Beberapa hari yang lalu, teman saya ada
yang mengeluhkan komputernya terkena virus yang tidak mempan diperbaiki
menggunakan anti virus apapun. Setelah kontak teman-teman, ada yang
menemukan solusi jitu terkait dengan virus ini. Sebut saja nama virusnya
VIRUS SHORTCUT, karena virus tersebut membuat shortcut
dari folder yang ada di hardisk. Namun shortcut tersebut jika dilihat
property-nya akan mengarah pada link virus yang bersarang di
windows/system32. Teman saya sudah berupaya mencari update berbagai
macam anti virus termasuk yang selama ini kami gunakan yaitu PCMAV dan
NOD32 terbaru untuk menghilangkan virus ini. Namun ternyata upaya
tersebut tidak membuahkan hasil.
Dengan
upaya keras mencari berbagai informasi dari internet, akhirnya
ditemukan solusi untuk membasmi virus ini, meskipun dilakukan secara
manual dan benar-benar menyita waktu karena setelah berhasil menghapus
virus, proses selanjutnya adalah mencari (search) satu persatu shortcut
tipuan tersebut dari harddisk dan kemudian menghapusnya secara manual
pula.
Adapun
Ciri – Ciri Virus Shortcut tersebut adalah:
Pertama-tama,
setelah menginfeksi komputer, dia akan membuat file induk database.mdb
di My Documents
Yang
kedua adalah virus tersebut akan membuat file autorun.inf di setiap
drive harddisk, flash disk, dan folder tanpa kecuali
Yang
ketiga adalah dia akan membuat file Thumb.db (hati-hati, perhatikan
bahwa file ini tanpa huruf s sedangkan thumbnail cache yang asli di
komputer memiliki tambahan huruf s alias thumbs.db) di setiap folder
Untuk
memancing korban, dia akan membuat file Microsoft.lnk dan New Harry
Potter and….lnk di setiap folder yang jika dieksekusi akan langsung
mengaktifkan virus tersebut.
Seperti
halnya virus-virus lokal lainnya, dia akan membuat duplikat setiap
folder namun kali ini bukan dengan ekstensi .exe melainkan extensi .ink
alias shortcut.
Pada
task manager terdapat proses services wscript.exe yang sedang berjalan.
Dalam kondisi normal, tidak ada proses seperti ini.
Langkah – Langkah pembasmian:
1. Matikan System Restore. Sejak dulu saya
selalu mematikan system restore segera setelah proses instalasi windows.
Untuk keperluan backup dan imaging system, saya lebih memilih
menggunakan third party seperti acronis ataupun Norton Ghost.
2. Matikan proses virus wsrcipt.exe
(C:\WINDOWS\System32\wscript.exe)
Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..
Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..
3. Hapus file virus database.mdb di My Documents..
4. Hapus file duplikat virus..
Untuk proses penghapusan, anda bisa menggunakan
fasilitas search pada Windows.. Pada “More
advanced options”, pastikan option “Search system folders” dan “Search
hidden files and folders” keduanya telah
dicentang.
Search file dengan nama autorun.inf ukurannya 8 KB
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
Hapus semua file yang ditemukan..
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
Hapus semua file yang ditemukan..
Untuk lebih memudahkan proses pencarian yang sekaligus
menghapus file yang ditemukan, anda bisa menggunakan software UTool,
sebuah freeware yang dapat anda download secara gratis di SINI.
Program ini akan secara otomatis mencari dan kemudian menghapus
file-file yang diinginkan (lihat gambar).
5. Hapus registry Autorun yang dibuat virus dengan
menggunakan HijackThis..
Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb (pada gambar namun file database.mdb udah saya hapus)
Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb (pada gambar namun file database.mdb udah saya hapus)
Untuk lebih memantabkan proses pencegahan dan
melindungi komputer kita dari serangan virus lokal yang sangat
memusingkan ini, anda dapat melakukan hal-hal berikut:
1. Setelah proses instalasi windows, segera matikan
system restore.
2. Install software third party misal Tweak UI atau
Magic Tweak untuk mendisable autorun dan mencegah teraktivasinya
file-file .inf. Mungkin pada Windows XP Professional, proses
menon-aktifkan autorun bisa dilakukan dengan mudah, namun pada versi Win
XP Home, anda memerlukan software ini. Tambahan informasi, program
MagicTweak selain berfungsi menon-aktifkan autorn dapat juga digunakan
untuk mencegah dijalankannya file-file .inf File autorun.inf yang
biasanya merupakan awal dari berjangkitnya virus akan secara otomatis
diubah menjadi murni file txt alias notepad oleh program ini dan dia
tidak lagi bisa dieksekusi. Ini sangat membantu jika memang secara tidak
sengaja kita mengaktifkan atau mengeksekusi autorun.inf meski proses
autorun sudah didisable untuk semua drive (termasuk flash disk).
3. Setelah semua proses instalasi windows, driver,
program, dan lain-lain telah selesai, segera backup image system anda
menggunakan software macam Acronis True Image atau Norton Ghost,
sehingga jika nanti ada masalah yang tidak dapat anda selesaikan dengan
mudah, anda dapat merestoreasi backup system tersebut.
4. Jika perlu, instal juga Deep Freeze apabila komputer
anda digunakan oleh banyak orang, sehingga settingan komputer tidak
akan berubah-ubah.
5. Update info: Ciri-ciri virus terdapatnya virus
shortcut pada flashdisk dapat diketahui dengan perbedaan icon flashdisk
tersebut yang biasanya berbentuk seperti icon drive menjadi berubah
seperti icon folder. Jika menemui icon seperti ini, berarti dalam
flashdisk tersebut terdapat virus. Gunakan explorer dan buka flashdisk
lewat explorer (jangan klik 2x dari my computer) dan hapus file autorun
dan file2 tersangka virus lainnya secara manual dengan menekan shift +
DEL (supaya tidak tersangkut di recycle bin). Rata-rata virus lokal
dapat dicegah dengan cara manual seperti ini asalkan OPSI DISABLE
AUTORUN pada windows dan/atau MagicTweak telah diaktifkan, dan juga OPSI
DISABLE .INF FILE pada MagicTweak telah diaktifkan (lihat gambar).
Itulah Sedikit tips dari saya.......Mampir yo....ojo lali....he.he.he.he
Tidak ada komentar:
Posting Komentar