Virus shortcut cukup membuat kita binggung dan terganggu , jadi virus ini memang harus dibasmi jauh-jauh dari komputer kita.
Mau tau caranya, berikut ini langkah-langkahnya :
1. Sebelumnya matikan dulu proses system restore.
2. Matikan proses dari file
Wscript yang terletak di
C:\Windows\System32,dengan cara menggunakan tools seperti
CProcess, HijackThis atau dapat juga menggunakan
Task Manager dari Windows.
3. Setelah dimatikan proses dari
Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut. Sebagai catatan, kalau kita me-rename dari file
Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file
Wscript.exe yang lainnya, biasanya ada di
C:\Windows\$NtServicePackUninstall$,
C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi
MDB yang berarti adalah file
Microsoft Access. Jadi
Wscript akan menjalankan file
DATABASE.MDB seolah-olah dia adalah file
VBS.
4. Delete file induknya yang ada di
C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga
MSCONFIG,
disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file
Autorun.INF.
Microsoft.INF dan
Thumb.db. Caranya, klik tombol
START, ketik
CMD, pindah ke drive yang akan dibersihkan, misalnya drive
C:\, maka yang harus kita lakukan adalah: Ketik
C:\del Microsoft.inf /s, perintah ini akan men-delete semua file
microsoft.inf di seluruh folder di drive
C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh:
D:\del Microsoft.inf /s.Untuk file
autorun.inf, ketik
C:\del autorun.inf /s /ah /f, perintah akan men-delete file
autorun.inf (
syntax /ah /f) digunakan karena file tersebut memakai attrib
RSHA, begitu juga untuk file
Thumb.db lakukan juga hal yang sama.
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi
.lnk ukurannya
1 kb. Pada '
More advanced options' pastikan option '
Search system folders' dan '
Search hidden files and folders' keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file
LNK yang berukuran
1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran
1 kb dan bertipe '
shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah '
File Folder'.
7.
Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program '
notepad' kemudian simpan dengan nama '
Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer