Pproses scanning berjalan dan ternyata ada beberapa virus yang terdeteksi oleh Smadav. Kemudian setelah selesai aku hapus/delete semua file yang terinfeksi virus.
Ternyata ada file yang dideteksi sebagai virus yakni autorun.inf, Microsoft.inf dan Thumb.db. Virus tersebut membuat duplikasi di setiap folder dengan type shortcut.
Setelah saya anggap USB itu bersih kemudian saatnya menyalin data teman saya tadi. Saat membuka file dalam salah satu folder ternyata telah mucul file-file virus tersebut (autorun.inf, Microsoft.inf dan Thumb.db), kesimpulannya komputer saya telah terserang virus dari USB Flash Disk tersebut dari varian Pif/Starter. Untuk menghilangkan virus tersebut ternyata tidak semudah yang dibayangkan. Setelah melakukan full scan dan menghapus file-file virus tersebut namun tetap saja muncul di setiap folder.
Tak kehilangan akal aku mencoba cara menghapus virus shortcut ini di internet dan berikut langkah-langkah yang dilakukan untuk membasmi virus shortcut (Pif/Starter) yang :
1. Matikan dulu proses system restore, caranya klik kanan My Computer | Properties, Pilih tab System Resotore, centang kotak kecil Turn off System Restore all drive.
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus menhhapus atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced options' pastikan option 'Search system folders' dan 'Search hidden files and folders' keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Untuk pembersihan virus dan malware dengan cepat dan mudah, download tool ampuh berikut ini:
Norman Malware Cleaner
nice tips ni..
BalasHapusmemang terkadang ada virus yang menyerupai thumb.db dan autorun.inf..
langsung saya save deh ni info..
thanks ya..
Ilmu yang bagus, tapi disampaikan dgn kurang jelas. Sayang sekali. Saya sudah 4 jam mengikuti petunjuk, namun blm berhasil. Ada alinea yg rancu sulit dimengerti dan tdk dpt diterapkan spt :Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
BalasHapusMaksud dari kalimat ini bgmn sih? Apa wscript yg diketemukan di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. harus didelete ato diplototin? Ni posting spt dari bhs asing, diterjemahakan by Mbah Google. S P O nya rancu, sulit dimengerti!
Dan silakan analisa kalimat2 (alinea2 berikut nya) tambah pusing orang sedang punya masalah dgn compi nya.
Mas ini sudah benar memaparkan meski ada yang perlu dikoreksi, kalo sy boleh tambahin seperti ini:
BalasHapus1. Perintah mulai di atas sudah benar menurut saya, dari langkah 1 - 3 hanya setelah menghapus atau
delete file wscprit.exe file tersebut masih ada di folder windows, cari aja folder yang kita curigai
seperti ada tanda dollar "$" langkah cepat hapus saja folder tersebut. Jangan khawatir hapus folder ini.
2. Langkah 4 nya diperjelas saja bila tidak ditemukan file database.mdb nya, langsung ke langkah 6 sesuai petunjuk
di web ini.
3. langkah yang ke 5 nya, kurang pas menurut saya yaitu : C:\Del microsoft.inf /s jika perintah ini gak sesuai
yang diharapkan (gagal berhasil dihapus, file tidak ditemukan dll) coba ganti dengan perintah ini:
C:\Del *.lnk /s (lnk = link, karena virus ini membentuk suatu link folder)
perintah ini akan menghapus semua folder yang membentuk shortcut ukuran 1kb di semua drive.
perintah ini juga menyingkat dari 3 x menjadi 1x perintah.(del c:\mic**.inf /s, atau /ah juga /f
4. Untuk menghapus di drive yang lain: D:\del *.lnk /s dan lakukan ke drive yang lainnya jika masih ada.
5. untuk repair inf coba lihat juga seperti yang diposting dari sumber aslinya www.vaksin.com dengan keyword misalnya
repair inf vaksin.com di google atau yahoo.
6. Jika ini belum juga berhasil, inilah manusia kadang ada benarnya juga ada salahnya. Mudah-2 an ada rekan yang mau
memberikan masukan lebih hebat, lebih ampuh dari semua langkah tersebut.
terimakasih infonya ya :)
BalasHapusWah mantap ni
BalasHapusTerima kasih ya..
Susah banget gan...tetap masih ada virus my document.exe nya di flash disk ane....T.T
BalasHapusmau tanya nih kalo folder susah di hapus di windows 7 gimana ya caranya, udah pake unlocker juga enggak bisa di hapus.terima kasih
BalasHapus