Penghapusan Malware - Persiapan untuk Penghapusan
Malwares menempelkan dirinya ke program dan mengirimkannya ke program lain dengan memanfaatkan beberapa acara. Mereka membutuhkan peristiwa ini terjadi karena mereka tidak dapat memulai sendiri, mengirimkan sendiri dengan menggunakan file yang tidak dapat dijalankan dan menginfeksi jaringan atau komputer lain.
Untuk mempersiapkan fase penghapusan, pertama-tama kita harus memahami semua proses komputer mana yang digunakan oleh malware untuk membunuhnya. Port lalu lintas mana yang digunakan oleh mereka untuk memblokir mereka? File apa saja yang terkait dengan malwares ini, sehingga kami memiliki kesempatan untuk memperbaikinya atau menghapusnya. Semua ini termasuk sekumpulan alat yang akan membantu kami mengumpulkan informasi ini.
Proses Investigasi
Dari kesimpulan yang disebutkan di atas, kita harus tahu bahwa ketika beberapa proses atau layanan yang tidak biasa berjalan dengan sendirinya, kita harus menyelidiki lebih lanjut hubungannya dengan kemungkinan virus. Proses investigasi adalah sebagai berikut -
Untuk menyelidiki prosesnya, kita harus mulai dengan menggunakan alat-alat berikut -
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Itu Listdll.exe menunjukkan semua dll filesyang sedang digunakan. Itunetstat.exedengan variabelnya menunjukkan semua proses yang sedang dijalankan dengan port masing-masing. Contoh berikut menunjukkan, bagaimana sebuah prosesKaspersky Antivirusdipetakan ke perintah netstat-ano untuk melihat nomor proses. Untuk memeriksa nomor proses mana yang dimilikinya, kami akan menggunakan pengelola tugas.
Untuk Listdll.exe, kami telah mengunduhnya dari tautan berikut - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx dan kami dapat menjalankannya untuk memeriksa proses mana yang terhubung dengan DLL yang sedang digunakan.
Kami membuka CMD dan pergi ke jalur Listdll.exe seperti yang ditunjukkan pada tangkapan layar berikut, lalu jalankan.
Kami akan mendapatkan hasil seperti yang ditunjukkan pada tangkapan layar berikut.
Misalnya, PID 16320 sedang digunakan oleh dllhost.exe, yang memiliki deskripsi COM Surrogatedan di kiri. Itu telah menunjukkan semua DLL yang ditunjukkan oleh proses ini, yang dapat kita google dan periksa.
Sekarang kita akan menggunakan Fport, yang dapat diunduh dari tautan berikut - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# untuk memetakan layanan dan PID dengan port.
Alat lain untuk memantau layanan dan untuk melihat berapa banyak sumber daya yang mereka konsumsi disebut sebagai "Proses Explorer", yang dapat diunduh dari tautan berikut - https://download.sysinternals.com/files/ProcessExplorer.zip dan setelah mengunduhnya, Anda harus menjalankan file exe dan Anda akan melihat hasil sebagai berikut -