Rabu, 21 September 2011

Virus Shortcut - Cara Mengatasi Virus Shortcut

Menanggapi pertanyaan yang ada di Blogpintar, artikel ini menjelaskan langkah-langkah untuk mengatasi virus shortcut pada komputer Anda. Saya sendiri belum pernah terkena virus ini secara langsung, namun dari hasil browsing-browsing saya dapatkan beberapa informasi mengenai virus ini dan cara pencegahannya. Sumber yang menjadi rujukan saya adalah dari website vaksin.com.
Virus ini sebenarnya tidak terlalu berbahaya dan tidak merusak sistem, tetapi lumayan mengganggu karena dia membuat shortcut yang banyak pada file dan folder dikomputer, minimal 5 shorcut untuk satu file/folder. Untuk antivirus luar terkadang ada yang tidak mengenali virus ini, karena memang ini termasuk virus lokal. Makanya penanganannya dilakukan secara manual.
Ciri – Ciri Virus Shortcut tersebut adalah:
  • Pertama-tama, setelah menginfeksi komputer, dia akan membuat file induk database.mdb di My Documents
  • Yang kedua adalah virus tersebut akan membuat file autorun.inf di setiap drive harddisk, flash disk, dan folder tanpa kecuali
  • Yang ketiga adalah dia akan membuat file Thumb.db (hati-hati, perhatikan bahwa file ini tanpa huruf s sedangkan thumbnail cache yang asli di komputer memiliki tambahan huruf s alias thumbs.db) di setiap folder
  • Untuk memancing korban, dia akan membuat file Microsoft.lnk dan New Harry Potter and….lnk di setiap folder yang jika dieksekusi akan langsung mengaktifkan virus tersebut.
  • Seperti halnya virus-virus lokal lainnya, dia akan membuat duplikat setiap folder namun kali ini bukan dengan ekstensi .exe melainkan extensi .ink alias shortcut.
  • Pada task manager terdapat proses services wscript.exe yang sedang berjalan. Dalam kondisi normal, tidak ada proses seperti ini.
.
Langkah – Langkah pembasmian:
  1. Matikan System Restore. Sejak dulu saya selalu mematikan system restore segera setelah proses instalasi windows. Untuk keperluan backup dan imaging system, saya lebih memilih menggunakan third party seperti acronis ataupun Norton Ghost.
  2. Matikan proses virus wsrcipt.exe (C:\WINDOWS\System32\wscript.exe)
    Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..
  3. Hapus file virus database.mdb di My Documents..
  4. Hapus file duplikat virus..
    1. Untuk proses penghapusan, anda bisa menggunakan fasilitas search pada Windows.. Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
    1. Untuk lebih memudahkan proses pencarian yang sekaligus menghapus file yang ditemukan, anda bisa menggunakan software UTool, sebuah freeware yang dapat anda download secara gratis di SINI. Program ini akan secara otomatis mencari dan kemudian menghapus file-file yang diinginkan (lihat gambar).
      uTool
      uTool
    5. Search file dengan nama autorun.inf ukurannya 8 KB
    Search file dengan nama Thumb.db ukurannya 8 KB
    Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
    Hapus semua file yang ditemukan..
  5. Hapus registry Autorun yang dibuat virus dengan menggunakan Registry Editor
    6. Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb
    run regedit
    run regedit
  6. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “Repair.inf”. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Untuk mencegah virus ini kembali, sebaiknya matikan fitur Autorun pada Windows!
SELAMAT MENCOBA!!
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)