Billing Explorer ada virus?Jika Anda menggunakan software Billing Explorer untuk warnet Anda, pasti Anda pernah mengalami kejadian yang saya alami ini.
Kejadian berawal pada saat warnet tempat saya bekerja sedang sepi. Pada sebuah komputer kosong (Pada saat itu adalah Client No 5) terjadi suatu keanehan. Komputer yang sedang dalam keadaan idle tiba-tiba mempunyai aktivitas jaringan (LAN) yang melebihi batas normal. Lampu indikator LAN berkedip sangat cepat. Dan seketika komputer yang sedang idle tersebut menjadi lambat, dan karena komputer tersebut mempunyai aktivitas LAN internet yang sangat tinggi, maka koneksi internet di warnet saya menjadi terganggu, bahkan internet sempat terputus beberapa kali.
Curiga akan adanya virus, saya langsung scan komputer no 5 tersebut. Hasil antivirus menunjukkan bahwa komputer tersebut terkena virus trojan downloader tertentu, dan tidak tanggung-tanggung, jumlah virus yang ditemukan berjumlah lebih dari 20 virus dengan jenis dan nama yang berbeda-beda. Saya sempat bingung karena meskipun antivirus sudah menemukan virus di komputer tersebut, antivirus tersebut tidak dapat menghapus / membersihkan virus tersebut. Pada saat akan dihapus / didelete, selalu muncul Access Denied!, Failed!, atau pesan Gagal Lainnya. Dengan begitu maka aktivitas virus semakin menjadi-jadi. Dan jaringan internet di warnet saya pun semakin lambat dan lumpuh. Maka tidak ada jalan lain selain saya cabut Kabel LAN yang menancap pada komputer yang terinfeksi tersebut.
Kemudian koneksi internet pun berangsur-angsur kembali normal. Lalu saya berpikir, "Apa yang harus saya lakukan terhadap komputer yang rusak ini?". Dengan keadaan yang terserang virus dan tidak dapat dibersihkan, maka jalan satu-satunya adalah dengan cara install ulang. Akhirnya terpaksa saya install ulang komputer tersebut dan saya install aplikasi-aplikasi yang dibutuhkan untuk internet dan juga tidak lupa Billing Explorernya. Setelah proses instal ulang dan installasi software-software pendukung lainnya, komputer tampak berjalan normal, setidaknya untuk satu hari ini.
Keesokan harinya kejadian yang sama terulang lagi. Malahan tidak tanggung-tanggung, hampir semua komputer yang dalam keadaan idle mempunyai aktivitas LAN yang sangat tinggi. Sehingga koneksi internet di warnet nyaris lumpuh total. Saya sangat bingung saat itu. Saya berpikir apakah virus yang kemarin memang sudah menyebar lewat jaringan? Tapi kemungkinan tersebut sangat kecil. Karena di setiap komputer sudah terpasang DeepFreeze 6 yang masih dalam keadaan aktif (Freeze). Bagaimana mungkin virus tersebut dapat menembus Deep Freeze? Akhirnya tidak ada jalan lain selain menginstall ulang komputer-komputer yang bermasalah tersebut.
Tiga hari setelah install ulang selesai semua, kejadian tersebut terulang lagi. Saya sempat stress karena hal ini. Apa yang salah ya? Darimana datangnya virus itu ya? Padahal komputer sudah ada Deep Freeze semua. Lalu darimana datangnya virus kalau Deep Freeze dalam keadaan aktif. Lalu saya punya ide, bagaimana kalau ternyata virus tersebut masuk dari instalasi software setelah komputer diinstall ulang? Dengan kata lain mungkin ada dari salah satu installer tersebut yang terinfeksi oleh virus.
Kemudian saya mulai bekerja lagi. Saya install ulang satu komputer, dan dalam keadaan windows yang masih fresh dan bersih setelah install ulang, saya langsung install antivirus (saya install Kaspersky yang trial 30 hari). Seketika itu juga saya langsung update KAV nya. Setelah update selesai dan saya scan windowsnya, Kaspersky tidak menemukan virus apapun. Lalu dalam keadaan Kaspersky yang aktif, saya mulai install aplikasi-aplikasi pendukung seperti Office, Mozilla, Opera, dan aplikasi internet lainnya. Pada saat proses instalasi, Kaspersky tidak menunjukkan adanya virus yang masuk pada saat itu.
Sampai akhirnya pada saat proses installasi Billing Explorer untuk Client, tiba-tiba Kaspersky memberi tahu bahwa virus muncul pada saat saya menginstall billing tersebut. Tidak tanggung-tanggung, seketika Kaspersky mendeteksi ada sekitar 20 buah virus yang masuk pada Billing Explorer. Berikut ini adalah virus-virus yang terdeteksi :
* C:\Windows\cdr32lib.sys
* C:\Windows\drvlib.pms
* C:\Windows\mdaprg.rpc
* C:\Windows\msgrpw.exe
* C:\Windows\mscompz.exe
* C:\Windows\mshexdec.sys
* C:\Windows\mswind32.sys
* C:\Windows\pro2mg.sys
* C:\Windows\pwrszr.exe
* C:\Windows\pwsproxy.exe
* C:\Windows\nccprt.exe
* C:\Windows\sqlwpro.exe
* C:\Windows\syswin32.exe
* C:\Windows\winlib32dll.exe
* C:\Windows\winmsdll.exe
* C:\Windows\winsys.arp
* C:\Windows\zndll.exe
Maaf saya tidak memberikan deskripsi nama-nama virus tersebut masing-masing saat ini. Jika nanti ada keterangan lebih lanjut, maka akan saya tambahkan nama-nama virus tersebut. Tetapi dari yang kita lihat, tampaknya virus-virus tersebut bukan virus biasa yang hanya berupa file .exe atau .scr. Virus tersebut tampak canggih, mereka meregister dll file mereka ke Windows dan bahkan ada yang menyamar menjadi driver. Inilah yang mengakibatkan sulitnya untuk menghapus virus tersebut jika sudah terlanjur masuk kedalam windows.
Nah, dengan begitu saya tahu penyebab dan darimana virus ini datang. Ternyata virus tersebut masuk dari installer Billing Explorer yang sudah terinfeksi virus, atau memang pada awalnya Billing Explorer dibonusi oleh virus. Kemudian saya mulai menyelidiki file installer pada Billing Explorer. Dalam folder installasi tersebut terdapat file-file yang mirip dengan file yang dideteksi sebagai virus tersebut. Misalnya saja file 'mdaprg.prc' menjadi 'mda.pr_', atau 'mscompz.exe' menjadi 'mscompz.ex_', dan seterusnya.
Berarti kuncinya sudah kita dapatkan. Kita tinggal menghapus file-file virus tersebut yang terdapat pada folder installernya. Eits, namun ternyata tidak semudah yang Saya kira. Pada saat saya sudah menghapus file-file tersebut, ternyata installer billing explorer nya tidak dapat digunakan karena file yang akan diinstall hillang atau missing. Akhirnya seperti makan buah simalakama. Kalau diinstall kena virus, tapi kalau dihapus virusnya, billing tidak bisa diinstall. Bingung bukan? Akhirnya saya memutar otak untuk mencari solusinya, yaitu bagaimana caranya supaya saya bisa menginstall Billing tersebut tanpa harus terkena virus?
Lalu saya menemukan caranya. Yaitu dengan memanipulasi file-file virus tersebut tanpa harus menghapusnya dari folder installer. Manipulasi saya kerjakan dengan menggunakan software Hex Editor apa saja yang penting bisa memanipulasi file secara hexadecimal. Caranya adalah sebagai berikut, buka salah satu file virus tersebut pada Hex Editor, lalu rubah struktur semua struktur filenya menjadi 00 atau FF semua. Jadi meskipun file virus tersebut masih ada, namun tidak akan bisa berjalan karena struktur filenya sudah berubah total. Dengan begitu virus tidak akan dapat beraksi. Hehe... Betul kan?
Nah berikut ini adalah daftar file-file pada installer Billing Explorer yang "kelak" akan menjadi virus nantinya :
* cdr32lib.sy_
* drvlib.pm_
* mdaprg.rp_
* msgrpw.ex_
* mscompz.ex_
* mshexdec.sy_
* mswind32.sy_
* pro2mg.sy_
* pwrszr.ex_
* pwsproxy.ex_
* nccprt.ex_
* sqlwpro.ex_
* syswin32.ex_
* winlib32dll.ex_
* winmsdll.ex_
* winsys.ar_
* zndll.ex_
Rubahlah semua masing-masing struktur file tersebut menjadi 00 atau FF yang penting file tersebut sudah berubah isinya. Dengan begitu kita tetap bisa menginstall Billling Explorer tanpa harus terinfeksi oleh virus yang memakan jaringan dan menghancurkan system Windows.
Dan perlu diketahui bahwa virus tersebut ternyata berasal dari China, karena pada saat virus tersebut aktif, mereka akan mendownload dan mengunjungi situs-situs China dengan sendirinya.
Yang gw temukan dari referensi di atas bahwa kita tdk perlu memakai program winhex untk mengubah struktur file virus2 dari installer billing tersebut..cukup dgn menghapus nya dgn Anti Virus setelah installasi billing client selesai di lakukan.
Gw udh coba dgn menginstall terlebih dahulu KIV 2009 V.506..tentu nya sudah di update, setelah billing client selesai di install gw scan memakai antivirus (KIV 2009) dan di temukan virus2 sebagai berikut:
* C:\Windows\drvlib.pms
* C:\Windows\mdaprg.rpc
* C:\Windows\msgrpw.exe
* C:\Windows\mscompz.exe
* C:\Windows\mshexdec.sys
* C:\Windows\mswind32.sys
* C:\Windows\pro2mg.sys
* C:\Windows\pwrszr.exe
* C:\Windows\nccprt.exe
* C:\Windows\sqlwpro.exe
* C:\Windows\syswin32.exe
* C:\Windows\winlib32dll.exe
* C:\Windows\winmsdll.exe
* C:\Windows\winsys.arp
* C:\Windows\mshlpin.sys
* C:\Windows\svchost.exe
Sedangkan dari rerensi diatas di temukan virus2 sebagai berikut:
* C:\Windows\cdr32lib.sys
* C:\Windows\drvlib.pms
* C:\Windows\mdaprg.rpc
* C:\Windows\msgrpw.exe
* C:\Windows\mscompz.exe
* C:\Windows\mshexdec.sys
* C:\Windows\mswind32.sys
* C:\Windows\pro2mg.sys
* C:\Windows\pwrszr.exe
* C:\Windows\pwsproxy.exe
* C:\Windows\nccprt.exe
* C:\Windows\sqlwpro.exe
* C:\Windows\syswin32.exe
* C:\Windows\winlib32dll.exe
* C:\Windows\winmsdll.exe
* C:\Windows\winsys.arp
* C:\Windows\zndll.exe
dgn kata lain...KIV gw tdk menemukan virus yg ada di data list pada referensi di atas yaitu
* C:\Windows\cdr32lib.sys
* C:\Windows\pwsproxy.exe
* C:\Windows\zndll.exe
Sedangkan data list virus dari referensi di atas tdk ada menyebut kan virus berikut yg di temukan oleh KIV 2009
* C:\Windows\mshlpin.sys
* C:\Windows\svchost.exe
Jadi gw tinggal mendelete sisa2 virus yg tdk ditemukan oleh KIV 2009 gw yaitu:
* C:\Windows\cdr32lib.sys
* C:\Windows\pwsproxy.exe
* C:\Windows\zndll.exe
Dgn cara masuk ke Drive C >> Windows
Hapus ketiga virus tsb secara manual...setelah itu lakukan scan ulang biar komputer client kamu bisa lebih fresh lagi.
Semoga membantu
