Virus ini sempat membuat beberapa teman kampusku bingung. Walaupun bukan termasuk jenis virus yang berbahaya, tapi kehadiran virus ini cukup membuat kewalahan. Seperti virus yang lain, virus ini baru aktif apabila pengguna komputer mengakses folder shortcut yang bernama microsoft.lnk atau new harry potter and…lnk. Apabila opsi turn off autoplay pada windows tidak diaktifkan, virus ini juga bisa menyebar apabila flash disk kita buka dengan cara men-double klik folder flash disk.
Virus ini bekerja dengan cara membuat induk virus di My Documents dengan nama database.mdb. File ini akan diakses di Registry melalui proses yang bernama Wscript.exe (berbeda dengan proses dari windows yang bernama wscript.exe dengan huruf w kecil. Tapi umumnya proses wscript.exe windows pun tidak akan berjalan pada kondisi normal). Baru-baru ini saya bahkan menemui virus ini (atau kena virus yang lain juga ya? ^_^ ) mendisable regedit sehingga kita tidak bisa menghapus registry yang berhubungan dengan database.mdb tadi. Virus ini membuat file autorun.inf dan thumb.db di setiap folder dan sub folder – sub folder yang ada di dalamnya. Selain itu, virus ini juga membuat shortcut yang bernama Microsoft.lnk dan New Harry Potter and…lnk. Apabila shortcut tersebut diklik, virus pun akan menginfeksi komputer. Setelah virus ini aktif, virus akan membuat shortcut semua folder yang ada di harddisk dengan nama yang sama dengan folder asli.
Setelah “membongkar-bongkar” komputer dan mencari referensi kesana kemari, akhirnya saya mendapatkan langkah-langkah untuk menghilangkan virus ini :
- Matikan proses Wscript.exe melalui task manager atau dengan menggunakan Process Explorer.
- Hapus database.mdb yang ada di My Document. File ini biasanya di-hidden sehingga kita harus mengaktifkan opsi Show hidden files and folders yang ada di Folder Options.
- Hapus registry yang berhubungan dengan database.mdb di registry My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Apabila komputer kita terkena virus ini maka pada registry akan ada registry database.mdb seperti gambar di bawah ini :
- Apabila langkah ke 3 tidak bisa dilakukan karena regedit ter-disable oleh virus, gunakan tools untuk mengakses registry. Biasanya saya menggunakan tools HijackThis untuk melakukan scanning registry. Setelah diadakan proses scanning registry, maka dapat dilihat proses yang berhubungan dengan database.mdb pada hasil scanning seperti gambar di bawah ini :
- Setelah “memulihkan” registry, langkah terakhir adalah menghapus semua file yang berhubungan dengan virus. File-file tersebut adalah :
Note : screenshot ini diambil dari komputer di lab yang menjadi korban virus (komputer yang sering saya pakai T_T)
Note : apabila ditemukan registry DisableRegedit = 1, hapus juga registry itu karena nilai 1 disitu bernilai true sehingga regedit kita ter-disable.
- autorun.inf
- thumb.db (berbeda dengan file thumbs.db yang merupakan file dari windows)
- Microsoft.lnk dan New Harry Potter and…lnk
- File *.lnk lain yang merupakan duplikasi dari folder asli (hati-hati saat menghapus terutama saat menghapus *.lnk di drive C)
Penghapusan file ini bisa dilakukan dengan menggunakan fungsi search yang ada di windows atau menggunakan tools UTool (menurut saya tools ini masih kurang stabil, masih sering error saat dioperasikan)
Selesai ^_^…
Masih bermasalah dengan virus ini?
Silahkan “mengeksplore” komputer Anda… siapa tahu masih ada file buatan virus yang masih tersisa.
Kalau masih belum bisa? Mungkin si pembuat virus sudah mengembangkan virusnya supaya lebih canggih ^_^
ya nanti aku coba, coz compter aq juga kena. thnx bgt
coba cari startup.cpl di internet biar lebih gampang dari registry editor
tapi virus ini BUATAN YUYUN
kalo mau edit filenya.. aku jinakkin dulu virusnya (SEARCH *.lnk and delete all, size 1Kb, modified ‘after infecting’)
(SEARCH *autorun.inf and delete all)
(SEARCH *thumb.db and delete all)
Leo
leo_gituloh@yahoo.com
saya udah coba cara pake dos command seperti “attrib /S /D -s -r -h thumb*.*db” lalu “del /S thumb*.*db, micros*.*lnk, autor*.*inf” bisa juga di save pada text file dengan membuka notepad lalu save as “delthumb.cmd” di folder system32, tindakan ini akan menghapus semua file tidak berguna ciptaan manusia tidak berguna itu, kebetulan sistem windows saya dilengkapi SMADAV 7.3(yang husus fokusnya ke virus lokalan hehe maka sebelum saya klik apapun sesaat flashdisk nancap,smadav ini udah basmi smua) dan antivirus lambang payung utk virus global. Mudah2an membantu teman2 semua.
berikut ini rangkaian perintah Dos dalam file yg kita buat sendiri:
@echo off
dir /a /s /o:g thumb*.*db
dir /a /s /o:g micros*.*lnk
dir /a /s /o:g autor*.*inf
attrib /S /D -s -r -h thumb*.*db
attrib /S /D -s -r -h micros*.*lnk
attrib /S /D -s -r -h autor*.*inf
del /S autor*.*inf
del /S thumb*.*db
del /S micros*.*lnk
nah perintah ini di save as “babat.cmd” di folder windows/system32, untuk sistem windows, untuk sistem lain saya blum paham.
syaratnya mesti buka program command prompt dulu lalu prompt di root drive mana aja yang dikehendaki.
ketikkan nama file yg kita save tadi misal “babat”.
Bahkan kalo mau ada cara lanjutannya utk memudahkan cari dan musnahkan yaitu kita buat lagi dengan text editor suatu file
yang menginstalkan dirinya ke registry untuk klik kanan mouse pada folder/drive sehingga jika drive/folder diklik kanan ada pilihan
menghapus file2 tidak berguna itu.
Yang saya alami dengan Smadav, dia tidak autodetect seluruh struktur folder flashdisk atau fixed drive tapi kalau akses suatu folder yg ada virusnya barulah dia bereaksi.
Dan nampaknya tidak semua virus lokal dinetralisir oleh PCMAV atau Smadav makanya kita perlu mencari secara semi-manual tadi.
Nah sekarang tinggal nunggu edisi lain varian lain virus baru yang bisanya ngeganggu windows doang, hahaha… We will be ready.
@Leo : Makasi buat info tambahannya.
Moga2 bisa berguna juga buat pembaca yang belum puas/belum menemukan jawaban dari post saya
puyeng eyyy
manteb#3 thanks