Mungkin banyak rekan-rekan yang
bertanya, bagaimana menghapus virus yang menyebabkan komputer kebanjiran
shortcut, di flash disk dan di drive Windows.
Oleh Norman Virus Control virus ini dideteksi sebagai Worm:PIF/Starter.A. Yang mana mempunyai ciri-ciri sebagai berikut:
Oleh Norman Virus Control virus ini dideteksi sebagai Worm:PIF/Starter.A. Yang mana mempunyai ciri-ciri sebagai berikut:
Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah merupakan file induknya.
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap folder dan USB Flash disk sampai pada Sub Folder yang ke-2.
Membuat file duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\WINDOWS ada banyak maka hanya akan di ambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2.
Mematikan funsi dari file registry:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000001
Menambahkan Value di registry :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Explorer”=”Wscript.exe //e:VBScript \”C:\Documents and Settings\Administrator\My Documents\database.mdb\””
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“WinUpdate”=”Wscript.exe //e:VBScript \”C:\WINDOWS\Microsoft Office Update for Windows XP.sys\””
Untuk script yang terakhir mungkin sekali ini hanya untuk mengecoh saja, tetapi dalam prakteknya kita harus mendeletnya. Jika pada saat kita LogOn, maka akan didapat message error.
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap folder dan USB Flash disk sampai pada Sub Folder yang ke-2.
Membuat file duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\WINDOWS ada banyak maka hanya akan di ambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2.
Mematikan funsi dari file registry:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000001
Menambahkan Value di registry :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Explorer”=”Wscript.exe //e:VBScript \”C:\Documents and Settings\Administrator\My Documents\database.mdb\””
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“WinUpdate”=”Wscript.exe //e:VBScript \”C:\WINDOWS\Microsoft Office Update for Windows XP.sys\””
Untuk script yang terakhir mungkin sekali ini hanya untuk mengecoh saja, tetapi dalam prakteknya kita harus mendeletnya. Jika pada saat kita LogOn, maka akan didapat message error.
Yang membuat kita geram adalah,
banyaknya shortcut-shortcut bertebaran yang di buat oleh virus tersebut.
Dan hebatnya lagi, virus tersebut kalau cara penanganannya kurang
tepat, maka akan kembali lagi dan lagi.
Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menjengkelkan ini:
Matikan proses dari file Wsript.exe ini
yang terletak di C:\WINDOWS\System32, dengan cara menggunakan tools
seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager.
Sebelumnya matikan dulu proses SYSTEM RESTORE.
Setelah dimatikan proses dari Wscript.exe tersebut, kita harus men-delet atau me-rename (untuk sementara) file tersebut agar tidak digunakan lagi oleh virus tersebut. Sebagai catatan, kalau kita me-rename file Wscript.exe, dengan otomatis oleh windows akan di copy kan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya. Biasanya ada di “C:\WINDOWS\$NtServicePackUninstall$; C:\WINDOWS\ServicePackFiles\i386“. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad. Virus ini berextensi .mdb yang berarti adalah Microsoft Access. Jadi Wsript.exe akan menjalankan file database.mdb seolah-olah dia adalah file VBS. (Virus pinter kan)
Delete file induknya yang berada di C:\Documents and Setting\<user name>\My Documents\database.mdb, agar setiap kali komputer dihidupkan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable juga perintah yang menjalankannya.
Sekarang kita akan men-delete file-file Autorun.inf, Microsoft.inf dan Thumb.db dengan cara, klik tombol Start Menu > Run, ketik cmd maka akan keluar jendela Command Prompt. Pindah ke drive yang akan dibersihkan, misalnya Drive C:\, maka yang harus kita lakukan adalah ketik “C:\del Microsoft.inf /s” tanpa tanda kutip. Perintah s disini adalah akan menghapus semua file Microsoft.inf di seluruh folder di Drive C:\, kalau mau pindah tinggal di ganti saja nama drivenya, contoh “D:\del Microsoft.inf /s“.
Untuk file Autorun.inf, ketik “C:\del Autorun.inf /s /ah /f ” tanpa tanda kutip. Syntax ( /ah /f ) disini digunakan karena file tersebut memakai atribute RSHA. Begitu juga untuk file Thumb.db lakukanlah hal yang sama pula.
Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search File dengan extensi *.lnk ukurannya 1 KB, pada “More Advanced Options” pastikan option “Search System Folder” dan”Search Hidden Files and Folders” keduanya telah di centang.
Harap berhati-hati, tidak semua file shortcut (*.lnk) yang berukuran 1 KB adalah virus, kita dapat membedakannya dari Icon, Size and Type. Untuk shortcut yang diciptakan virus, iconnya selalu menggunakan icon “folder”, ukuran 1 KB dengan type “Shortcut”. Sedangkan folder yang benar seharusnya tidak memiliki “size” dan typenya adalah “File Folder”.
Mudah-mudahan bisa membantu.
Sebelumnya matikan dulu proses SYSTEM RESTORE.
Setelah dimatikan proses dari Wscript.exe tersebut, kita harus men-delet atau me-rename (untuk sementara) file tersebut agar tidak digunakan lagi oleh virus tersebut. Sebagai catatan, kalau kita me-rename file Wscript.exe, dengan otomatis oleh windows akan di copy kan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya. Biasanya ada di “C:\WINDOWS\$NtServicePackUninstall$; C:\WINDOWS\ServicePackFiles\i386“. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad. Virus ini berextensi .mdb yang berarti adalah Microsoft Access. Jadi Wsript.exe akan menjalankan file database.mdb seolah-olah dia adalah file VBS. (Virus pinter kan)
Delete file induknya yang berada di C:\Documents and Setting\<user name>\My Documents\database.mdb, agar setiap kali komputer dihidupkan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable juga perintah yang menjalankannya.
Sekarang kita akan men-delete file-file Autorun.inf, Microsoft.inf dan Thumb.db dengan cara, klik tombol Start Menu > Run, ketik cmd maka akan keluar jendela Command Prompt. Pindah ke drive yang akan dibersihkan, misalnya Drive C:\, maka yang harus kita lakukan adalah ketik “C:\del Microsoft.inf /s” tanpa tanda kutip. Perintah s disini adalah akan menghapus semua file Microsoft.inf di seluruh folder di Drive C:\, kalau mau pindah tinggal di ganti saja nama drivenya, contoh “D:\del Microsoft.inf /s“.
Untuk file Autorun.inf, ketik “C:\del Autorun.inf /s /ah /f ” tanpa tanda kutip. Syntax ( /ah /f ) disini digunakan karena file tersebut memakai atribute RSHA. Begitu juga untuk file Thumb.db lakukanlah hal yang sama pula.
Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search File dengan extensi *.lnk ukurannya 1 KB, pada “More Advanced Options” pastikan option “Search System Folder” dan”Search Hidden Files and Folders” keduanya telah di centang.
Harap berhati-hati, tidak semua file shortcut (*.lnk) yang berukuran 1 KB adalah virus, kita dapat membedakannya dari Icon, Size and Type. Untuk shortcut yang diciptakan virus, iconnya selalu menggunakan icon “folder”, ukuran 1 KB dengan type “Shortcut”. Sedangkan folder yang benar seharusnya tidak memiliki “size” dan typenya adalah “File Folder”.
Mudah-mudahan bisa membantu.
