jump to navigation

Jurus Mematikan Virus Shortcut 31 August 2010

Posted by annurhi in Trik dan Tips, Umum.
trackback

Pasti kita semua pernah merasa jengkel ato sebel jika komputer kita terkena serangan virus. Apalagi sekarang ini yang lagi trend adalah Virus Shortcut ato Virus PIF/Starter. Virus ini termasuk kedalam golongan virus .vbs. Walaupun virus ini tidak begitu berbahaya, namun kita juga harus tetap waspada karena virus ini akan mengakibatkan kerja komputer menjadi berat. Virus ini dengan cara membuat file ” autorun.inf, dekstop.ini, fanny.bmp, thumb.db, serta file shortcut yang berextensi .lnk “ pada setiap drive dan folder. semakin banyak Folder didalam komputer kita, maka akan semakin banyak pula shortcut yang dibuat oleh virus ini.

Untuk itu saya mencoba Posting kaitannya dengan menangani  virus tersebut.

  1. Kita matikan terlebih dahulu System Restore pada semua drive ===>Klik kanan My Computer, Properties, System Restore, beri centang pada Turn off System Restore on All Drives ( Klo task managernya mati/off pake software seperti Kill Prosess )
  2. Matikan proses “wscript.exe”  (Task manager ==> services, wscript.exe, klik kanan pada wscript exe, end process/end process tree)
  3. Buka windows explorer, klik menu “Tool” lalu pilih “Folder Option”, selanjutnya pada tab “View” klik “Show hidden files and folders”, hilangkan tanda contreng pada “Hide extensions for known file types” dan hilangkan juga tanda contreng pada Hide protected operating system files. Klik OK.
  4. Setelah dimatikan proses dari Wscript tersebut, kita harus mendelete atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
  5. Delete file induknya yang ada di C:\Documents and Settings\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
  6. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START ==> RUN ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
    1. Ketik C:\del Microsoft.inf /s , perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
    2. Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f ,perintah akan mendelete file autorun.inf  (syntax /ah /f ) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
  7. Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon ‘folder’, berukuran 1 kb dan bertipe ‘shortcut’. Sedangkan folder yang benar harusnya tidak memiliki ‘size’ dan tipenya adalah ‘File Folder’.
  8. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry download script dan jalankan dengan cara klik kanan file Repair.Inf ===> Install. Download

Semoga bermanfaat…..

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: