Tapi, jangan khawatir virus itu bisa kita tangani dengan beberapa langkah - langkah yang cukup rumit. Meksi rumit, tapi hasilnya tak mengecewakan sama sekali, karena dengan sekali mengikuti langkah - langkah ini dijamin laptop atau komputer sahabat bersih dari virus shortcut. Sebelum itu kita kenalan dulu yuk dengan virus wscript yang jahat ini.
Ini deskripsi tentang virus wscript yang belum kita ketahui banyak bagi orang awam : wscript itu sendiri terletak pada folder C:\Windows\System32. Ukuran yang dimiliki oleh file ini cukup bervariasi dan beragam pula, contohnya pada Windows XP / Vista / 7 adalah 114,688 bytes ( 68% dari semua kemunculan ), 155,648 bytes, 141,824 bytes atau mungkin 151,552 bytes. File ini sebenarnya adalah file yang terpercaya oleh Windows, oleh karena itu file ini tidak terlihat oleh Windows, jadi file ini 12% sangat berbahaya.
Penting : Beberapa virus Malware mengkamuflasekan dirinya sebagai file wscript.exe, terutama jika terletak di dalam folder C:\Windows\System32. Oleh karena itu, cek proses wscript pada pc sahabat apakah itu adalah hama. Saya menyarankan saja gunakan Windows Task Manager pada windows anda untuk melihat aktifitas dari wscript.exe ini.
Ini adalah langkah - langkah untuk menghapus ataupun menghilangkan virus wscript pada windows anda dengan cara sebagai berikut ini :
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.
- Klik kanan repair.inf
- Klik Install
Selamat Mencoba, ya sahabatku ...- Sebelumnya matikan dulu proses system restore.
- Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.
- Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
- Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
- Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
- Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada ' More advanced options ' pastikan option ' Search system folders ' dan ' Search hidden files and folders ' keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.
- Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
. Sebelum kalian menyalin artikel dari blog ini baca aturannya terlebih dahulu di sini . Jangan lupa untuk tinggalkan saran atau kritik di bawah postingan ini agar blog ini semakin berkembang. " Tetap berkreasi dan teruslah berkarya ".
Izin Nyimak gan :D
BalasHapusSilahkan, gan :^)
HapusPakai Avira saja, gan pasti dijamin hilang total .
BalasHapusSodara, saya pernah install Avira... selama sy menggunakannya... kompi saya terasa lemot... Stlah Avira dhapus... ternyata dia biangnya! Ya, emang pake Avira apik... Tapi bukankah lebih baik pakai buatan Indo drpada luar.... Saya pakai smadav ya baik2 aja
HapusIzin kopas Gan
BalasHapusnice... tq bang...work 100%
BalasHapustengkyu
BalasHapusmantap
BalasHapusmematikan proses system restore gmana gan?
BalasHapusThx Gan Infonya.. Sangat Berguna
BalasHapusgan, gimana cara mendisable perintah yg menjalankan MSCONFIG ??
BalasHapussi kontol ini cuma copy paste aja bisanya
BalasHapussy dr malaysia, boleh sy tanya. dlm external hardisk sy ader folder yg sy cipta. boleh dikata kan dalam setiap folder yg sy cipta itu ada ikon data base file. Thumbs.db dlm kedudukan hidden file. kadang2 berukuran 4 kb, 6 kb dan 8 kb. adakah itu file virus?
BalasHapuspercuma kalo pake antivirus. tp yg make gak ngerti cara mengoprasikan
BalasHapusmematikan sistem restorenya sulit Gan,
BalasHapusijin copas tutornya gan,utk pembelajaran sendiri dan bukan publikasi,klo utk memberantas virus beatiful girl part1-part5 bs gk ya? tolong pencerhannya,cz sy dah coba tutorial dari blog yg lain tp gagal terus,trmksh,,,,
BalasHapuscoba cara ini : pertama download dulu UNLOCKER EXE..DOWNLOAD BISA DISINI:http://www.4shared.com/file/dZCdQfupce/Unlocker192.htm kemudian install,setelah install klik start menu klik WSCRIPT kemudian klik kanan -open location - kemudian klik kanan pada WSCRIPT lalu pilih UNLOKER pilih DELETE...SELAMAT MENCOBA...salam dari TKI
BalasHapus