Detect dan Remove Rootkit : GMER

Yakinkah anda bahwa komputer anda telah bersih dari rootkit dan malware? … Malware merupakan sebuah program yang bertujuan mencari kelemahan software sementara rootkit bertugas menghapus jejak penyerangan, seperti menghapus log dan menyembunyikan proses malware itu sendiri, menganalisis proses-proses yang sedang berjalan. Jika rootkit mencurigai suatu proses sebagai tindak tanduk antivirus ia mampu menyembunyikan diri, dan ketika proses itu selesai, ia aktif kembali. Selanjutnya tugas malware-lah yang akan menonaktifkan proses antivirus tersebut…  Terkadang rootkit ini sering merubah bagian dari sistem operasi dan juga menginstall dirinya sendiri sebagai driver atau modul kernel.

Contoh kasus, pada sebuah komputer terinstal antivirus Avira yang meskipun selalu terkoneksi dengan internet namun tidak dapat melakukan update dengan status guard “unknown”, gambar payung di taskbar yang menjadi simbol avira selalu dalam keadaan tidak aktif.. kecepatan internetpun sangat lambat, dari kondisi itu tentunya dapat dipastikan bahwa “ada yang salah” pada komputer ini. Ketika discan dengan Norman malware cleaner ditemukan banyak virus dan malware namun setelah di restart usai pembersihan dan instal ulang antivirus avira, keadaan tetap tidak berubah. antivirus cap payung ini tetap tak bisa update, setelah restart berikutnya avira kembali berstatus unknow.

Apa yang tertinggal pada proses pembersihan tersebut? …. rootkit!! tentu saja, rootkit mencurigai suatu proses sebagai tindak tanduk antivirus ia mampu menyembunyikan diri, dan ketika proses itu selesai, ia aktif kembali..

Lalu, bagaimana mendeteksi dan menghapus rootkit itu sendiri?…. Ada sebuah aplikasi kecil yang berkemampuan besar untuk melakukan hal diatas… GMER… salah satu yang terbaik dalam mencari rootkit tersembunyi.

GMER mampu melakukan scaning untuk :

• hidden processes
• hidden threads
• hidden modules
• hidden services
• hidden files
• hidden Alternate Data Streams
• hidden registry keys
• drivers hooking SSDT
• drivers hooking IDT
• drivers hooking IRP calls
• inline hooks

Download GMER disini, aplikasi ini telah suport untuk Windows NT/W2K/XP/VISTA

Kembali pada contoh kasus diatas, untuk mendeteksi dan menghapus rootkit yang melindungi proses malware tersebut, setelah anda download aplikasi GMER tadi, jalankan dan jika ditemukan rootkit maka akan ada peringatan dan pada proses akan ditandai dengan tulisan berwarna merah. klik kanan pada tulisan berwarna merah, Hapus/delete  jika terdapat aplikasi berekstensi .exe dan jika terdapat service anda bisa lakukan : klik kanan service, pilih “disable the service”, restart komputer anda, jalankan lagi GMER dan pilih “delete the service”. Selanjutnya, klik expand di sebelah tab malware/rootkit maka akan terlihat banyak menu, pada tab proses… pilih kill proses yang curigai/text berwarna merah.

Pada kasus saya, yang dihadapi adalah proses malware bernama conime.exe… Setelah proses detect dan remove rootkit mengunakan GMER diatas, gunakan SMADAV (versi terbaru) untuk membersihkan registry. Pembersihan ini akan berhasil karena proses rootkit sudah dilumpuhkan sehingga ia tidak bisa menyembunyikan diri lagi ketika antivirus bekerja. Langkah terakhir, klik start pilih Run (Win+R) lalu ketikkan %windir%/system32 cari dan hapus manual conime.exe lalu instal ulang antivirus avira kemudian lakukan restart.  Avira akan bisa update dan icon payung pada taskbar akan terbuka pertanda status guard “active”… Selesai.

=================== GMER merupakan salah satu aplikasi gratis yang terbaik dalam mencari rootkit tersembunyi, berukuran kecil dan bersifat portable. Bahkan AVAST dari ALWIL Software menggunakan teknologi anti rootkit dari GMER ini… Silahkan mencoba sendiri, and happy rootkit hunting.. goodluck, semoga bermanfaat….

Salam….