Brontok? Yang pasti saat start up tidak akan terlihat lagi beberapa jendela command prompt yang menunjukkan file-file Brontok dijalankan. Kalau komputernya lambat pasti akan terlihat jelas. Kalau komputernya canggih, mungkin hanya sekedipan mata saja. Kemudian bisa menjalankan ms-dos, regedit, membuka Folder Options tanpa masalah, bisa membuka Task Manager, bisa membuka Process Explorer, dll. Cek di start up apakah masih ada start up Brontok. Cek apakah file-file dan folder yang dihapus muncul lagi. Sudah? Selamat kompi anda bebas Brontok (mudah-mudahan =p).

Terakhir, nama file dan folder mungkin berlainan di tiap komputer, karena sepertinya dibuat secara random. Jadi cobalah cari sendiri bila ternyata berbeda. Tools yang digunakan tidak harus itu, mungkin ada yang lebih mantap. Coba scan ulang seluruh kompi untuk mengecek apa masih ada file Brontok yang tersisa. Dan yang terpenting, pembuat Brontok mungkin lama-lama akan sadar kalau cara yang dipakai sudah bisa dilawan, jadi mungkin dia akan membuat varian baru lagi dengan cara menghapus yang berbeda pula😦.
Duh capek …. tidak sadar sudah sepanjang ini. Semoga ini berguna.