Memunculkan File Yang Disembunyikan Virus


Memunculkan File Yang Disembunyikan Virus

Artikel ini saya khususkan untuk menjawab beberapa pertanyaan yang masuk ke dalam MailBox saya yang berupa pertanyaan-pertanyaan berbeda namun beresensi kasus yang sama, yaitu Penyembunyian File oleh Virus, seperti : “Semua File saya tiba-tiba hilang begita saja, padahal saya atau siapapun juga tidak menghapusnya, bagaimana ini ya Mas?” atau “Mas, koq hampir semua file di FlashDisk saya hilang tanpa sebab ya? kira-kira dihapus viruskah? Bagaimana saya dapatkan file saya kembali?” atau yang lain: “Mas, bagaimana memunculkan kembali file yang dihapus Virus. Setres saya!, komputer saya datanya raib semua, sepertinya memang dimakan virus”, dsb. Daripada saya menjawab satu persatu pertanyaan tersebut, alangkah baiknya bila jawaban dari pertanyaan-pertanyaan di atas saya post saja ke artikel saya ini, sekaligus mungkin bisa bermanfaat bagi siapa saja yang belum tahu dan memerlukan tulisan ini.

Ada salah satu pola penyerangan Virus, misalnya Virus yang dibuat dengan Delphi yang ukuran induk virusnya cukup besar untuk ukuran sebuah Virus, uniknya, Induk Virus tersebut benar-benar memakan file-file si korban dengan cara menyembunyikannya ke dalam tubuhnya dan akan mengeluarkan file yang disembunyikan tersebut bila si korban mengeksekusi file tersebut (misal winword.exe). Saat dieksekusi dan dikeluarkan dari tubuh induk Virus itulah file tersebut terinfeksi, dimana Virus menginjeksinya dengan malicious script, sekaligus mengaktifkan script tersebut di komputer si korban.

Seringkali bisa kita temui pola serangan Malware semacam Virus adalah dengan pemalsuan Data/File Asli dengan Data/File Palsu, dimana Data/File asli dari korban sengaja disembunyikan dan diganti dengan Executable File yang ber-Icon menyerupai Icon data asli yang disembunyikan untuk mengelabuhi korban.

Sedangkan teknik penyembunyian File oleh Virus itu sendiri dilakukan dengan Mengganti File Attribute pada data/file yang akan disembunyikan, dimana Virus akan memberikan File Attribute baru, yaitu: hidden dan system plus modifikasi registry untuk mengganti default/current Folder Options Settings (baik bila Folder Options sengaja disembunyikan atau tidak oleh Virus).

SOLUSI:

:: OPSI 1 ::
Anda bisa gunakan “attrib.exe” melalui Windows DOS Mode:
(1)
Pada OS Windows, Masuk ke DOS Mode dengan klik “Run”, lalu, Ketik “cmd” (winXP) atau “command” (Win98), kemudian klik “OK”,
(2) Dengan asumsi Drive Letter dari Lokasi data-data yang disembunyikan pada Drive Anda misal Drive D:, maka pada DOS window Ketik “D:” lalu tekan [ENTER], kemudian Ketik: “attrib -r -h -s D:\*.* /s /d“ (tanpa tanda “), lalu tekan [ENTER].
Setelah itu, coba Anda cek data-data pada drive D: Anda, Insya Allah data yang disembunyikan Virus akan terlihat kembali.

:: OPSI 2 ::
Lakukan Pemulihan Folder Options Settings (Folder Options Recovery From Virus Attack) dengan me-recover Windows Registry Keys yang telah dirubah Virus . Untuk keperluan ini, saya telah membuatkan File Registry Entry (“Folder_Options_Recovery_-_Show_All_Files.reg“) yang bisa Anda Download dari 4Shared atau divShare, dan bisa diaplikasikan langsung ke Windows Registry Database dengan cara Klik Kanan File Registry Entry tersebut => lalu Klik “Merge” untuk memunculkan semua Data/File yang disembunyikan Virus.

Setelah Semua Data/File yang disembunyikan Virus dimuncukan kembali, kemudian Anda bisa gunakan third party Software seperti: Attribute Changer untuk mengubah kembali File Attributes (File Attribute Recovery) pada Data/File Yang disembunyikan Virus tersebut. Kenapa File Attributes perlu dirubah? Karena Walaupun semua Data/File yang disembunyikan Virus telah berhasil dimunculkan kembali, namun Data/File tersebut masih ber-file attribute hidden dan system; Dan bilamana System Files Anda sembunyikan kembali tanpa melakukan pengubahan File Attributes pada Non-System-Files, celakanya, Semua Data/File Anda tersembunyi lagi. Dan tentu saja untuk alasan keamanan, Anda tidak ingin semua System Files Anda juga ikut kelihatan, kan?

Untuk mengubah kembali File Attributes (File Attribute Recovery) pada Data/File Yang disembunyikan Virus, Klik kanan pada semua Data/File yang akan dirubah/di-recover file attributenya, lalu pilih “Change Attributes” dari Shell Context-Menu untuk membuka Attribute Changer window. Kemudian hilangkan tanda centang (unchecked) di dalam Check Box pada tulisan Hidden dan System, lalu Klik “Apply dan “OK” atau langsung saja Klik “OK”. Setelah itu, coba Anda cek data-data pada internal/external harddrive atau UFD (USB Flash Disk) Anda, Insya Allah Data/File yang disembunyikan Virus akan terlihat normal kembali; namun bila belum, coba Refresh Explorer Anda dengan cara Klik kanan Desktop/Explorer, lalu pilih dan klik “Refresh”. Menurut pengalaman Penulis, langkah ini tidak memerlukan Restart Windows.

Tool kecil ini sangat bermanfaat terutama apabila File Windows attrib.exe telah dirusak atau dihapus Virus.
Software gratis yang cara menjalankannya lewat Shell Context Menu (Menu Klik Kanan) ini sebenarnya memiliki tiga kemampuan untuk:
(a) Merubah File Attributes secara lebih mendetail/komplet,
(b) Modifikasi Date/Time (Created/Accessed/Modified) File yang sudah dibuat sebelumnya. Hmm..tool kecil ini ternyata bisa digunakan untuk manipulasi Entry Data di komputer kantor atau di komputer Dosen:mrgreen: Jangan deh ya! (lanjut..)
(c) Mengubah Kompresi NTFS

Attribute-Changer.jpg

Sebelum menggunakan attrib.exe ataupun melakukan Folder Options Reccovery ataupun melakukan Instalasi dan Pemakaian Attribute Changer, pastikan Virus di komputer yang terinfeksi dibasmi/dimatikan terlebih dahulu dengan AntiVirus yang bisa diandalkan dengan Virus Database yang ter-up-to-date. Biasanya sudah cukup hanya dengan mematikan File Induk Virus-nya saja, anak-anak-nya Virus biarkan saja hidup jadi anak Yatim-Piatu (status: Orphan)😀 . Bila Virus masih hidup/aktif di memory komputer, Virus akan menyembunyikan kembali File-File yang disembunyikan Virus dengan mengubah kembali File Attributes dari File-File tersebut ke “hidden” dan “system” baik segera setelah File Attributes kita ubah ataupun setelah Restart Windows; jadi akan sia-sia upaya kita mengembalikan File Attributes-nya.

Related and Supported Topic:
Folder Options Recovery From Virus Attack

Semoga Bermanfaat
Salam

14 Responses

  1. Terima kasih atas trik-nya, sangat berguna.

    Henry said :
    Terima Kasih kembali.

  2. Dear Mas Henry,
    Saya ingin menyampaikan terima kasih atas responnya, USB saya sekarang sudah pulih. Untuk menambah pengetahuan saya, saat mendownload Attribute Changer, saya melihat ada beragam ukuran file. Malah ada pula Attribute Changer Beta di sana. Karena tidak begitu paham, saya sembarang memilih di antara berbagai ukuran tersebut.
    Mungkin Mas Henry berkenan menjelaskan apa pedoman memilih jika terdapat beragam ukuran dan apa pula ACBeta tersebut?
    Demikian, atas perhatiannya disampaikan terima kasih.

    Henry said :
    Setahu saya Attribute Changer berlisensi Freeware, dan istilah BETA selalu merujuk pada masa pengembangan (developing), jadi versi yang terbaru dan terakhir, namun belum berada pada tahap Final, dan belum bisa disebut versi rilis yang stabil (stable version).
    Anda sebaiknya hanya mengandalkan versi rilis terakhir yang telah Final dan Stabil, namun Anda juga bisa mencoba versi sesudahnya (versi yang terbaru dan terakhir, versi BETA, versi yang belum stabil dan masih dalam masa pengembangan).

  3. Anu Mas klo D My Documents gmana mas berarti D nya di ganti C gitu, mohon pencerahannya.

    Henry said :
    Intinya Huruf Label tersebut merujuk pada File Path/Location atau Lokasi tempat keberadaan File.
    Misalnya lokasi Default My Documents yakni, misalnya: C:\Documents and Settings\NamaUser\My Documents telah Anda ubah ke Drive D: menjadi D:\Dokumenku, maka perintah/Command Line DOS Attrib.exe harap disesuaikan agar tidak salah target.
    Yang paling mudah, Anda ketik saja Drive Labelnya, misalnya Root: C:\ atau D:\ , jadi seluruh data di dalamnya Anda munculkan semuanya dengan mengubah/modifikasi ekstensinya (for emergency purpose only).

  4. data kami tlah kembali.
    trima kasih dari kami se-kantor.

    Henry said :
    Terima Kasih kembali.
    Syukurlah bila data-data Anda yang disembunyikan virus bisa Anda dapatkan (munculkan) kembali.

  5. Assalamu’alaikum

    Salam kenal mas,,langsung ke intinya mas,,gini,wktu menjalankan attrib -r -h -s F:\*.* /s /d terus muncul File not found – F:\*.*
    Kalo kayak gitu,apa usb saya sudah parah mas(terkena virusnya)?ato ada jalan keluar yang lain?
    Terima kasih atas jawabannya.

    Wassalam,,

    Henry said :
    Salam Kenal juga, Pak!
    Bila Anda sudah memastikan Drive Letter UFD (USB Flash Drive Anda) adalah Drive, F, maka target drive Anda sudah benar, dan command line yang Anda tuliskan telah benar, maka bila begitu, masalah terletak pada UFD Anda. Kemungkinan besar bila memang UFD Anda tidak bisa diakses setelah terkena serangan Virus, maka jelas bahwa Virus telah merusak Partisi pada UFD Anda.
    Untuk mengembalikan (restorasi) partisi UFD Anda yang dihapus Virus agar UFD Anda bisa digunakan kembali, Anda bisa gunakan salah satu software Partition Recovery Tools yang bisa Anda cari di Internet dengan Google/Yahoo! Search Engine.
    Langkah tersebut bisa Anda tempuh dengan catatan UFD Anda tidak mengalami kerusakan secara fisik (phisically damage), karena kerusakan fisik semisal Bad Sector pada UFD Anda tidak bisa tertolong (diperbaiki) dengan Tool apapun. Tool apapun tidak bisa menghapus Bad Sector; Yang benar, yang bisa dilakukan Tool hanya mengunci dan mengkarantina Bad Sector pada partisi tersendiri agar tidak menghambat ataupun mematikan kinerja Drive, sehingga Drive bisa digunakan kembali dengan lancar.

  6. halo, salam kenal saya mau nanya komputer saya keserang virus yang mengubah semua file menjadi pemutar lagu (seperti winamp media file) dan juga menyerang sistemx windows sampai mau buka task manager yg keluar hanya notepad dan runx ga bisa di buka.. gimana cara mengembalikan datanya? saya mau nginstal windows pun yg ditampilin notepad.. apa saya harus memformatx? gimana cara memformatx? oya firusx membuat folder wma dengan nama virus perawan.bvs, bokep’z.vbs thanks..

  7. terima kasih banyak bos….sangat membantu

    thx

  8. thank’s
    ini sangat membantu sekali
    saya udah coba dan berhasil
    makasih ya mas
    hehehehehhe…………

    Henry said :
    Terima Kasih Kembali Bung Arvon!

  9. bila udah download dalam format winrar, tapi tidak bisa diekstrak/ dibuka krn ada passwordnya, jadi gimana ya bosss??? sebelumnya terima kasih untuk informasinya

    Henry said:
    Bila tanpa informasi password, tentu si File Uploader hanya memperuntukkan file yang ia upload for share untuk kalangan tertentu saja yang telah ia beri passwordnya. Basically, password is privately owned not publicly shared, right?

  10. keliatannya sangat berguna sekali nch tips munculin filenya. saya sudah sukup banyak dibuat pusing 7 keliling sbelumnya.
    many thanx …

    Henry said :
    Terima kasih Kembali, Bung Antonio!

  11. terima kasih untuk berbagi pengalamannya…

  12. makasih yah, om.
    HDD saya yang tadinya kena virus, sekarang semua filenya balik lagi.😀
    kalau ga ilang, bisa” saya nangis abis”an.😄

  13. mas henry… knp
    (“Folder_Options_Recovery_-_Show_All_Files.reg“)

    sudah tidak bisa d’download….???

    Henry said :
    Mohon MAAF, Program yang telah Penulis Upload tempo hari sempat dikarantina oleh 4Shared karena dianggap sebagai Malware (virus/trojan). Sekarang sudah Penulis akali dengan memproteksinya menggunakan password agar tak terjadi kesalahan pendeteksian (false alarm) dari 4Shared/Anti Virus manapun. Penulis telah Upload Ulang dengan Link (URL) Baru. Sekali lagi Mohon Maaf, Terima Kasih dan selamat menDownload!🙂
    ~Salam~

  14. asalamuallaikum..
    terima kasih ilmunya.

    Henry said :
    wassalamualaikum…
    terima kasih kembali🙂

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: