Recent Posts

Jumat, 30 September 2011

Mengatasi Worm:PIF/Starter.A ( Virus Shortcut)


Mungkin bagi teman-teman ini buakanlah suatu virus yang asing di telinga kita. Ya karna virus lokal ini sempat popular belakang ini. Seperti namanya bagi anda yang pernah terinfeksi pasti banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputer, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki.




Ciri-ciri dari dari virus ini adalah :

1.Di dalam folder My Documents terdapat sebuah file yang bernama database.msb, dan saya mencurigai kalau inilah file induknya.

2. Terdapat file Autorun.inf, Thumb.dbMicrosoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Foldernya.

3. Virus ini membuat File Duplikat di setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder.

4. Mamtikan fungsi Registry (Tentang registry sudah dibahas pada artikel sebelumnya )

5. Menambahkan value pada registry yaitu :

a.[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

b. [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office  
Update for Windows XP.sys\""

6. Membuat sebuah script yang berakibat pada saat logon windows terdapat pesan error seperti ini



Mungkin yang membuat teman-teman kesal adalah terdapat banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

  1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.(HijackThis dapat anda download pada menu download )

  1. Sebelumnya matikan dulu proses SYSTEM RESTORE.

  1. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

  1. Delete file induknya yang ada di C:\Documents and Settings\<user>\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

  1. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s   = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f  = perintah akan mendelete file autorun.inf  (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama

6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya.

7.Fix registry yang sudah di ubah oleh virus (Jika registry sudah tidak dapat dibuka anda dapat menggunakan script hasil kaka yang dapat anda download di bawah )

Selamat mencoba dan semoga berhasil...


Donwnload registry repair

0 komentar:

Posting Komentar