Virus Flu Burung Membuat Windows XP Tidak Bisa Login
Belum genap sebulan berlalu, sekali lagi saya harus membantu seorang teman menghadapi virus yang sangat merepotkan. Virus ini adalah modifikasi virus W32/GNURBULF.B (Virus Flu Burung) seperti yang dikenalkan oleh vaksin.com. Saya sebut modifikasi karena Kaspersky Anti Virus yang sebelumnya mengenali virus ini tidak lagi bisa mengenalinya dalam kondisi tidak terupdate selama 20 hari.
Menurut saya virus W32/GNURBULF.B adalah virus paling merepotkan di tahun 2006. Cara kerjanya adalah membuat sistem operasi windows XP terkunci dari dalam. Bayangkan saja jika kita memiliki sebuah rumah, tetapi kita tidak bisa masuk rumah tersebut karena terkunci dari dalam. Begitu juga cara kerja virus ini yang membuat Windows XP tidak bisa login atau selalu ditolak ketika login (begitu login langsung logout secara otomatis). Sungguh merepotkan sekali karena kita tidak diberi kesempatan untuk membersihkan virus dari dalam sistem operasi.
Mungkin orang yang tidak mau pusing lebih memilih menginstall ulang windows, tetapi bagi yang memiliki data-data penting akan memilih cara untuk masuk ke sistem operasi melalui berbagai cara. Install ulang sistem operasi sama saja dengan membongkar rumah secara keseluruhan, oleh karena itu saya memilih berusaha mencoba masuk ke sistem seperti yang disarankan oleh vaksin.com dalam artikel berjudul W32/Gnurbulf.B Solusi tidak bisa logon Windows.
Secara lengkap Anda bisa membaca artikel tersebut untuk menangani virus ini. Berikut ini adalah ringkasan dari pengalaman saya dalam menghadapi virus ini dan variannya.
Gejala-gejala yang ditimbulkan oleh virus flu burung dan modifikasinya :
1. Windows tidak bisa login atau selalu logout secara otomatis meskipun memasukkan password yang benar.
2. Dekstop terkunci, hanya bisa menampilkan layar biru dan sejenisnya. (seperti W32/Gnurbulf.A).
3. Fungsi Printer terganggu, atau sering gagal dalam melakukan proses pencetakan tanpa sebab yang jelas.
4. Muncul banyak sekali file .scr dalam berbagai direktori.
5. Muncul banyak file asing .exe dalam direktori c:/windows/ (seperti W32/Gnurbulf.A).
6. Beberapa file Microsoft Word tidak bisa dikopi atau hilang begitu saja setelah dikopi ke UFD (USB Flash Disk).
Cara penanganan secara singkat pada Windows XP adalah sebagai berikut :
1. Baca terlebih dahulu artikel di W32/Gnurbulf.B Solusi tidak bisa logon Windows, kemudian siapkan dan kopikan file-file berikut ini dalam floppy disk atau cd : ntfs4dos, fix.reg, fix.bat.
2. Pastikan setting BIOS dengan prioritas booting melalui CD ROM atau Floppy Disk.
3. Masukan CD Booting seperti CD dari majalah Chip atau sejenisnya, atau gunakan sistem operasi DOS Windows 98 pada Floppy Disk/ USB Disk. Bila belum memiliki CD Booting bisa juga melakukan download berbagai ISO Dos untuk booting disini.
4. Lihat file di direktori C:/ dengan mengetik DIR C:/ Jika muncul direktori windows berarti Anda menggunakan FAT32 pada partisi windows tersebut. Lanjut ke langkah 6.
5. Jika Anda tidak menemukan direktori windows, panggil aplikasi ntfs4dos.exe. Kemudian jika ada pertanyaan penggunaan pribadi, ketik YES. Setelah masuk menggunakan DOS NTFS segera cek semua partisi. Pastisi yang berisi direktori windows merupakan partisi sistem operasi. Mungkin terbaca di D:/ atau F:/ bukan C:/ (!!!).
6. Copy file FIX.REG ke direktori C:\ dan FIX.BAT kedirektori C:\Documents and Settings\All Users\Start Menu\Programs\Startup. Perintahnya seperti ini, semisal F:\ adalah direktori yang berisi file fix.reg dkk. :
c:\>copy f:\fix.reg
c:\>cd docume~1\alluse~1\startm~1\programs\startup
c:\cd docume~1\..\..\..\ > copy f:\fix.bat
7. Ganti nama Spoolsv.exe menjadi nama lain, misalnya SPOOLSV.OLD dengan perintah :
c:\windows\system32> ren spoolsv.exe spoolsv.old
Mungkin ada baiknya tidak mengganti namun memindah ke direktori lain atau membuat backupnya lalu hapus file ini. Terkadang file disembunyikan atau berstatus read only sehingga tidak bisa dihapuskan. Oleh karena itu gunakan perintah attrib sebelum merubah nama spoolsv.exe ke spoolsv.old atau menghapusnya. Contoh : ATTRIB -R -S -H SPOOLSV.EXE
8. Ganti nama userinit.exe menjadi Spoolsv.exe
c:\windows\system32> ren userinit.exe spoolsv.exe
Kesalahan umum yang sering dilakukan yaitu file SPOOLSV.EXE masih ada belum diganti namanya atau belum dihapuskan sehingga USERINIT.EXE tidak berubah menjadi SPOOLSV.EXE.
9. Restart komputer, dan cobalah masuk melalui login. Jika berhasil maka lanjut ke langkah 9. Jika tidak periksa kembali penempatan file fix.bat dan fix.reg ataupun langkah 6 dan langkah 7.
10. Jika berhasil masuk windows, hapus segera file fix.reg di dan fix.bat di posisi sebelumnya kemudian klik kanan file repair.inf dan pilih install.
11. Restart komputer kembali. Jika sudah berjalan dengan normal, Anda dapat mengembalikan SPOOLSV.OLD menjadi SPOOLSV.EXE melalui dos agar fungsi printer dapat dijalankan kembali.
12. Update anti virus dan lakukan proses scanning. Bisa juga secara manual untuk menghapus file .scr yang tidak diperlukan terutama di direktori data.
Catatan:
Saya mencoba menggunakan Linux Live yang bisa dijalankan versi CD untuk mengganti file-file yang bersangkutan di windows tetapi tidak berhasil karena proteksi file system dan tidak diijinkan untuk akses ke root. Padahal dengan KDE atau Gnome yang seperti windows, saya kira tugas mengganti file dan menghapus file mudah menjadi mudah di linux. Ternyata sebaliknya, cukup sulit juga.
Berikut ini saya sertakan direktori fluburung yang berisi file-file diatas juga backup dari userinit dan spoolsv.exe. Silakan download sini : fluburung.zip
Sebenarnya pembuat virus dan pengembangnya bisa menambah tingkat kerumitan virus dengan memblokir fix.bat, fix.reg dan penggantian spoolsv.exe. Cara mudahnya dengan menempatkan terlebih dahulu beberapa file tersebut pada posisinya masing-masing, kemudian attributnya diganti menjadi hidden dan system. Orang awam akan sulit mengkopikan file-file diatas, tapi bagi yang tahu prinsip kerja virusnya saya kira tidak akan menjadi masalah untuk mengatasi virus ini.
Sekitar tanggal 7 dan 8 Desember 2006 Kaspersky memblokir lisensi bajakan sehingga para pengguna KIS (Kaspersky Internet Security) atau KAV (Kaspersky Anti Virus) bajakan tidak bisa lagi mengupdate antivirusnya. Menurut saya produk Kaspersky merupakan produk yang bagus dan tangguh dalam pendeteksian virus dengan catatan selalu terupdate setiap hari. Oleh karena itu kemungkinan tingkat korban virus akan semakin banyak pada masa status quo yaitu pada masa user mencari alternatif pengganti Kavpersky yang expired. Masa-masa ini bisa dimanfaatkan oleh penyebar virus untuk semakin giat melakukan penyebaran dengan berbagai cara. Hati-hati bila bertukar data dengan teman, ataupun membuka email yang tidak dikenal. Mencegah lebih baik daripada memperbaiki yang bisa menghabiskan waktu seharian.
Postingan
