Virus Shortcut

Beberapa hari yang lalu, teman saya ada yang mengeluhkan komputernya terkena virus yang tidak
mempan diperbaiki menggunakan anti virus apapun. Setelah kontak teman-teman, ada yang
menemukan solusi jitu terkait dengan virus ini. Sebut saja nama virusnya VIRUS SHORTCUT,
karena virus tersebut membuat shortcut dari folder yang ada di hardisk. Namun shortcut tersebut
jika dilihat property-nya akan mengarah pada link virus yang bersarang di windows/system32.
Teman saya sudah berupaya mencari update berbagai macam anti virus termasuk yang selama ini
kami gunakan yaitu PCMAV dan NOD32 terbaru untuk menghilangkan virus ini. Namun ternyata
upaya tersebut tidak membuahkan hasil.

Dengan upaya keras mencari berbagai informasi dari internet, akhirnya ditemukan solusi untuk
membasmi virus ini, meskipun dilakukan secara manual dan benar-benar menyita waktu karena
setelah berhasil menghapus virus, proses selanjutnya adalah mencari (search) satu persatu shortcut
tipuan tersebut dari harddisk dan kemudian menghapusnya secara manual pula.

Adapun Ciri – Ciri Virus Shortcut tersebut adalah:

Pertama-tama, setelah menginfeksi komputer, dia akan membuat file induk database.mdb di My
Documents

Yang kedua adalah virus tersebut akan membuat file autorun.inf di setiap drive harddisk, flash disk,
dan folder tanpa kecuali

Yang ketiga adalah dia akan membuat file Thumb.db (hati-hati, perhatikan bahwa file ini tanpa
huruf s sedangkan thumbnail cache yang asli di komputer memiliki tambahan huruf s alias
thumbs.db) di setiap folder

Untuk memancing korban, dia akan membuat file Microsoft.lnk dan New Harry Potter and….lnk di
setiap folder yang jika dieksekusi akan langsung mengaktifkan virus tersebut.

Seperti halnya virus-virus lokal lainnya, dia akan membuat duplikat setiap folder namun kali ini
bukan dengan ekstensi .exe melainkan extensi .ink alias shortcut.

Pada task manager terdapat proses services wscript.exe yang sedang berjalan. Dalam kondisi
normal, tidak ada proses seperti ini.

Langkah – Langkah pembasmian:

1. Matikan System Restore. Sejak dulu saya selalu mematikan system restore segera setelah proses
instalasi windows. Untuk keperluan backup dan imaging system, saya lebih memilih menggunakan
third party seperti acronis ataupun Norton Ghost.

2. Matikan proses virus wsrcipt.exe (C:\WINDOWS\System32\wscript.exe)

Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..

3. Hapus file virus database.mdb di My Documents..

4. Hapus file duplikat virus..

Untuk proses penghapusan, anda bisa menggunakan fasilitas search pada Windows.. Pada “More
advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders”
keduanya telah dicentang.

Search file dengan nama autorun.inf ukurannya 8 KB

Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
Hapus semua file yang ditemukan..

Untuk lebih memudahkan proses pencarian yang sekaligus menghapus file yang ditemukan, anda
bisa menggunakan software UTool, sebuah freeware yang dapat anda download secara gratis di
SINI. Program ini akan secara otomatis mencari dan kemudian menghapus file-file yang diinginkan
(lihat gambar).

5. Hapus registry Autorun yang dibuat virus dengan menggunakan HijackThis..

Cari di bagian HKCU\..\Run: yang berhubungan dengan file database.mdb (pada gambar namun file
database.mdb udah saya hapus)
Untuk lebih memantabkan proses pencegahan dan melindungi komputer kita dari serangan virus
lokal yang sangat memusingkan ini, anda dapat melakukan hal-hal berikut:

1. Setelah proses instalasi windows, segera matikan system restore.

2. Install software third party misal Tweak UI atau Magic Tweak untuk mendisable autorun dan
mencegah teraktivasinya file-file .inf. Mungkin pada Windows XP Professional, proses menon-
aktifkan autorun bisa dilakukan dengan mudah, namun pada versi Win XP Home, anda memerlukan
software ini. Tambahan informasi, program MagicTweak selain berfungsi menon-aktifkan autorn
dapat juga digunakan untuk mencegah dijalankannya file-file .inf File autorun.inf yang biasanya
merupakan awal dari berjangkitnya virus akan secara otomatis diubah menjadi murni file txt alias
notepad oleh program ini dan dia tidak lagi bisa dieksekusi. Ini sangat membantu jika memang
secara tidak sengaja kita mengaktifkan atau mengeksekusi autorun.inf meski proses autorun sudah
didisable untuk semua drive (termasuk flash disk).

3. Setelah semua proses instalasi windows, driver, program, dan lain-lain telah selesai, segera
backup image system anda menggunakan software macam Acronis True Image atau Norton Ghost,
sehingga jika nanti ada masalah yang tidak dapat anda selesaikan dengan mudah, anda dapat
merestoreasi backup system tersebut.

4. Jika perlu, instal juga Deep Freeze apabila komputer anda digunakan oleh banyak orang,
sehingga settingan komputer tidak akan berubah-ubah.

5. Update info: Ciri-ciri virus terdapatnya virus shortcut pada flashdisk dapat diketahui dengan
perbedaan icon flashdisk tersebut yang biasanya berbentuk seperti icon drive menjadi berubah
seperti icon folder. Jika menemui icon seperti ini, berarti dalam flashdisk tersebut terdapat virus.
Gunakan explorer dan buka flashdisk lewat explorer (jangan klik 2x dari my computer) dan hapus
file autorun dan file2 tersangka virus lainnya secara manual dengan menekan shift + DEL (supaya
tidak tersangkut di recycle bin). Rata-rata virus lokal dapat dicegah dengan cara manual seperti ini
asalkan OPSI DISABLE AUTORUN pada windows dan/atau MagicTweak telah diaktifkan, dan
juga OPSI DISABLE .INF FILE pada MagicTweak telah diaktifkan (lihat gambar).
Semoga informasi ini dapat membantu dan membuat kita lebih hati-hati jika menemui virus-virus
lokal. Jangan sampai kita menjadi korban dan pekerjaan kita terbengkelai karena harus ngurusi
virus.