Cara Menggunakan Hijackthis

5 Comments

Seperti yang telah disebutkan pada post saya sebelumnya mengenai “Mendeteksi svchost.exe palsu“, beberapa teman saya ternyata ada yang belum pernah menggunakan tool Hijackthis yang digunakan untuk menghapus svchost.exe yang palsu.

So we’ll learn about this (cara menggunakan Hijackthis) now….

What is Hijackthis?

Menurut Wikipedia¬†ternyata Hijackthis (HJT) adalah salah satu saudara jauh dari Kapten Jack Sparrow di Pirates of the Caribean 4, eh salah ding ūüėõ

HJT adalah salah satu freeware (software gratisan) yang dibuat oleh Merijn Bellekom dan kemudian dijual ke Trend Micro, kerennya tool ini tidak tergantung pada suatu database untuk mencari suatu malware tetapi tool ini menampilkan semua program yang dijalankan oleh OS Windows yang sedang bekerja. Setelah itu ketika kita sudah mendapatkan daftar program yang dijalankan OS Windows, kita tinggal mematikan program atau file tersembunyi yang di jalankan tanpa kita ketahui. Tetapi berhati hati untuk tidak mematikan semua fitur dari program Windows, walaupun ada backup setiap menjalankan scanningnya.

Berikut panduan menggunakan HJT:

1. Jalankan HJT, double klik saja

Pilih “Do a system scan and save a logfile“, ketika proses scanning kadang muncul sebuah peringatan “For some reason your system denied write access to the Hosts file…..” hal ini normal kalau kita tidak¬†menjalankan HJT ¬†dalam kondisi Administrator. Pada Windows 7 cara menjalankan HJT dalam kondisi Administrator adalah dengan melakukan klik kanan pada HJT kemudian pilih “Run as Administrator

Pastikan HJT selalu bekerja dalam kondisi Administrator. Biarkan setting-an pada Config seperti apa adanya, kecuali jika ingin melakukan perubahan yang memang dimengerti dan diperlukan.

Kemudian setelah proses scanning selesai akan muncul jendela hasil scan dan hasil log (hijackthis.log) seperti gambar berikut:

Pada jendela hasil scanning (yang pertama/atas) didapatkan hasil dengan awalan seperti R1, R0, 02, 03 dsb. untuk mengerti lebih jelasnya apa arti masing-masing awalan tersebut dapat dilihat disini atau bisa di-googling satu persatu.

2. Copy-Paste hasil hijackthis.log

Karena untuk mempelajari dan mengerti apa saja arti dari hasil scanning HJT membutuhkan waktu yang cukup banyak sedangkan kita lebih suka yang instan ūüėÄ maka sebaiknya kita copy-paste saja hasil hijackthis.log ke website berikut ini:

a. http://www.hijackthis.de,  atau

b. http://hjt.networktechs.com/

Contohnya:

Pada kolom kind dan visitor assessment seperti pada gambar diatas didapatkan hasil berupa tanda centang dan tulisan very safe, safe, neutral, nasty dan unknown. jika hasil yang didapatkan adalah unknown sebaiknya di cari terlebih dahulu di googling untuk memastikannya, sedangkan jika hasilnya nasty juga perlu dilihat apakah memang benar program tersebut benar-benar berbahaya, sebaiknya di googling saja.

Contoh hasil yang mencurigakan:

3. Fix Checked

Ketika diketahui hasil HJT yang mencurigakan dan sudah dipastikan di google bahwa memang berbahaya (malware) maka langkah berikutnya adalah melakukan pembersihan. caranya adalah dengan memilih program yang diindikasikan berbahaya pada jendela HJT, beri tanda centang disebelah kirinya, setelah itu klik Fix Checked (kalau muncul peringatan itu normal, klik “yes” saja).

Selesai? segera reboot komputer dan lakukan langkah-langkah seperti diatas lagi jika program yang berbahaya (malware) masih ada lalu ¬†pada Menu Utama HJT pilih “Open the Misc Tools Section” seperti gambar dibawah ini:

Pada gambar diatas dapat dilihat beberapa tools seperti:

a. Open process manager, berfungsi seperti task manager pada Windows.

b. Open hosts file manager, dilakukan ketika HJT tidak dapat melakukan menghapus isi file       C:WindowsSystem32driversetchosts (buka dengan notepad lalu hapus IP address yang muncul di HJT).

c. Delete a file on reboot, jika ada program yang tidak dapat dihapus dari memory lakukan hal ini untuk mencegah program tersebut dijalankan Windows pada saat startup (setelah direstart). Caranya tinggal pilih saja program berbahaya (malware) yang dicurigai.

d. Delete an NT service, dilakukan ketika ada program dengan awalan 023 pada hasil scanning HJT yang akan dihapus (hal ini karena 023 adalah Windows NT Service sehingga menghapusnya perlu cara tersendiri).

e. Open ADS Spy, Alternate Data Streams (ADS) adalah informasi metadata yang tersembunyi dari suatu program. ketika suatu program dimasukkan kedalam ADS maka tidak akan tampil di process explorer Windows, bahkan ukurannya saja tidak.  beberapa malware terbaru menggunakan ADS untuk menyembunyikan data programnya.

Cara menggunakannya tinggal jalankan Open ADS Spy, Scan, kemudian jika ditemukan sesuatu pastikan terlebih dahulu apakah program tersebut termasuk berbahaya (malware) baru bisa dipilih dan klik “Remove Selected”

f. Open uninstall manager, fungsinya sama seperti Add/Remove Programs Windows.

Untuk menghapus suatu malware (virus, spyware, botnet, trojan dsb) HJT hanyalah sebagian dari tools yang digunakan, masih ada tools lain seperti Combofix, Fix Registry, CCleaner, LSP Fix dan banyak lagi. biasanya kombinasi dari tools tersebut diperlukan untuk menghapus suatu malware. untuk petunjuk lebih lengkapnya bisa dibaca di forum terbesar di Indonesia (Kaskus), tepatnya disini, jangan lupa untuk mendaftar terlebih dahulu ūüôā

Semoga bermanfaat,

iKONs