Virus PIF/Starter atau yang lebih dikenal dengan virus shortcut membuat
kesal korbannya dengan banyak sekali shortcut yang dibuat oleh virus
tersebut. Repotnya, kalau cara penanganan virus ini tak tepat maka ia
malah akan kembali lagi, lagi dan lagi.
Berikut ini beberapa cara untuk mengatasi virus tersebut.
Berikut ini beberapa cara untuk mengatasi virus tersebut.
1. Sebelumnya matikan dulu proses system restore.
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager bawaan dari Windows.
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager bawaan dari Windows.
3.
Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete
atau me-rename dari file tersebut agar tidak digunakan untuk sementara
oleh virus tersebut.
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG (Start - Run : MsConfig), disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db (hati-hati, bukan thumbs.db). Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
Harap berhati-hati,
tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus,
kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut
yang diciptakan virus ikonnya selalu menggunakan icon 'folder',
berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar
harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
'AntiBody Registry Windows
dim rg,std,a,b,c,t
a = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\"
b = "HKEY_LOCAL_MACHINE\Software\Microsoft\WIndows NT\Image File Execution Options\"
std = chr(34) & "%1" & chr(34) & " %*"
set rg=createobject("wscript.shell")
t=msgbox("Looping? Ya / TIdak",36,"Antibodi!Registry")
if t = 6 then
do
sehat
loop until i = 1
else
sehat
end if
sub SEHAT()
'mereset settingan windows
rg.regwrite a & "System\DisableRegistryTools",0,"REG_DWORD"
rg.regwrite a & "System\DisableTaskMgr",0,"REG_DWORD"
rg.regwrite a & "System\DisableCMD",0,"REG_DWORD"
rg.regwrite a & "Explorer\NoFolderOptions",0,"REG_DWORD"
'mereset setingan debbuger program
rg.regwrite b & "msconfig.exe\Debugger",""
rg.regwrite b & "regedit.exe\Debugger",""
rg.regwrite b & "cmd.exe\Debugger",""
'memperbaiki ekstensi agar tetap berjalan seperti semula
rg.regwrite "HKEY_CLASSES_ROOT\.exe\","exefile"
rg.regwrite "HKEY_CLASSES_ROOT\.com\","comfile"
rg.regwrite "HKEY_CLASSES_ROOT\.bat\","batfile"
rg.regwrite "HKEY_CLASSES_ROOT\.lnk\","lnkfile"
rg.regwrite "HKEY_CLASSES_ROOT\.pif\","piffile"
rg.regwrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\lnkfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",std
end sub
Semoga bermanfaat...
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG (Start - Run : MsConfig), disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db (hati-hati, bukan thumbs.db). Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
6. Untuk men-delete
file-file selain 4 file terdahulu, kita harus mencarinya dengan cara
search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced
options' pastikan option 'Search system folders' dan 'Search hidden
files and folders' keduanya telah dicentang.
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Trik
untuk mengatasi virus atau program yang memblokir regedit, task
manager, atau virus yg biasanya suka mengubah ekstensi .exe,.com, dsb
agar ketika dijalankan file dgn ekstensi tsb malah mengeksekusi virus..
Script Antibodi ini ketika di-run ada 2 pilihan,
yg pertama looping, yg kedua cuma sekali "suntik"
Kalau
looping, maka antibodi ini terus2an (balapan, mungkin jauh lebih cepat
dari timer virus untuk memblokir registry) memulihkan beberapa key
penting di registry. Yang penting tujuannya kita tetap bisa buka task
manager dan regedit.
Tambahan, dengan script ini bisa buka folder options, tapi biasanya windows butuh restart explorer.exe dulu agar terasa efeknya.
OK... ini dia kodenya tinggal copas ke notepad trus save jadi antibodi.vbs, lalu dobel klik..
Tambahan, dengan script ini bisa buka folder options, tapi biasanya windows butuh restart explorer.exe dulu agar terasa efeknya.
OK... ini dia kodenya tinggal copas ke notepad trus save jadi antibodi.vbs, lalu dobel klik..
'AntiBody Registry Windows
dim rg,std,a,b,c,t
a = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\"
b = "HKEY_LOCAL_MACHINE\Software\Microsoft\WIndows NT\Image File Execution Options\"
std = chr(34) & "%1" & chr(34) & " %*"
set rg=createobject("wscript.shell")
t=msgbox("Looping? Ya / TIdak",36,"Antibodi!Registry")
if t = 6 then
do
sehat
loop until i = 1
else
sehat
end if
sub SEHAT()
'mereset settingan windows
rg.regwrite a & "System\DisableRegistryTools",0,"REG_DWORD"
rg.regwrite a & "System\DisableTaskMgr",0,"REG_DWORD"
rg.regwrite a & "System\DisableCMD",0,"REG_DWORD"
rg.regwrite a & "Explorer\NoFolderOptions",0,"REG_DWORD"
'mereset setingan debbuger program
rg.regwrite b & "msconfig.exe\Debugger",""
rg.regwrite b & "regedit.exe\Debugger",""
rg.regwrite b & "cmd.exe\Debugger",""
'memperbaiki ekstensi agar tetap berjalan seperti semula
rg.regwrite "HKEY_CLASSES_ROOT\.exe\","exefile"
rg.regwrite "HKEY_CLASSES_ROOT\.com\","comfile"
rg.regwrite "HKEY_CLASSES_ROOT\.bat\","batfile"
rg.regwrite "HKEY_CLASSES_ROOT\.lnk\","lnkfile"
rg.regwrite "HKEY_CLASSES_ROOT\.pif\","piffile"
rg.regwrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\lnkfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",std
end sub
Semoga bermanfaat...
0 comments:
Post a Comment
Hargailah orang lain agar orang lain menghargaimu. Silahkan Komentar dengan Baik dan Sopan.