Hmmm.... bisa jadi itu komputer Anda terkena virus. Yups, Anda benar, Anda telah terkena virus Shorcut yang sedang musim saat ini.
Virus yang juga dikenal sebagai Worm:PIF/Starter.A oleh beberapa antivirus ini, menyebar di hampir seluruh folder dalam komputer, file-file itu seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki.
Virus ini bisa dikatakan tidak cukup berbahaya, tapi jelas saja, kehadirannya sangatlah mengganggu. Mungkin bagi sebagian orang, virus ini hanya akan membuat shortcut di masing-masing folder dalam komputer. Secara logika, sudah pasti masing-masing shortcut ini mempunyai ukuran kecil(sekitar beberapa kb saja), namun coba bayangkan bila dalam komputer Anda terdapat ribuan, bahkan jutaan folder, berapa kapasitas harddisk yang akan termakan olehnya;-)
Berikut ini saya cantumkan ciri-ciri serta langkah-langkah yang bisa Anda terapkan untuk menghapus virus ini
Ciri-ciri virus:
1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, ini adalah file induknya.
2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3. Membuat File Duplikat setiap folder dengan extensi .lnk
4. Mematikan fungsi dari file Registry dan juga menambah beberapa baris di registry
Langkah-langkah untuk menghapus virus ini:
1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2. Sebelumnya matikan dulu proses SYSTEM RESTORE.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendelete atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""
4. Delete file induknya yang ada di C:\Documents and Settings\
5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C:
kalau mau pindah drive tinggal diganti nama drivenya saja.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada "More advanced options", pastikan option "Search system folders" dan "Search hidden files and folders" keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya.
7. Langkah terakhir. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program "notepad" kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
NB: mengutip dari www.vaksin.com
No comments:
Post a Comment