Friday, September 17, 2010

Berubah Wujud Menjadi Shortcut (2)

Ternyata virus yang mengubah folder menjadi shortcut masih cukup meresahkan. Saya juga beberapa kali melihat dan mengalami kasus ini. Virus PIF/Starter atau yang lebih dikenal dengan virus shortcut. Tentu saja ini sangat mengganggu dan membuat kesal korbannya dengan banyak sekali shortcut yang dibuat oleh virus tersebut.

Sebelumnya saya sudah pernah membahas mengenai kasus ini pada posting-an saya yang berjudul Berubah Wujud Menjadi Shortcut. Pada tulisan sebelumnya saya gunakan program Visual Basic. Kali ini saya tambahkan beberapa cara penanganannya selain yang sudah saya paparkan. Tidak usah panjang lebar, langsun saja berikut penjelasannya.

  • Matikan proses sistem restore terlebih dahulu.

  • Kill proses Wscript.exe dengan HijackThis atau Task Manager. Biasanya file ini terletak di C:\Windows\System32.

  • Setelah proses Wscript.exe dimatikan, hapus atau rename file tersebut. Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan digandakan lagi di folder tersebut. Jadi kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.

  • Hapus file induknya di C:\Documents and Settings\\My Documents\database.mdb. Jangan lupa jalankan MSCONFIG dan disable perintah menjalankannya.

  • Kemudian hapus file-file dengan nama Autorun.inf, Microsoft.inf, dan thumb.db. Caranya, search dengan kata kunci nama-nama file tersebut. Sebelumnya centang terlebih dahulu Search system folder, Search Hidden Files & folders. Selanjutnya hapus file-file tersebut. Atau dapat dilakukan dengan klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, selanjutnya:

    Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.

    Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.

  • Selain menghapus file-file di atas, hapus juga semua shortcut yang dibuat virus ini. Caranya, search file berekstensi .lnk, ukurannya 1 kB. Pastikan option 'Search system folders' dan 'Search hidden files and folders' pada 'More advanced options' keduanya dicentang.

    Namun tidak semua file shortcut berukuran 1 kB adalah virus. Kita dapat membedakan dari icon, size, dan tipenya.

  • Sekarang dapat kita katakan bahwa virus telah dilumpuhkan. Selanjutnya lakukan pembenahan pada registry. Klik Start -> Run -> regedit -> OK/enter. Cari dan hapus "database.mdb". Dapat juga dengan menyalin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:

    - Klik kanan repair.inf
    - Klik Install

    [Version]
    Signature="$Chicago$"
    Provider=Vaksincom Oyee

    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
    HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
    HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

    [del]
    HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
    HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer



http://www.detikinet.com/read/2009/02/26/155339/1091072/510/7-langkah-menghentikan-banjir-virus-shortcut
http://forum.djawir.com/pc-software-108/tips-mengatasi-virus-shortcut-ink-28439/

Related Post:

Diposting oleh di
Label:

3 comments:

  1. RendraSeptember 18, 2010 at 11:48 AM

    Wah pertamax eui....
    Tapi saya kurang mengerti dengan penjelasannya, seperti apa model virusnya. Tapi thanks ilmunya....

    ReplyDelete
  2. AdrayaSeptember 19, 2010 at 12:30 AM

    Wahaha... q malah sering ktmu ma kasus ne. Tp q ngatasinya pke cara postinganq yang sblum ini (http://adraya.blogspot.com/2010/08/berubah-wujud-menjadi-shortcut.html).

    ReplyDelete
  3. redoSeptember 24, 2010 at 7:06 PM

    nice info...

    ReplyDelete

:) :( ;) :D ;;-) :-/ :x :P :-* =(( :-O X( :7 B-) :-S #:-S 7:) :(( :)) :| /:) =)) O:-) :-B =; :-c :)] ~X( :-h :-t 8-7 I-) 8-| L-) :-a :-$ [-( :O) 8-} 2:-P (:| =P~ #-o =D7 :-SS @-) :^o :-w 7:P 2):) X_X :!! \m/ :-q :-bd ^#(^ :ar!

Subscribe to: Post Comments (Atom)