Hampir satu minggu ini saya dibikin kesal oleh Windows XP di netbook yang mengulah nggak mau connect ke internet secara tiba-tiba. Pada awalnya saya beranggapan bahwa masalah ini timbul hanya karena koneksi yang tidak baik, atau setting jaringan yang nggak beres. Saya berulang kali mengutak-atik seting jaringan bahkan sampai bertingkah aneh menurunkan connection speed sampai ke 10 Mbps namun tidak membuahkan hasil sama sekali. Website apapun tidak bisa ditampilkan di browser, tapi anehnya jika dilakukan ping selalu ada respon dari server.
Kecurigaan saya berpindah ke proses yang jalan di Windows. Dari Task Manager (Ctrl + Alt + Del) terlihat ada beberapa proses yang janggal. Proses-proses tersebut antara lain : ccdrive32.exe, vbslonto, dan conime.exe.
Saya coba mematikan ketiga proses ini dari task manager,lalu men-disable start up nya dari msconfig.
Koneksi memang berjalan sempurna setelah itu. Website yang dibuka tampil dengan seperti yang seharusnya. Meski demikian, beberapa saat kemudian tiba-tiba firewall Windows non aktif dengan sendirinya. Lambang perisai merah dengan tanda silang ditengahnya muncul di taskbar. Saya coba mengaktifkannya kembali melalui security center dari control panel. Penasaran, Task manager saya buka lagi dan ternyata, ada macam-macam proses aneh lagi yang berjalan disana. seperti 765.exe dan lain-lain dengan angka acak yang terdiri dari 3 digit. Proses ccdrive32.exe juga nongol lagi disana.
Kemudian saya coba search file-file tersebut, dan memang ada. Posisinya persis di direktori temp milik Windows. Semuanya ketemu kecuali ccdrive32 yang nggak ketahuan nempelnya dimana.
ccdrive32 ini menyamar sebagai file driver milik windows dan dijalankan setiap komputer dinyalakan. Cukup berbahaya karena berdasarkan laporan di internet, proses yang dijalankan oleh malware ini akan membuka port-port tertentu dan melakukan koneksi ke server tertentu. Data di zone alarm yang saya install sebelumnya menampilkan data bahwa komputer saya mencoba melakukan koneksi ilegal ke sebuah server dengan domain biz.
Sebenarnya Smadav sudah bisa mendeteksi secara langsung aktivitas mencurigakan dari file-file ini dan mampu memperbaiki registry yang dimodifikasi olehnya. Namun begitu terhubung kembali ke internet, semuanya mulai berulah lagi.
Salah satu cara yang bisa menangkal masalah ini adalah dengan memasang firewall selain milik Windows di komputer, misalnya Zone Alarm, komodo firewall dan yang sejenisnya. Namun yang perlu diperhatikan, firewall juga bisa jadi merepotkan saat semua koneksi yang masuk dan keluar harus dimonitor sendiri.
Sementara ini masalah ccdrive32 saya anggap selesai karena si file malware ini sudah tidak muncul lagi (entah nanti dia muncul lagi saya nggak tahu).
Yang saya lakukan untuk menghilangkan virus malware ini :
- Putuskan koneksi komputer dengan internet.
- Matikan proses ccdrive32 dan teman-temannya dari task manager
- Full Scan dengan Smadav untuk mencari file virus dan registry yang termodifikasi, virus dihapus kemudian registry di fix semua.
- Buka registry editor dengan mengetikkan regedit pada menu run. Navigasi ke HKey_Local_Machine\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run dan hapus string Microsoft Driver Setup C:\Windows\ccdrive32.exe
- Ketikkan %temp% dari menu run kemudian hapus semua file dari folder temp
- Disable start-up dari file virus melalui msconfig, dengan cara mengilangkan tanda centang pada ccdrive32, vbslonto dan conime.
- Jika memungkinkan, tambahkan firewall di komputer anda.
Semoga berguna...
0 komentar: