Berikut langkah-langkahnya:
- Turn off proses system restore
- Turn off proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.
- Setelah proses Wscript dimatikan, delete atau rename file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.
Catatan : Jika me-rename dari file Wscript.exe tersebut , dengan otomatis akan mengcopy lagi di folder tersebut. jadi, perlu diketahui lokasi file Wscript.exe yang lain, biasanya di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi .mdb (file Microsoft Access). Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. - Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
- Selanjutnya , delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. - Untuk men-delete file-file selain 4 file tsb, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada ‘More advanced options’ pastikan option ‘Search system folders’ dan ‘Search hidden files and folders’ keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon ‘folder’, berukuran 1 kb dan bertipe ‘shortcut’. Sedangkan folder yang benar harusnya tidak memiliki ‘size’ dan tipenya adalah ‘File Folder’. - Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program ‘notepad’ kemudian simpan dengan nama ‘Repair.inf’. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]Signature=”$Chicago$”Provider=Vaksincom Oyee[DefaultInstall]AddReg=UnhookRegKeyDelReg=del[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”[del]HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinupdateHKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Selamat mencoba - Klik kanan repair.inf
Tidak ada komentar:
Posting Komentar