Berikut 8 langkah praktis untuk
mendepak virus yang mampu mengubah folder yang ada di dalam USB flash disk
menjadi shortcut tersebut:
1. Nonaktifkan ‘System Restore’ untuk sementara selama
proses pembersihan.
2. Putuskan komputer yang akan dibersihkan dari jaringan.
3. Matikan proses virus yang
aktif di memori dengan menggunakan tools ‘Ice Sword’. Setelah tools tersebut terinstal, pilih file
yang mempunyai icon ‘Microsoft Visual Basic Project’ kemudian klik ‘Terminate
Process’. Silahkan download tools tersebut di http://icesword.en.softonic.com/
4. Hapus registri yang sudah dibuat oleh virus
dengan cara:
-. Klik menu [Start]
-. Klik [Run]
-. Ketik REGEDIT.exe, kemudian klik tombol [OK]
-. Pada aplikasi Registry Editor, telusuri key
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
-. Kemudian hapus key yang mempunyai data [C:\Document
and Settings\%user%].
5. Disable autoplay/autorun
Windows. Copy script di bawah ini pada program notepad kemudian simpan dengan
nama REPAIR.INF, install file tersebut dengan cara: Klik kanan REPAIR.INF –>
INSTALL
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM,
Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″”
%*”
HKLM,
Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM,
Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoDriveTypeAutoRun,0x000000ff,255
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoDriveTypeAutoRun,0x000000ff,255
6. Hapus File induk dan file
duplikat yang dibuat oleh virus termasuk di flash disk. Untuk mempercepat
proses pencarian, Anda dapat menggunakan fungsi ‘Search’. Sebelum melakukan
pencarian sebaiknya tampilkan semua file yang tersembunyi dengan mengubah pada
setting Folder Options.
Jangan sampai terjadi kesalahan
pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh
virus. Lalu hapus file induk virus yang mempunyai ciri-ciri:
-. Icon ‘Microsoft Visual Basic Project’.
-. Ukuran File 128 KB (untuk varian lain akan mempunyai
ukuran yang bervariasi).
-. Ekstesi file ‘.EXE’ atau ‘.SCR’.
-. Type file ‘Application’ atau ‘Screen Saver’.
Kemudian hapus File duplikat
shortcut yang mempunyai ciri-ciri:
>. Icon Folder atau icon
>. Ekstensi .LNK
>. Type File ‘Shortcut’
>. Ukuran file 1 KB
Hapus juga file yang .DLL
(contoh: ert.dll) dan file Autorun.inf di flash disk atau folder yang di-share.
Sementara untuk menghindari virus tersebut aktif kembali, hapus file induk yang
mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut
(.LNK).
7. Tampilkan kembali folder yang
telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan
download tools UnHide File and Folder di http://www.flashshare.com/bfu/download.html.
Setelah diinstall, pilih
direktori [C:\Documents and settings] dan folder yang ada di flash disk dengan
cara menggeser ke kolom yang sudah tersedia. Pada menu [Attributes] kosongkan
semua pilihan yang ada, kemudian klik tombol [Change Attributes].
8. Install security patch
‘Microsoft Windows Shell shortcut handling remote code execution
vulnerability-MS10-046′. Silakan download security patch tersebut di http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx. Seperti biasa, untuk pembersihan secara optimal dan
menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang
up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
No comments:
Post a Comment