Beberapa hari yang lalu, teman saya ada yang mengeluhkan komputernya terkena virus yang tidak mempan diperbaiki menggunakan anti virus apapun. Setelah kontak teman-teman, ada yang menemukan solusi jitu terkait dengan virus ini. Sebut saja nama virusnya VIRUS SHORTCUT, karena virus tersebut membuat shortcut dari folder yang ada di hardisk. Namun shortcut tersebut jika dilihat property-nya akan mengarah pada link virus yang bersarang di windows/system32. Teman saya sudah berupaya mencari update berbagai macam anti virus termasuk yang selama ini kami gunakan yaitu PCMAV dan NOD32 terbaru untuk menghilangkan virus ini. Namun ternyata upaya tersebut tidak membuahkan hasil.
Dengan upaya keras mencari berbagai informasi dari internet, akhirnya ditemukan solusi untuk membasmi virus ini, meskipun dilakukan secara manual dan benar-benar menyita waktu karena setelah berhasil menghapus virus, proses selanjutnya adalah mencari (search) satu persatu shortcut tipuan tersebut dari harddisk dan kemudian menghapusnya secara manual pula.
Adapun Ciri – Ciri Virus Shortcut tersebut adalah:
Pertama-tama, setelah menginfeksi komputer, dia akan membuat file induk database.mdb di My Documents
Yang kedua adalah virus tersebut akan membuat file autorun.inf di setiap drive harddisk, flash disk, dan folder tanpa kecuali
Yang ketiga adalah dia akan membuat file Thumb.db (hati-hati, perhatikan bahwa file ini tanpa huruf s sedangkan thumbnail cache yang asli di komputer memiliki tambahan huruf s alias thumbs.db) di setiap folder
Untuk memancing korban, dia akan membuat file Microsoft.lnk dan New Harry Potter and….lnk di setiap folder yang jika dieksekusi akan langsung mengaktifkan virus tersebut.
Seperti halnya virus-virus lokal lainnya, dia akan membuat duplikat setiap folder namun kali ini bukan dengan ekstensi .exe melainkan extensi .ink alias shortcut.
Pada task manager terdapat proses services wscript.exe yang sedang berjalan. Dalam kondisi normal, tidak ada proses seperti ini.
Langkah – Langkah pembasmian:
1. Matikan System Restore. Sejak dulu saya selalu mematikan system restore segera setelah proses instalasi windows. Untuk keperluan backup dan imaging system, saya lebih memilih menggunakan third party seperti acronis ataupun Norton Ghost.
2. Matikan proses virus wsrcipt.exe (C:\WINDOWS\System32\wscript.exe)
Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..
3. Hapus file virus database.mdb di My Documents..
4. Hapus file duplikat virus..
Untuk proses penghapusan, anda bisa menggunakan fasilitas search pada Windows.. Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Search file dengan nama autorun.inf ukurannya 8 KB
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
Hapus semua file yang ditemukan..
Untuk lebih memudahkan proses pencarian yang sekaligus menghapus file yang ditemukan, anda bisa menggunakan software UTool, sebuah freeware yang dapat anda download secara gratis di SINI. Program ini akan secara otomatis mencari dan kemudian menghapus file-file yang diinginkan (lihat gambar).
5. Hapus registry Autorun yang dibuat virus dengan menggunakan HijackThis..
Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb (pada gambar namun file database.mdb udah saya hapus)
Untuk lebih memantabkan proses pencegahan dan melindungi komputer kita dari serangan virus lokal yang sangat memusingkan ini, anda dapat melakukan hal-hal berikut:
1. Setelah proses instalasi windows, segera matikan system restore.
2. Install software third party misal Tweak UI atau Magic Tweak untuk mendisable autorun dan mencegah teraktivasinya file-file .inf. Mungkin pada Windows XP Professional, proses menon-aktifkan autorun bisa dilakukan dengan mudah, namun pada versi Win XP Home, anda memerlukan software ini. Tambahan informasi, program MagicTweak selain berfungsi menon-aktifkan autorn dapat juga digunakan untuk mencegah dijalankannya file-file .inf File autorun.inf yang biasanya merupakan awal dari berjangkitnya virus akan secara otomatis diubah menjadi murni file txt alias notepad oleh program ini dan dia tidak lagi bisa dieksekusi. Ini sangat membantu jika memang secara tidak sengaja kita mengaktifkan atau mengeksekusi autorun.inf meski proses autorun sudah didisable untuk semua drive (termasuk flash disk).
3. Setelah semua proses instalasi windows, driver, program, dan lain-lain telah selesai, segera backup image system anda menggunakan software macam Acronis True Image atau Norton Ghost, sehingga jika nanti ada masalah yang tidak dapat anda selesaikan dengan mudah, anda dapat merestoreasi backup system tersebut.
4. Jika perlu, instal juga Deep Freeze apabila komputer anda digunakan oleh banyak orang, sehingga settingan komputer tidak akan berubah-ubah.
5. Update info: Ciri-ciri virus terdapatnya virus shortcut pada flashdisk dapat diketahui dengan perbedaan icon flashdisk tersebut yang biasanya berbentuk seperti icon drive menjadi berubah seperti icon folder. Jika menemui icon seperti ini, berarti dalam flashdisk tersebut terdapat virus. Gunakan explorer dan buka flashdisk lewat explorer (jangan klik 2x dari my computer) dan hapus file autorun dan file2 tersangka virus lainnya secara manual dengan menekan shift + DEL (supaya tidak tersangkut di recycle bin). Rata-rata virus lokal dapat dicegah dengan cara manual seperti ini asalkan OPSI DISABLE AUTORUN pada windows dan/atau MagicTweak telah diaktifkan, dan juga OPSI DISABLE .INF FILE pada MagicTweak telah diaktifkan (lihat gambar).
Semoga informasi ini dapat membantu dan membuat kita lebih hati-hati jika menemui virus-virus lokal. Jangan sampai kita menjadi korban dan pekerjaan kita terbengkelai karena harus ngurusi virus.
Loading ...
39 Comments
Makasih banget ya atas informasinya,,,
aku uda seminggu ne pusing karena virus ne…..aku juga uda nyoba berbagai jenis anti nirus termasuk yang sebutkan di atas tapi dasar virus jelek..tetp aj g mau go dr kmpterQ
[Reply]
oya aku g ngerti mksudnya option nomer 5
bisa di jelaskan lebih detail g???
makasih
[Reply]
Keadaan Saya Saat Ini Sama Seperti Yang Anda Utarakan Diatas.. Tapi Saya Lakukan Sesuai Cara Diatas Hasilnya
TIDAK BISA……
[Reply]
@enda… silahkan download program hijackthis di http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html lalu jalan proses nomor 5.
Key RUN pada registry fungsinya menjalankan service/aplikasi pada saat pertama kali windows booting. Jika prosesnya dihapus lewat hijack this, maka pada proses booting service/aplikasi yang dijalankan virus tersebut tidak akan jalan.
@Abdullah, TIDAK BISA bagaimana maksud anda? Dimana kendala yang anda alami, apakah UTool dan MagicTweak sudah anda manfaatkan dengan benar?
[Reply]
ada beberapa langkah untuk menghapus virus ini. salah satunya yang termuat di web ini. dan saya memiliki cara sendiri. virus autorun.inf, thumb.db, thumbs.db,……lnk, suka menyembunyikan diri bersama sistem yang super hiden. jadi kalau saja mau di delete susah nyarinya. ada beberapa cara jitu.
1. jika Drive C sudah terinfeksi tentunya harus diinstall ulang itu C-nya.
2. setela menginstall ulang C-nya dan windows dapat dioperasikan jangan sekali2 anda membuka “my computer” karena dengan anda membuka my computer maka virus yang berada di drive partisi anda akan aktiv dan menginfeksi C lagi.
3. langkah yang harus anda ambil adalah….
> clik start
> Run
> pada kotak run ketik cmd
setelah itu akan muncul c:\ document and setting\ user(tergantung nama PC)>
4. Ketik—- c:\ document and setting\ user(tergantung nama PC)>D:
D: adalah nama drive partisi anda. setelah itu c:\ document and setting\ user(tergantung nama PC)> —> akan berubah menjadi D:
5. setelah D: muncul ketik “attrib -s -h /s /h *.* /s /d” itu berfungsi mengeluarkan file yang super hidden.
setelah keluar semuanya…
a. ketik “del /f /s autorun.inf” enter. maka autorun otomatis akan terhapus semuanya.
b. ketik “del /f /s thumb.db”
c. ketik “del /f /s thumbs.db”
d. ketik “del /f /s *.lnk”
rumus itu gunakan semua, jika partisi di komputer anda banyak, maka ketik drive anda dan ulangi step yang ada.
[Reply]
Mantaf!
[Reply]
Aq pake avg internet security 8.0 update terbaru, virus ini di gilas sampai akar2 nya , , , ,
yang free edition g’ tau lagi y?!
[Reply]
Ass..
Avira Premium (update 20 Januari 2009) udah bisa mengenali virus ini sebagai VBS/Yuyun A dan akan menghapus file thumb.db dan database.mdb.
Untuk file Autorun.inf dan shortcut duplikat folder dihapus secara manual.
Caranya bisa lihat diblog ini atau bisa liat di blog saya :
cahayainformatika.wordpress.com/
belajarkomputeraja.blogspot.com/
Kalau AVG 8.0 Antivirus mengenalinya sebagai VBS Worm dan akan menghapus semuanya termasuk autorun.inf dan shortcut duplikat folder.
Sekian…
Wassalam
[Reply]
makasih bank resepnya …
may god bless you …
may god punish the f***ing virus maker
[Reply]
o ya lagi…
aku kemarin udah deletin tuh virus satu per satu pake’ distro / linux
cape’….
buanyak banget
sebab avg, avira & karpersky update terbaru ngga’ mempan / ngga’ detect blass …
once … thanks a lot
[Reply]
@anak orang.. senang bisa membantu
[Reply]
sudah semua cara di coba tp kok ngk bisa jg ya… aku pake’ PCMAV + nod32, ada yang lebih jituuuuuu ngk?? mohon infonya..
[Reply]
antivirus sebenernya nggak bisa 100% mengobati penyakit pada komputer kita yang terkena infeksi virus..
klo kepengen nyoba yang jitu. silahkan di depfreeze aja…
[Reply]
THANX YA ATAS INFOX.
Q KAN KERJA D WARNET, KOMPUTER USER ITU BUANYAK VIRUS HARRY POOTER GITU
OH YA…..
MAS/MBAK BISA G NGATASIN VIRUS JARINGAN, VIRUS YANG MEMUTUS SHARES JARINGAN………… KLO DAH AKTIF TUCH MUNCUL TULISAN GENERIC APA GITU TRUS PUTUS DA JARINGAN YG D SHARES D KOMPUTER USER. BLS D EMAIL Q YA… shihooo_bgt@yahoo.com
THANX
[Reply]
yo makasih boz tak coba dulu ,ayo perangi virus……..!!!!!
[Reply]
Maaf mo nanya nich,
-tuh database virus apa udah pasti nempel di my documents, klo misal g ketemu solusinya apa
-n klo td aq dah cari lewat windows searching tapi file yg ekstensinya (ink) kok g ketemu sih.
[Reply]
Broo…
Suwun mane’ Informasine…
Mau awan (ba’da dhuhur) Ta’ Coba Cara pean…
Alhamdulillah Saiki wis Ilang Kabeh Viruse….
Suwun yo….
Kapan2 Kalau Ada Artikel Bru Kirimin Dunk’s ke Email Aq…
Oke….
[Reply]
Pake ANSAV pun jadi….babat habis…
[Reply]
Use Ansav?! U VERY VERY Crazy Bro……
Ansav just detect [*.inf]/Autorun.PPE in ANSAV newest. 4 duplicat folder in all drive?! Not detectable…. U must Delete that MANUALY. 
System restore stil LOCKED to till U fixed that with another Tool like U want Hijacker or other…. 
[Reply]
selamat tinggal dunia
[Reply]
sueebbeeeeellll….
dah nyoba semua cara..
tetep ga bisa
petunjuk pertama matikan wscript
ga nemu broo dimana tempatnya
dah cari pake progam hijack this atopun ctrl+alt+del
wscript ga kedetect
so…
harus gimana neeehhhhh
tengkyu
[Reply]
sekedar ikut nimbrung…
aku dah pake norman maleware cleaner dan hasilnya bisa menghapus virus tersebut. selamat mencoba….
hehehe………
[Reply]
mKCI BANYAK YOOO MASSS
NI AKN BERGUNA BNGET…..
1X LG MKCI ZOOOOO…………….
[Reply]
suksma(terima kasi banyak)atas infonya,saya jadi jengkel gara-gara virus yang sox kecakepan tu….pengen tak bunuh yuyun…..he,,,,,,he..
[Reply]
udah lama mainan komputer, kok aku baru kenak and baru tahu sekarang ya ha ……
makasih ya infonya …..
[Reply]
kl shortct hardisk berubah jd ms.word itu virus apa yah? cara ngatsinya gmna?
bls ke e-mail di yon_jimbo18@yahoo.com
[Reply]
Dari pada setiap saat dipusingkan dengan virus, mendingan pake LINUX aja yang ngk gampang kena penyakit kayak w**d**s.
Selain itu Legal dan Halal. Gimana???
[Reply]
Qbingung buanget solny susah di hilangin padahal q udah ngapus
[Reply]
gimana sih cara pake UTool?
aku udah masukkin nama di kotak ‘match file name’,
tapi pas klik tombol ’search’ yang kluar malah tulisan ‘no directories select!’
padahal, semua folder sudah aku kasih centang…
[Reply]
penggunaan utool itu sebenarnya kan untuk memudahkan mendetele file sesudah dibersihkan dengan antivirus terlebih dahulu. Jadi induknya kan da dibersihkan. masukkan aja *.lnk; *.inf;Thumb.db
langsung delete aja..
penggunaan karakter kelihatannya masih belum mampu untuk beberapa keyword, yang sudah saya coba langsung bisa jalan dengan maksimal 3 keyword.
jadi kalau ada parameter yang lain.. tambahkan lagi
misal: New Harry
[Reply]
wah,sangat membantu ni tipsnya..
saya pernah kna sih,tp alhamdulillah dah beres..
install ulang
ada sedikit tips nih buat mematikan auto run di windows XP..
biar gag kena lagi virus2 lokal yg mengandalkan autorun dari flashdisk..
mungkin jg udah banyak yg tau..
lgsg aj ni..
-klik start
-run
-ketik gpedit.msc
-klik user configuration
-klik system
-kemudian enable turn of auto play
semoga membantu
[Reply]
simple..untuk basmi virus shortcut tersebut..download aja
1.ansav terbaru
2.pakai registrasiFX bawaan ansav
3.doanload cc cleaner untuk lihat proses delete startup yg tidak perlu.
4.catatan virus tersebut ada di my document cari aja dia di hidden file dg nama database.mdb dia otaknya sedangkan autorun.inf hanya prosesny saja.
5 pendapat temen2 semua juga sudah bener
6.langkah terAKHIR cari dg ekstensi “*.lnk”
7.minum kopi deh biar mak nyus
[Reply]
setELAH dicari *.lnk hapus aja.. NB:jangan pernah format hardiskmu…lama lama hardisk loe bisa bad sector alias rusak…hidup penuh tantangan maka berpikirlah…
[Reply]
TOOOOLLLLOOOOOOONNGGGGG….!!!!
kmptr gw ky’y kna virus yuyun
tp msa iya seh udh gw install ulang windows’y smpe 3x gk ilang juga tuh virus,,???
PUUUSSSIIIINNNGGGG bgt …!!!!
jd gni crita’y
prtama bru slsai d install sih gk ada gejala2 virus,, tp pas gw install software2 bru dah tuh yg plg ketauan bgt klo gw jlnin Mediaplayerklasik,, keluar pesan error runtime c++ float gitu2 deh,,
nah pas gw coba ke folder option baru dah tuh virus isenk,,
tp yg gw binggung klo d scan pke smadav ver 2009 gk k detek tuh virus cm registry’y aja d hajar,,,
ky’y registry’y d bkin gk bisa masuk safemode,,, ha…haaa sok tau bgt neh newbie…
tolong donk para master d kasih solusi’y tp jgn format hardisk y,,???
klo bisa d ksih tau file induk’y ada dmn,,???
pgn gw ajak berantem…
ha…
[Reply]
cara cepat menghapus file2 sisa virus yg berbentuk shortcut…
1. search
pilih ukuran “at most 1 kb”
click tab “filetype” tab sampai yang kita search tersusun berdasarkan typenya… telusuri yg typenya shortcut… hapus semua shortcut yg berbentuk folder…
semoga membantu…
[Reply]
makasih brow.
tapi aqu ngak bisa mematikan security nya .inf
Dan tanpa instalasi windows lagi. Apa viruz msh bisa menyebar.
[Reply]
thank you boz manteb bgt artikel’y
[Reply]
heheheheh mantab, tapi ada yang pernah kena di jaringan virus ini juga menyebar ke jaringan, ada yang atau cara menganggulanginya ga klo udah menyebar ke jaringan, client satu dibersihkan, client lainnya menginfeksi lagi, heheh ga abis2 jadinya, klo clientnya cma 2 ato 3 gpp tapi klo 100 gmna? mohon petunjuknya master
[Reply]
icon harddisk d;rmh gw brubah….
kaya bkn icon aslinya lg….
knp y…
plizzz…ksh tau donk
[Reply]