henrywae's weblog bekerja..belajar..berkarya..berjuang

9Sep/101

Virus, Firefox, IE, Chrome & searchingandclick58.com

Cukup jengkel ketika kemarin mencoba searching menggunakan Google, result link teratas selalu merujuk ke

http://google.com/goto?id=blablabla&PHPSESSID=blablabla&q=kata+kunci&domen=searchingandclick58.com

Tiap kali diklik, halaman selalu diredirect ke website lain selain hasil result. Dan redirect ini selalu dirandom. Parahnya lagi, kadang diredirect ke website dengan konten porno.

Iseng-iseng kucoba menggunakan search engine lain. Kucoba menggunakan Yahoo Search dan Bing. Ternyata sama saja.

Sempat berpikir pasti browsernya error atau kena virus. Kucoba install ulang browser, ternyata hasilnya sama saja.

Kucoba lagi menggunakan browser lain. Google Chrome dan Internet Explorer tetap menunjukkan hasil yang sama. Hanya Opera yang tidak ada masalah.

Berikut ini beberapa screenshot kekacauan itu (perhatikan tanda warna merah):


Namun tidak ada masalah ketika alamat dotcom diganti dengan alamat lain, semisal dot co dot id:

Kucoba sharing sama temen-temen di kaskus. Ada yang mengusulkan untuk mencoba capture proses menggunakan HijackThis. Setelah mencoba HijackThis dan menyimpan log, kecurigaanku ada di C:WINDOWS\\system32\\browseui.dll

Setelah mencoba replace brwseui.dll, ternyata berhasil. Tapi tidak lama kemudian terjadi masalah lagi :(. Berarti inti permasalahan bukan di file dll ini.

Setelah mencoba browsing kesana kemari, searching kesana kemari, akhirnya ada pencerahan tentang file hosts yang ada di folder C:\\Windows\\System32\\drivers\\etc. Intinya, file hosts ini berisi mapping dari IP Address ke Host Name.

Setelah kubuka, ternyata isinya sudah bertambah. Cek berikut ini:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
212.95.49.48 www.google.com
212.95.49.48 us.search.yahoo.com
212.95.49.48 uk.search.yahoo.com
212.95.49.48 search.yahoo.com
212.95.49.48 www.google.com.br
212.95.49.48 www.google.it
212.95.49.48 www.google.es
212.95.49.48 www.google.co.jp
212.95.49.48 www.google.com.mx
212.95.49.48 www.google.ca
212.95.49.48 www.google.com.au
212.95.49.48 www.google.nl
212.95.49.48 www.google.co.za
212.95.49.48 www.google.be
212.95.49.48 www.google.gr
212.95.49.48 www.google.at
212.95.49.48 www.google.se
212.95.49.48 www.google.ch
212.95.49.48 www.google.pt
212.95.49.48 www.google.dk
212.95.49.48 www.google.fi
212.95.49.48 www.google.ie
212.95.49.48 www.google.no
212.95.49.48 www.google.de
212.95.49.48 www.google.fr
212.95.49.48 www.google.co.uk
212.95.49.48 www.bing.com

Aslinya, isi dari file tersebut hanya sampai localhost saja. Dari situ dapat disimpulkan, baik google, yahoo, bing semua mengarah ke 1 IP Address yang sama yaitu 212.95.49.48. Jadi benar saja, karena google.co.id tidak dicantumkan di file hosts, ketika pencarian diganti ke google.co.id tidak menunjukkan kekacauan.

Well, setelah menghapus beberapa line di file hosts, sampai saat ini tidak ada lagi masalah dengan search engine. Problem Solved :D.

Tags: firefox kena virusfirefox selalu redirectvirus IEXPLORER