Thursday, August 19, 2010

Harddisk Tiba-tiba Penuh? Worm Mungkin Biang Keladinya.

Bahkan saya mengalami sendiri ketika memperbaiki komputer seorang klien. Harddisk secara janggal menjadi penuh!


Sore itu seorang klien langganan saya meminta saya segera datang ke tempatnya, karena komputernya berulah. Dia tidak bisa menyimpan file di harddisk.

Maka saya segera datang dan langsung memeriksa komputernya. Seperti biasa satu demi satu utiliti saya aktifkan guna mendukung pemeriksaan awal ini.

Dan memang harddisk tinggal tersisa kurang lebih 20 Mb dari 160 GB!

Saya tanyakan kepada si pengguna, apakah ada file besar yang baru-baru ini disimpan di harddisk? Dia jawab tidak ada, dan harddisk itu baru saja dibelinya beberapa bulan lalu dan sebelumnya masih tersisa banyak ruang kosong.

Oke, karena ini permasalahan harddisk space, langkah awal tentu saja memeriksa populasi penduduk di harddisk menggunakan Windirstat. Dengan Windirstat file-file yang bercokol di harddisk ditampilkan dalam bentuk grafis, sehingga terlihat siapa yang paling "gemuk" diantara file-file ini.

Gambar ilustrasi software Windirstat




Selidik punya selidik ternyata ada satu file janggal yang bernama winsta.exe. File ini berada di direktori c:\windows\system32\ dan berukuran > 5GB!

Tentu saja di Windirstat file berukuran besar ini terlihat dengan grafis kotak besar dominan

Karena sedikit banyak saya sudah hapal dengan karakteristik Windows XP, maka sudah jelas bagi saya file winsta.exe ini tidak diinginkan disini. Lagi pula dari sejarahnya tidak ada file Windows tunggal yang berukuran besar seperti ini, kecuali swap file (pagefile.sys) dan file hibernasi (hiberfil.sys). tapi itu pun disesuaikan dengan kebutuhan pengguna.

Maka jelas sudah permasalahan klien saya yang tidak bisa menyimpan file ini karena harddisk memang sudah bengkak bin penuh sehingga tidak bisa menyimpan lagi.

Winsta.exe ini menurut blog Technet Microsoft dikategorikan sebagai worm Stuxnet. Jadi semestinya anti virus yang terupdate bisa mendeteksi worm ini.

Baik, bagaimana cara mengatasi worm stuxnet ini?

1. Update anti virus anda, dan scan di safe mode. Syukur-syukur anti virus anda bisa mengenali dan membersihkan sistem.

2. Kembali ke booting normal dan lihat di direktori c:\windows\system32\ dan lihat apakah masih ada file winsta.exe yang bercokol. Bila masih ada, hapus secara manual (SHIFT+DELETE)

3. Cek entri startup dan proses yang berjalan di sistem dari kejanggalan-kejanggalan. Lihat entri terdahulu di blog ini yang berkaitan dengan cek entri startup, dan gunakan Procexp sebagai pengganti Task Manager bawaan Windows, karena Procexp lebih lengkap melihat proses yang berjalan di sistem

3. Bila sistem masih terjangkit worm Stuxnet, besar kemungkinan file winsta.exe ini datang lagi. Cara mencegah file winsta.exe datang lagi saya ada satu trik manjur:

- Buat file baru di c:\windows\system32\ bernama winsta.exe, dan ubah property nya menjadi READ ONLY

Namun trik diatas adalah trik terakhir bila worm masih membandel tidak dapat dihapus. Semestinya anti virus anda bisa mengatasi worm Stuxnet ini.

Dengan cara ini maka worm Stuxnet tidak akan bisa membuat file winsta.exe, karena; 1. Sudah ada file bernama winsta.exe (file kosong buatan kita), 2. File winsta.exe dummy kita ini punya atribut READ ONLY yang tidak dapat di-timpah (overwrite).

Demikian, semoga komputer anda sehat selalu :)
Posted by at
Labels: , , , ,

32 comments:

  1. Richie OctavianAugust 20, 2010 at 3:29 PM

    terima kasih, sebelumnya saya juga punya masalah yg sama di beberapa komputer. ternyata biang keladinya adalah winsta.exe :)

    thanks

    ReplyDelete
  2. Harddisk tiba tiba penuh.. ternyata masalah worm « Richie Octavian Web BlogAugust 20, 2010 at 3:54 PM

    [...] mempunya masalah sama dan solusi yg tepat.  usaha saya pun tidak sia sia. akhirnya saya menemukan tulisan di blog ini. ternyata ada salah satu worm yg membuat file dengan nama winsta.exe, dan ukuranyya pun bergiga [...]

    ReplyDelete
  3. esetiawanAugust 20, 2010 at 4:27 PM

    terima kasih kembali :)

    ReplyDelete
  4. maniseOctober 7, 2010 at 5:07 PM

    makasi mas atas pencerahannya....

    ReplyDelete
  5. esetiawanOctober 8, 2010 at 5:17 AM

    Terima kasih kembali.
    Terima kasih telah berkunjung ^^ v

    ReplyDelete
  6. faniNovember 11, 2010 at 7:38 AM

    thx bgt, tapi ternyata bukan winsta.exe tapi folder temp yang bikin full, sampe 9GB lagi (koq bisa ya?)

    ReplyDelete
  7. esetiawanNovember 11, 2010 at 11:11 PM

    Kalo temp folder full.. cek saja file apa yang paling besar di folder tersebut. Bisa jadi karena mbak/mas fani jarang bersih bersih file, makanya folder TEMP nya penuh hehe..
    pakai saja utiliti gratisan macam cleanUp! untuk membersihkan hardisk dari file-file sampah.
    Salam ^^

    ReplyDelete
  8. thomasNovember 20, 2010 at 12:43 PM

    Saya mempunyai masalah yang hampir sama. Tapi yang kena adalah Drive Data. C nya gak bermasalah, dan tidak ditemukan winsta.exe.

    Drive Data tiba2 penuh...saya kalkulasi ulang file2 saya dengan besar drive. sekitar 6GB hilang....sisa space sama yaitu 48.8MB.

    Ada saran mas ?

    ReplyDelete
  9. esetiawanNovember 21, 2010 at 3:20 AM

    Bagaimana kalau dilihat dulu menggunakan Windirstat untuk melihat secara visual file apa yang memakan tempat sekitar 6 GB tersebut. Dari situ baru ketahuan apakah dia virus atau hanya temporary files saja.
    Sekian ^^

    ReplyDelete
  10. izaMarch 21, 2011 at 11:15 AM

    thank mas.. hardisk ku juga tiba2 penuh. terlanjur tak format.. nih saya coba pake cara pencegahan diatas. semoga tidak terulang lagi..

    ReplyDelete
  11. esetiawanMarch 28, 2011 at 1:56 AM

    Oke bos!

    ReplyDelete
  12. esetiawanMay 1, 2011 at 4:46 PM

    TX

    ReplyDelete
  13. GojinMay 11, 2011 at 3:54 PM

    Saya jg pernah ngalami, tiba2 seluruh partisi di hardisk leptop saya penuh semua,
    stelah saya cek dgn windirstat ternyata di tiap partisinya ada unknown allocated space yg ukurannya sangat besar.
    Saya coba menghapus unkwon allocated space tsb menggunakan windirstat, tapi gak bisa, makin lama windows7 saya jadi bluescreen gak bisa masuk ke windowsnya.
    Akhirnya, saya instal ulang windows7 saya, dan hasilnya
    hardisk saya menjadi normal kembali, tapi anehnya seluruh file di tiap partisinya kembali seperti kondisi 3 bulan sebelumnya, apa mungkin itu efek dari rollback rx yg saya gunakan?

    ReplyDelete
  14. esetiawanMay 12, 2011 at 4:31 PM

    Unknown allocated space seharusnya tidak tampil di Windirstat, tapi harusnya tampil di Disk Management Windows, karena unknown allocated space artinya ada partisi kosong harddisk yang tidak dipakai.
    Kemungkinan karena harddisk bermasalah (bad sector) sehingga unknown allocated muncul di windirstat dan blue screen windowsnya.
    Saran saya coba cek harddisk dulu yhah ^^

    ReplyDelete
  15. esetiawanMay 12, 2011 at 4:32 PM

    Unknown allocated space seharusnya tidak tampil di Windirstat, tapi harusnya tampil di Disk Management Windows, karena unknown allocated space artinya ada partisi kosong harddisk yang tidak dipakai.
    Kemungkinan karena harddisk bermasalah (bad sector) sehingga unknown allocated muncul di windirstat dan blue screen windowsnya.
    Saran saya coba cek harddisk dulu yhah ^^ c

    ReplyDelete
  16. haji dan umrohSeptember 19, 2011 at 3:00 PM

    terima kasih, tapi saya pake win7 dan tidak menemukan file winsta.exe.. hmm.. harus cari cara lain nih... makasih...

    ReplyDelete
  17. esetiawanSeptember 20, 2011 at 3:01 PM

    monggo pake Windirstatnya. Nanti ketauan blok gambar yang paling besar. itulah yang makan harddisk :)

    ReplyDelete
  18. Bachtiar LazuardiSeptember 29, 2011 at 2:00 AM

    thx bung

    ReplyDelete
  19. Imam SaktiOctober 16, 2012 at 7:40 PM

    bung saya tidak menemukan winsta.exe di system32 dan saya scan juga gapapa, tpi C: nya tetep full dengan sendirinya

    ReplyDelete
  20. esetiawanOctober 20, 2012 at 11:19 PM

    COba cek pakai Windirstat dulu. Dan lihat blok gambar mana yang makan hardisk terbesar.

    ReplyDelete
  21. AnonymousMarch 3, 2013 at 11:29 PM

    halo gan,
    saya mau tanya,
    spesifikasi komputer saya adalah
    hardisk 750gb, Processor i5, dan ram 4gb,
    kenapa ya setiap beberapa menit liat di task manager hardisk selalu 100%?

    padahal hanya buka music & google ?
    thanks gan

    ReplyDelete
  22. AnonymousMay 15, 2013 at 12:31 PM

    hapus wmffont cache nya,

    ReplyDelete
  23. AnonymousAugust 22, 2013 at 2:56 PM

    kasih tau dong caranya gmn?

    ReplyDelete
  24. esetiawanAugust 27, 2013 at 4:17 AM

    Lho kan udah ada di artikelnya, gan :D

    ReplyDelete
  25. esetiawanNovember 25, 2013 at 5:32 PM

    thanks masbro

    ReplyDelete
  26. halis (@halisnoor)November 30, 2013 at 5:37 PM

    Setelah find and fix problem, drive D langsung penuh tiap kali klik D:\ is not accessible tapi system di C masih bisa jalan, terus kucoba lagi menggunakan Disk Management Windows, share folder dll lansung restart dan mati. pagi kucoba hidupin "Press any key or remove......."
    mohon bantuanya,
    Terimakasih

    ReplyDelete
  27. AnonymousFebruary 8, 2014 at 6:01 AM

    Thank you gan Tuh ane jadi tau yang namanya software Windistat ,, Alhamdulillah Drive D dan C ane jadi g penuh lagi ,, soalnya ane bisa tau tuh penyebabnya dimana :) mantep

    ReplyDelete
  28. esetiawanFebruary 11, 2014 at 6:38 PM

    mangstap gan bro...

    ReplyDelete
  29. AnonymousMarch 10, 2014 at 7:11 PM

    sy jg punya masalah yg sama local disk c sy penuh, setelah sy telusuri ternyata ada file yg bernama notepad.exe yg ukurannya hmpir 4 GB klo sy hapus apa tu tiadak akan menghilangkan aplikasi notepad yg ada ?

    ReplyDelete
  30. esetiawanMarch 11, 2014 at 7:01 PM

    Notepad asli lokasi filenya di:
    %windir%\system32\notepad.exe
    Selain di lokasi tersebut udah pasti itu adalah file jadi-jadian. Barangkali bisa dicoba dulu scan file notepad.exe dengan anti virus, mudah2an penyakitnya bisa hilang.

    ReplyDelete
  31. fazriMarch 20, 2014 at 2:04 AM

    mas mau nanya, hardisk saya yg local disc (d) nya penuh dengan sendirinya, saya cek peka winDirstat ternyata ada file yang memakan 13Gb hardisk saya, ingin saya hapus di winDirStat ternyata tidak bisa, tolong mas gimana ya cara mengahpusnya? sudah pernah saya format ternyta kembali lagi tolong dong....

    ReplyDelete
  32. esetiawanMarch 20, 2014 at 5:27 PM

    monggo kunjungi artikel yang satu ini gan: http://esetiawan.wordpress.com/2009/09/24/menghapus-file-yang-super-bandel-nggak-mau-dihapus/

    ReplyDelete

Subscribe to: Post Comments (Atom)