Menangani Virus Microsoft Shortcut

VIRUS SHORTCUT YANG MENGESALKAN

Dalam 2 bulan ini Kota Pamekasan lagi sibuk bersih-bersih isi folder dalam komputer. Kenapa dibersihkan seh?? udah penuh tah??

Ya jelaslah penuh ma virus shortcut Microsoft.lnk / New Harry Potter.lnk / Myfolder.lnk dan antek-anteknya yang lain. Meski bisa dihapus manual tapi yang jelas cuma 3 detik pasti balik lagi.. lagi.. lagi.. dan lagi......

Bagi kawan-kawan gak perlu bingung untuk bawa ke tempat serpis untuk install ulang komputer. Gak perlu pesimis ma Anti Virus yang gak mampu nangani ( Jangan lupa, Anti Virus ente perlu rutin di Update, jangan malas yah...).

Mari kita kupas tuntas tentang Virus yang bikin jengkel ini (setelah dikupas, dibuang aja virusnya, jangan sampek ditelen lagi hehehehehe....).

Adapun Ciri - Ciri Virus Shortcut tersebut adalah:

• Pertama-tama, setelah menginfeksi komputer, dia akan membuat file induk database.mdb di My Documents
  
• Yang kedua adalah virus tersebut akan membuat file autorun.inf di setiap drive harddisk, flash disk, dan folder tanpa kecuali
  
• Yang ketiga adalah dia akan membuat file Thumb.db (hati-hati, perhatikan bahwa file ini tanpa huruf s sedangkan thumbnail cache yang asli di komputer memiliki tambahan huruf s alias thumbs.db) di setiap folder
  
• Untuk memancing korban, dia akan membuat file Microsoft.lnk dan New Harry Potter dan antek-anteknya dengan deskripsi file *.lnk di setiap folder yang jika dieksekusi ato di klik open akan langsung mengaktifkan virus tersebut.
  
• Seperti halnya virus-virus lokal lainnya, dia akan membuat duplikat setiap folder namun kali ini bukan dengan ekstensi .exe melainkan extensi .ink alias shortcut.
  
• Pada task manager terdapat proses services wscript.exe yang sedang berjalan. Dalam kondisi normal, tidak ada proses seperti ini.

Langkah - Langkah pembasmian:

• Matikan System Restore. Hal ini diperlukan apabila kita harus Restore ulang sistem komputer saat terjadi troubleshooting pada komputer kita.
  
• Matikan proses virus wsrcipt.exe (C:\WINDOWS\System32\wscript.exe)
• Bisa menggunakan Process Explorer atau misc. tool pada Software HijackThis ( download ajah kedua software ini kalo kalian butuh disini dan disini )
• Hapus file virus database.mdb di My Documents.
• Hapus file duplikat virus.
• Untuk proses penghapusan, anda bisa menggunakan fasilitas search pada Windows. Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

1. Search file dengan nama autorun.inf ukurannya 8 KB
2. Search file dengan nama Thumb.db ukurannya 8 KB
3. Search file dengan ekstensi *.lnk ukurannya 1 KB
4. Hapus semua file yang ditemukan.

• Hapus registry Autorun yang dibuat virus dengan menggunakan HijackThis. Cari di bagian HKCU/Software/Microsoft/Windows/CurrentVersion/Run: yang berhubungan dengan file database.mdb

• Untuk lebih memantabkan proses pencegahan dan melindungi komputer kita dari serangan virus lokal yang sangat memusingkan ini, anda dapat melakukan hal-hal berikut:

• Setelah proses instalasi windows, segera matikan system restore.

• Apabila kiat perlu Install software third party misal Tweak UI atau Magic Tweak untuk mendisable autorun dan mencegah teraktivasinya file-file *.inf. Mungkin pada Windows XP Professional, proses menon-aktifkan autorun bisa dilakukan dengan mudah, namun pada versi Win XP Home, anda memerlukan software ini. Tambahan informasi, program MagicTweak selain berfungsi menon-aktifkan autorn dapat juga digunakan untuk mencegah dijalankannya file-file *.inf File autorun.inf yang biasanya merupakan awal dari berjangkitnya virus akan secara otomatis diubah menjadi murni file txt alias notepad oleh program ini dan dia tidak lagi bisa dieksekusi. Ini sangat membantu jika memang secara tidak sengaja kita mengaktifkan atau mengeksekusi autorun.inf meski proses autorun sudah didisable untuk semua drive (termasuk flash disk).
  

• Setelah semua proses instalasi windows, driver, program, dan lain-lain telah selesai, segera backup image system anda menggunakan software macam Acronis True Image atau Norton Ghost, sehingga jika nanti ada masalah yang tidak dapat anda selesaikan dengan mudah, anda dapat merestoreasi backup system tersebut.

Update info: Ciri-ciri virus terdapatnya virus shortcut pada flashdisk dapat diketahui dengan perbedaan icon flashdisk tersebut yang biasanya berbentuk seperti icon drive menjadi berubah seperti icon folder. Jika menemui icon seperti ini, berarti dalam flashdisk tersebut terdapat virus. Gunakan explorer dan buka flashdisk lewat explorer (jangan klik 2x dari my computer) dan hapus file autorun dan file2 tersangka virus lainnya secara manual dengan menekan shift + DEL (supaya tidak tersangkut di recycle bin).

Tak lupa pula kita matikan sistem Autorun/AutoPlay di komputer, karena pada umumnya virus lokal masuk dengan mudah ke komputer kita dengan menggunakan fasilitas AutoRun /AutoPlay yang ada pada windows xp. Cara mematikan Sistem autorun dengan cara klik Start (windows) > Run > ketik "gpedit.msc" kemudian klik OK. Langkah berikutnya liat gambar di bawah :

• Klik pada Administratif Templete > System > cari string bagian Turn off Autoplay > cawang bagian enable > pilih all drive > klik Apply trus OK.
  

• Rata-rata virus lokal dapat dicegah dengan cara manual seperti ini asalkan OPSI DISABLE AUTORUN pada windows dan/atau MagicTweak telah diaktifkan, dan juga OPSI DISABLE .INF FILE pada MagicTweak telah diaktifkan (lihat gambar).

Semoga informasi ini dapat membantu dan membuat kita lebih hati-hati jika menemui virus-virus lokal. Jangan sampai kita menjadi korban berikutnya, pusing dengan file duplikat virus.

Selamat bersih bersih ria yah....

Referensi :
http://www.ekowahyu.com