Cara Membasmi Virus yang Membuat Komputer Anda Banjir Shortcut "Worm:PIF/Starter.A"

Neh gannnn cara membasmi Virus yang membuat komputer anda banjir Shortcut,.. cara ini saya temukan dari http://vaksin.com, dengan sedikit tambahan dari saya agar lebih mudah dalam memahaminya,. he^^,.. di simak yacghhh buat para agan-agan yang belum pada tahu cara membasmi - nya,..Hmmmmm,... . Maklum neh pengalaman pribadi sempet pusing gara-gara semua komputer ditempat kerja saya banyak shortcut yang tidak lain adalah virus,.. pokonya mengganggu sekali buat saya pribadi,..ckckckckckc,...

Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.

Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.

Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A (lihat gambar 1) :

Gambar 1, Norman Security Suite mendeteksi virus Shortcut sebagai Worm:PIF/Starter.A

Ciri-ciri dari virus tersebut adalah :

1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2 (lihat gambar 2)

Gambar 2, Aksi virus Shortcut memalsukan folder

4. Mematikan fungsi dari file Registry (lihat gambar 3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistrytools"=dword:00000001

Gambar 3, Pesan yang ditampilkan jika mengakses Registry Edit

5. Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office

Update for Windows XP.sys\""

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini (lihat gambar 4)

Gambar 4, Pesan error yang ditampilkan saat logon karena gagal loading script.

Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows. Saat komputer saya diserang virus ini saya gunakan CProcess,.. untuk download CProcess klik DI SINI. Saat anda menjalankan CProcess klik pada bagian page yang bawah lalu scrol mouse anda kebawah,.. pasti anda temukan WSCRIPT.exe ,.. lalu klik icon silang (x) pada toolbar nya ,.. maka proses WSCRIPT.exe telah anda matikan,..

2. Sebelumnya matikan dulu proses SYSTEM RESTORE. caranya klik kanan pada mycomputer lalu pilih system restore,.. turn off system restore,.. untuk semua drive yang komputer kamu miliki.

3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s ( nb: untuk mengganti drive dari C: ke D: pada Command Prompt,.. ketik D: lalu enter,.. untuk menutup perintah lain dalam Command Prompt cd\)

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. (lihat gambar 5)

Gambar 5, Perintah mendelete file lnk yang diciptakan virus.

6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya. (lihat gambar 6)

Gambar 6, Shortcut yang dibuat virus akan menyerupai icon folder, tetapi memiliki Size 1 KB dan Type "Shortcut"

(Nb: untuk menghapus file virus dapat dilakukan secara delete manual apabila langkah 1-5 telah anda lakukan,.. !?)

Gambar di atas menggunakan software Total Commander untuk mendownload software Total Commander Klik DI SINI.

7. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate

HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer


6. Jika terdapat folder anda terhidden oleh virus setelah proses pembersihan anda dapat show hidden folder tersebut dengan menggunakan anti virus ansav,.. untuk download anti virus Ansav klik link ini : http://www.ansav.com/
7. Mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan klik link ini : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx . jika tidak terakses ke link tersebut, copy paste ke url address bar browsing kamu lalu tekan enter,.. guna mencegah infeksi ulang.

8. Setelah bersih,.. deepfrezze drive C: (tempat operatyng system) anda agar apabila terkena virus kita tinggal restart dan pc anda kembali normal seperti semula,..

Posted in: All