Membersihkan Virus berbentuk FOLDER SHORTCUT
Kasus:
Virus ini biasanya menyebar melalui media flashdisk atau removable media lainnya, dengan menyamar sebagai ikon shortcut berbentuk folder, dengan nama yang menarik, misalnya: "Microsoft", "Update", "Program", dll.
Hal lain yang memperparah penyebaran virus ini adalah karena virus ini membuat file AUTORUN.INF pada tiap partisi / drive yang ada.
Baik file AUTORUN.INF maupun shortcut itu sebenarnya adalah "trik" si virus untuk menjalankan perintah penyebaran diri.
Jika drive di-klik ganda atau shortcut dijalankan, maka otomatis terbentuk banyak sekali shortcut lain dan file-file .exe yang menginfeksi sistem komputer.
Selain itu, untuk melindungi diri, folder options, regedit dan task manager juga dilumpuhkan oleh si virus.
Tips:
Untuk virus tipe ini, biasanya AntiVirus tidak akan dapat membersihkan secara tuntas.
Jadi perlu extra hati-hati jika menemui shortcut yang patut dicurigai, jangan langsung dijalankan, tapi lihat dulu PROPERTIES shortcut itu.
Jika shortcut berisi perintah "WSCRIPT ...", JANGAN DIJALANKAN !! HAPUS segera shortcut itu, karena pasti itu adalah virus.
Jika shortcut itu terlanjur dijalankan dan yang muncul adalah folder C:\ atau C:\WINDOWS atau MY DOCUMENTS, maka kemungkinan 90% itu adalah virus.
Solusi:
1. Download program Process Explorer di sini.
2. Boot Windows ke opsi Safe-Mode atau boot dengan Hirens CD, pilih mini-XP.
3. Untuk mengembalikan perilaku Folder Settings, Enable Regedit dan Task Manager caranya:
-eksekusi file 1_Repair.inf dengan cara klik kanan, pilih INSTALL.
-Klik ganda pada file 2_Fix.reg, pilih MERGE, OK.
4. Matikan System Restore.
-Untuk Windows XP, caranya: Masuk Control Panel, System, pilih System Restore, aktifkan centang TURN OFF SYSTEM RESTORE ON ALL DRIVE, klik OK.
-Untuk Windows Vista / Windows 7, caranya: Klik START, ketik restore, lalu klik pada Backup and Restore, klik Change Setting, lalu matikan system restore pada semua drive, kklik OK.
5. Jalankan MSCONFIG, pilih tab STARTUP. Periksa jika ada entry yang tidak wajar. Dalam contoh ini, ada entry "tuoqaay.exe". Catat lokasi dan nama file tersebut.
6. Lokasi dan nama file virus itu juga bisa diketahui dari REGEDIT. Masuklah ke HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SHARED TOOLS\MSCONFIG\STARTUPREG. Di situ bisa dilihat lokasi dan nama file virus.
7. Jalankan Process Explorer, cari entry "tuoqaay.exe" klik kanan, pilih "Kill Process Tree". Tunggu sampai entry tersebut hilang.
8. Gunakan Windows Explorer, ubah Folder Settings sehingga Hidden Files dan Protected Files terlihat.
9. Masuk ke folder di mana terdapat file "tuoqaay.exe", hapus file tersebut, lalu hapus juga file "dekstop.ini", "autorun.inf", dan file-file .exe lain dengan nama acak. File-file ini biasanya beratribut hidden.
10. Masuk ke tiap Drive, hapus semua shortcut yang ada, kecuali shortcut yang Anda yakin buatan Anda.
11. Untuk mereset atribut folder agar tidak hidden, masuk ke command prompt dengan perintah RUN, ketik CMD, lalu tekan ENTER.
12. Untuk drive C, ketikkan perintah ini, lalu tunggu hingga proses selesai:
attrib -r -h -s C:\*.* /s /d
Untuk drive lainnya, ketik perintah yang serupa, ganti huruf C dengan huruf drive yang dimaksud.
13. Untuk membuat file-file sistem tertentu (misalnya BOOT.INI, IO.SYS..) kembali menjadi hidden, pilih file yang dimaksud, klik kanan, pilih Properties, lalu klik opsi HIDDEN, klik OK.
14. Sekarang saatnya untuk membersihkan sisa sampah "shortcut" dari virus ini. Klik START > SEARCH atau Tekan tombol WINDOWS_LOGO + F untuk memanggil menu SEARCH.
15. Pilih opsi ALL FILES AND FOLDERS.
16. Pada kotak ALL OR PART OF THE FILENAME ketikkan *.lnk
17. Pada opsi LOOK IN, pilih drive C.
18. Klik pada WHAT SIZE IS IT, pilih SPECIFY THE SIZE (in KB), AT MOST 1.
19. Klik MORE ADVANCED OPTIONS, aktifkan centang SEARCH HIDDEN FILES AND FOLDERS, klik tombol SEARCH.
20. Tunggu sampai proses selesai, pada layar kana (hasil search) pilihlah shortcut yang Anda yakin bukan milik Anda, lalu hapus shortcut itu.
21. Sekarang jalankan kembali MSCONFIG, pilih tab STARTUP. Periksa jika ada entry yang tidak wajar.
22. Jika masih ada centang pada entry aneh, hilangkan centang pada entry tersebut, lalu klik OK, Restart komputer.
23. Install AntiVirus dengan Update terbaru, scan seluruh drive yang ada, pastikan media bersih dari virus.
24. Jika tidak ada perilaku aneh dari Windows, maka dipastikan virus sudah berhasil disingkirkan.
Virus ini biasanya menyebar melalui media flashdisk atau removable media lainnya, dengan menyamar sebagai ikon shortcut berbentuk folder, dengan nama yang menarik, misalnya: "Microsoft", "Update", "Program", dll.
Hal lain yang memperparah penyebaran virus ini adalah karena virus ini membuat file AUTORUN.INF pada tiap partisi / drive yang ada.
Baik file AUTORUN.INF maupun shortcut itu sebenarnya adalah "trik" si virus untuk menjalankan perintah penyebaran diri.
Jika drive di-klik ganda atau shortcut dijalankan, maka otomatis terbentuk banyak sekali shortcut lain dan file-file .exe yang menginfeksi sistem komputer.
Selain itu, untuk melindungi diri, folder options, regedit dan task manager juga dilumpuhkan oleh si virus.
Tips:
Untuk virus tipe ini, biasanya AntiVirus tidak akan dapat membersihkan secara tuntas.
Jadi perlu extra hati-hati jika menemui shortcut yang patut dicurigai, jangan langsung dijalankan, tapi lihat dulu PROPERTIES shortcut itu.
Jika shortcut berisi perintah "WSCRIPT ...", JANGAN DIJALANKAN !! HAPUS segera shortcut itu, karena pasti itu adalah virus.
Jika shortcut itu terlanjur dijalankan dan yang muncul adalah folder C:\ atau C:\WINDOWS atau MY DOCUMENTS, maka kemungkinan 90% itu adalah virus.
Solusi:
1. Download program Process Explorer di sini.
2. Boot Windows ke opsi Safe-Mode atau boot dengan Hirens CD, pilih mini-XP.
3. Untuk mengembalikan perilaku Folder Settings, Enable Regedit dan Task Manager caranya:
-eksekusi file 1_Repair.inf dengan cara klik kanan, pilih INSTALL.
-Klik ganda pada file 2_Fix.reg, pilih MERGE, OK.
4. Matikan System Restore.
-Untuk Windows XP, caranya: Masuk Control Panel, System, pilih System Restore, aktifkan centang TURN OFF SYSTEM RESTORE ON ALL DRIVE, klik OK.
-Untuk Windows Vista / Windows 7, caranya: Klik START, ketik restore, lalu klik pada Backup and Restore, klik Change Setting, lalu matikan system restore pada semua drive, kklik OK.
5. Jalankan MSCONFIG, pilih tab STARTUP. Periksa jika ada entry yang tidak wajar. Dalam contoh ini, ada entry "tuoqaay.exe". Catat lokasi dan nama file tersebut.
6. Lokasi dan nama file virus itu juga bisa diketahui dari REGEDIT. Masuklah ke HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SHARED TOOLS\MSCONFIG\STARTUPREG. Di situ bisa dilihat lokasi dan nama file virus.
7. Jalankan Process Explorer, cari entry "tuoqaay.exe" klik kanan, pilih "Kill Process Tree". Tunggu sampai entry tersebut hilang.
8. Gunakan Windows Explorer, ubah Folder Settings sehingga Hidden Files dan Protected Files terlihat.
9. Masuk ke folder di mana terdapat file "tuoqaay.exe", hapus file tersebut, lalu hapus juga file "dekstop.ini", "autorun.inf", dan file-file .exe lain dengan nama acak. File-file ini biasanya beratribut hidden.
10. Masuk ke tiap Drive, hapus semua shortcut yang ada, kecuali shortcut yang Anda yakin buatan Anda.
11. Untuk mereset atribut folder agar tidak hidden, masuk ke command prompt dengan perintah RUN, ketik CMD, lalu tekan ENTER.
12. Untuk drive C, ketikkan perintah ini, lalu tunggu hingga proses selesai:
attrib -r -h -s C:\*.* /s /d
Untuk drive lainnya, ketik perintah yang serupa, ganti huruf C dengan huruf drive yang dimaksud.
13. Untuk membuat file-file sistem tertentu (misalnya BOOT.INI, IO.SYS..) kembali menjadi hidden, pilih file yang dimaksud, klik kanan, pilih Properties, lalu klik opsi HIDDEN, klik OK.
14. Sekarang saatnya untuk membersihkan sisa sampah "shortcut" dari virus ini. Klik START > SEARCH atau Tekan tombol WINDOWS_LOGO + F untuk memanggil menu SEARCH.
15. Pilih opsi ALL FILES AND FOLDERS.
16. Pada kotak ALL OR PART OF THE FILENAME ketikkan *.lnk
17. Pada opsi LOOK IN, pilih drive C.
18. Klik pada WHAT SIZE IS IT, pilih SPECIFY THE SIZE (in KB), AT MOST 1.
19. Klik MORE ADVANCED OPTIONS, aktifkan centang SEARCH HIDDEN FILES AND FOLDERS, klik tombol SEARCH.
20. Tunggu sampai proses selesai, pada layar kana (hasil search) pilihlah shortcut yang Anda yakin bukan milik Anda, lalu hapus shortcut itu.
21. Sekarang jalankan kembali MSCONFIG, pilih tab STARTUP. Periksa jika ada entry yang tidak wajar.
22. Jika masih ada centang pada entry aneh, hilangkan centang pada entry tersebut, lalu klik OK, Restart komputer.
23. Install AntiVirus dengan Update terbaru, scan seluruh drive yang ada, pastikan media bersih dari virus.
24. Jika tidak ada perilaku aneh dari Windows, maka dipastikan virus sudah berhasil disingkirkan.
Tidak ada komentar:
Posting Komentar