in Komputer dan Internet, Publik, Uncategorized, Virus

Jadi tiba-tiba dua hari belakangan, Gmail-ku ngadat. Link tidak bisa diklik, email tidak bisa dibuka. Pakai browser Chrome atau Firefox sama saja. Email hanya bisa dibuka jika Gmail diakses dalam mode HTML. Tadinya kupikir masalahnya terletak di Google. Tapi kok googling tidak ada yang komplain masalah yang sama dalam tempo belakangan ini.

Kecurigaanku muncul ketika loading Gmail, tanpa sengaja aku melihat ada alamat website aneh di bagian bawah browser: jserrors.info. Setelah buka di developer tools > console, ternyata ada request javascript ke alamat itu. Kalau buka website lain, ada juga request ke alamat ibox.link. Yakin dah komputerku kena virus atau malware.

Googling-googling, aku menemukan sedikit petunjuk tentang website jserrors.info. Ternyata alamat itu digunakan oleh sebuah malware bernama Shell&ServicesEngine. Aku ingat beberapa hari lalu aku mengijinkan instalasi dari popup yang muncul di desktopku. Entah darimana asalnya. Mungkin sebenarnya ada di browser tapi karena munculnya di kanan bawah, kukira itu dari desktop. Aku mengijinkannya karena namanya hampir sama dengan software ClassicShell yang memang aku gunakan. ClassicShell adalah software kecil untuk mengubah tampilan Start Menu di Windows 10 yang menurutku jelek sekali.

Kecerobohanku tidak memeriksa secara teliti nama program yang meminta ijin install itu ternyata berbuah kerepotan semalaman ini, mencoba membasmi instalasi Shell&ServicesEngine dari komputerku. Yang bikin repot adalah karena instalasinya ternyata selalu kembali lagi setiap kali komputer direstart, meski sudah diuninstall pakai Revo Uninstaller sekalipun. Dihapus manual pun selalu sama, apalagi ada file yang tidak bisa dihapus dengan cara manual karena sedang berjalan sebagai services.

Tapi bukan Berlin namaku kalau tidak bisa membereskan masalah. Cari-cari petunjuk, akhirnya ketemulah biang keladinya. Di folder baru yang dibuat si Shell&ServicesEngine ada beberapa file, salah satunya WinDivert.sys. Ketika mau dihapus, muncul keterangan nama website pembuatnya. Di sana kutemukan bahwa WinDivert memang dibuat untuk re-inject paket yang sudah dihapus setiap kali komputer direstart. Untungnya di situ diterangkan pula cara mematikannya.

Jadi target kita adalah menghapus WinDivert.dll, WinDivert32.sys dan WinDivert64.sys supaya si Shell&ServicesEngine nggak balik lagi. Setelah itu kita bisa hapus seluruh folder Shell&ServicesEngine dan seluruh registry yang berkaitan dengannya. Caranya:

  1. Buka Command Promt dengan klik tombol Start, ketik cmd di kolom search, lalu ketika muncul cmd.exe di sebelahnya, klik kanan lalu klik Run as Administrator.
  2. Di jendela yang terbuka, ketik
    sc stop WinDivert1.1
  3. Bila gagal (failed), coba ubah jadi huruf kecil semua
    sc stop windivert1.1
  4. Bila ada konfirmasi bahwa service sudah dihentikan, ketik
    sc delete WinDivert1.1
  5. Bila gagal (failed), biarkan saja. Nanti kita hapus secara manual.
  6. Buka Windows Task Manager dengan cara tekan Ctrl+Shift+Esc secara bersamaan.
  7. Di jendela Task Manager yang baru terbuka, klik tab Performance, kemudian klik Open Resource Monitor pada bagian bawah jendela.
  8. Di jendela Resource Monitor yang baru terbuka, klik tab CPU, kemudan cari program bernama Shell&ServicesEngine, Shell&ServicesEngine_updater (kalau gak salah namanya itu) dan netman.exe. Masing-masing diklik kanan kemudian End Process Tree.
  9. Setelah semua proses itu mati, hapus secara manual file WinDivert32.sys atau WinDivert64.sys kalau Anda pakai Windows versi 64 bit, kemudian hapus folder Shell&ServicesEngine di C:\Windows dan atau di C:\Program Files.
  10. Buka registry editor dengan cara klik Start Menu, ketik regedit di kotak search, tekan enter untuk menjalankan regedit.exe.
  11. Di jendela Registry Editor, tekan Ctrl+F untuk membuka jendela pencarian, ketik Shell&ServicesEngine kemudian Enter. Semua registry yang mengandung keyword itu harus dihapus. Tekan tombol F3 untuk melanjutkan pencarian setelah menghapus, teruskan menghapus sampai tidak ada lagi registry yang mengandung keyword Shell&ServicesEngine.
  12. Restart komputer.

So far, folder Shell&ServicesEngine tidak muncul lagi di C:\Windows dan atau di C:\Program Files setelah komputer direstart. Di Revo Uninstaller juga sudah tidak muncul lagi. Semoga sudah beres beneran.

Update: bad news. Malwarenya kembali lagi. Coba pakai WindowExeAllKiller sama arahin jserrors.info ke 127.0.0.1 di file hosts. So far so good. Tapi blom nemu caranya basmi itu inject ke jserrors.info. Dari jendela console Chrome, sepertinya itu jalur yang dipake buat download instalasi Shell&ServicesEngine.

Update2: coba buka console window halaman gmail di incognito mode di Chrome kok request ke jserrors.info tidak muncul. Di mode normal Firefox juga tidak muncul. Berarti biang keladinya kemungkinan salah satu ekstensi Chrome yang hanya berfungsi di mode normal. Karena tidak begitu banyak dan sebagian besar memang sudah lama tidak kupakai lagi, sekalian bersih-bersih lah. Menyisakan beberapa ekstensi wajib seperti LastPass, AdBlock Plus, IDM Intergration Module dan XMarks Bookmark Manager. Coba buka Gmail lagi, kok masih ada request ke jserrors.info. Lalu coba full refresh halaman dengan menekan Shift+Reload, ternyata sudah clean. Tidak ada lagi request ke jserrors.info. Semoga ini menandakan tidak ada lagi file Shell&ServicesEngine yang didownload dan diinstall secara diam-diam.

Update3: si Shell&ServicesEngine balik lagi. Sempat lihat folder ShellUninst (apa ShellInst ya? lupa) di folder Program Files tapi blom sampai didelete udah ilang duluan trus browser mati. Seperti dugaan, di folder C:\Windows sudah ada lagi folder Shell&ServicesEngine. Akhirnya dengan terpaksa jalanin WindowExeAllKiller lagi trus menyisir registry satu per satu dengan keyword pencarian shell&services. Ada banyak banget, semua di delete. Restart komputer, belum ada tanda-tanda Shell&ServicesEngine kembali lagi. Semoga tidak. Oh ya, WindowExeAllKiler diset supaya jalan setiap komputer dinyalakan. Biar aman.

Update4: si Shell&ServicesEngine sudah gak balik lagi. Langkah-langkah di atas sudah saya update. Silakan dicoba, tanyakan bila ada yang belum jelas. Semoga saya bisa membantu.

Leave a Reply