7 Langkah Menghentikan Banjir Virus Shortcut

Virus PIF/Starter atau yang lebih dikenal dengan virus shortcut membuat kesal korbannya dengan banyak sekali shortcut
yang dibuat oleh virus tersebut. Repotnya, kalau cara penanganan virus
ini tak tepat maka ia malah akan kembali lagi, lagi dan lagi.

Oleh sebab itu, simak 7 cara jitu dari analis virus Vaksincom MG Lat untuk menghentikan banjir shortcut yang diakibatkan virus ini:

1. Sebelumnya matikan dulu proses system restore.

2.
Matikan proses dari file Wscript yang terletak di C:\Windows\System32,
dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat
juga menggunakan Task Manager dari Windows.

3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.

Sebagai catatan, kalau kita me-rename
dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan
lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana
file Wscript.exe yang lainnya, biasanya ada di
C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.

Tidak
seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari
file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah
file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB
seolah-olah dia adalah file VBS.

4. Delete file induknya yang
ada di C:\Documents and Settings\\My Documents\database.mdb, agar
setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan
jangan lupa kita buka juga MSCONFIG, disable perintah yang
menjalankannya.

5. Sekarang kita akan men-delete
file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol
START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive
C:\, maka yang harus kita lakukan adalah:

Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete
semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau
mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del
Microsoft.inf /s.

Untuk file autorun.inf, ketik C:\del
autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf
(syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA,
begitu juga untuk file Thumb.db lakukan juga hal yang sama.

6. Untuk men-delete
file-file selain 4 file terdahulu, kita harus mencarinya dengan cara
search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced
options' pastikan option 'Search system folders' dan 'Search hidden
files and folders' keduanya telah dicentang.

Harap berhati-hati,
tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus,
kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut
yang diciptakan virus ikonnya selalu menggunakan icon 'folder',
berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar
harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.

7.
Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses
perbaikan registry salin script dibawah ini pada program 'notepad'
kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan
cara:

- Klik kanan repair.inf
- Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer