Membabat habis Virus Autorun 

Yuyun
Posted by absnet on 15 January 2009

Sumber : http://absnet.wordpress.com/2009/01/15/membabat-habis-virus-autorun-yuyun/ 

akhir-akhir ini yang lagi trend adalah virus autorun.inf dan thumbs.db. Virus ini membuat
banyak sekali shortcut di masing-masing folder berupa microsoft.lnk dan seterusnya. tak pelak
lagi, komputer yang terkena virus ini akan menjadi lambat bin lemot.

Sebenarnya cara yang saya gunakan ini akan berlaku bagi segala jenis virus, sehingga anda dapat
menangani virus-virus sederhana secara manual.

alat-alat

1. Total commander dapat didownload disini

Persiapan.

1. matikan autorun CD dan flash disk. caranya seperti ini

2. Mematikan wscript.exe.

wscript.exe adalah program window yang digunakan untuk menjalankan script. Agar virusnya
tidak lagi aktif di memory, maka harus dimatikan dahulu. Caranya: tekan ctrl+alt+del untuk
masuk TASK MANAGER, lalu cari wscrip.exe pada tab Processes , klik kanan kemudian pilih :
End Process Tree dan tekan YES

3. buka total commander. di “configuration/option/display” centang “show hidden/system files”

4. buka drive flash disk anda, misal “e:/” lihat di root folder apakah ada file autorun.inf yang ada
tanda seru berwarna merahnya

4. untuk memastikan autorun.inf anda adalah virus, maka lihat isinya. caranya . klik KANAN
autorun.inf.

b. TEKAN ctrl+Q

c. lihat isi kolom sampingnya. bila ada tulisan thumb.db atau tulisan ngaco lainnya yang bukan
milik anda “lain ceritanya kalau anda memang pembuat virus”, berarti itu virus.

Kalau nggak salah virus ini ada tulisannya “yuyun v.1″ atau “www.muslimah.or.id”

d. kalau ada virusnya berarti anda teruskan ke langkah 5. kalau nggak ya… selesai.
menghapus file buatan Yuyun (autorun.inf; thumb.db;*.lnk)

5. lakukan pencarian di “command/search” atau tekan Ctrl+F7

6. di kotak “search for” tulis “autorun.inf;thumb.db;*.lnk;database.mdb;*.tmp“. Pilih search in

“local harddisk”. tambahkan juga drive flash disk anda bila perlu

7. centang “find text:” isi dengan “Wscript.exe //e:VBScript” INGAT!. ini harus diisi, sebab
kalau tidak file penting anda akan HILANG

8. klik “start search”

9. setelah pencarian selesai.. klik “feed to listbook”

10.klik “Mark/select all” dan tekan F8

membersihkan registry

11. langkah terakhir adalah membersihkan registry. Buka registry dari start/run tulis: regedit.
Kalau di disable, silahkan hidupkan dengan cara yang telah dijelaskan di bagian lain blog ini.
Tekan CTRL+F untuk mencari kata “Wscript.exe //e:VBScript “. Delete lah key yang ada
tulisannya tersebut. dengan menekan tombol F3 sampai seluruh key yang mengandung kata
tersebut habis.

Mendelete file-file buatan yuyun

File yang yuyun buat ada beberapa, yaitu :

 %UserProfile%Local Settings/Temp/[Random].tmp
 %UserProfile%Local Settings/Temp/auto.exe
 %UserProfile%Local Settings/Temp/Yuyun.Q
 UNTUK KETIGA FILE TERSEBUT, DARIPADA SUSAH NYARI LEBIH BAIK
DELETE SAJA SEMUA FILE DI FOLDER TEMP
 %UserProfile%My Documents/database.mdb
 DELETE FILE INI BILA TIDAK TERDETEKSI DI SEARCH SEBELUMNYA

 %Windir%:Microsoft Office Update for Windows XP.sys

 DELETE FILE INI DI C:/WINDOWS

 %UserProfile%Local Settings/Temp/v.doc
 FILE INI TIDAK BERBAHAYA, HANYA PESAN YANG DIBUAT OLEH
PEMBUAT VIRUS

Sedangkan registry yang diganti, adalah seperti ini:

  HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/Run/
“Explorer” = “Wscript.exe //e:VBScript “%UserProfile%My Documents/database.mdb”"
 HKEY_LOCAL_MACHINESOFTWARE/MicrosoftWindows/
 CurrentVersion/Run/ “WinUpdate” = “Wscript.exe //e:VBScript “%Windir%:Microsoft
Office Update for Windows XP.sys”"
 DELETE REGISTRY TERSEBUT
 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
“DisableRegistrytools” = 1
 ENABLEKAN REGISTRY DULU DENGAN CARA SEPERTI INI

Kalau nggak mau susah, ternyata McAfee update terbaru sudah mampu menanganinya secara
otomatis. Saya menggunakan AVG dan masih belum mampu.
catatan :

 %userprofile% maksudnya di document and settings/username

 %windir% maksudnya c:/windows (atau di drive mana anda tempatkan folder windows)

Saya sarankan menggunakan Total Commander untuk membuka flashdisk dengan opsi “show
hidden file” karena anda dapat dengan cepat mendeteksi adanya virus ini; yang ditandai dengan
adanya tulisan autorun.inf dan thumb.db

Menghapus yuyun dari flashdisk

untuk menghapus yuyun dari flash disk, caranya lebih sederhana, karena yuyun hanya muncul
sebagai file autorun.inf dan thumb.db dan *.lnk di setiap folder. Dengan demikian caranya
sebagai berikut:

 Pastikan bahwa komputer anda sudah bebas virus, atau kalau mau membiarkan
komputernya ditangani oleh orang lain, minimal virusnya tidak jalan di memori.
Matikan wscrip.exe dari memori seperti langkah 2 diatas
 Lakukan prosedur 3 sampai 6, tapi di langkah 6, hanya tuliskan di “search for” –
“autorun.inf;thumb.db;*.lnk”.
 kerjakan langkah 7-10.
 cek ulang dan selesai

Selamat, komputer anda bebas dari virus

sekedar koreksi, filenya bukan thumbs.db melainkan thumb.db. Setahu saya thumbs.db itu bawaan
windows, sedangkan thumb.db merupakan generator dari tuh virus.

lanjutkan !!!

tapi pesen saya jangan semua shortcut Di delete

hanya shorcut ber-icon folder saja yang ANda delete …

Kasihan yang gak ngerti ntar tau2 shorcut programnya kok hilang semua ….

kalau saya pribadi menggunakan

1. processxp (Proces Explorer)
2. TKMV4 (The killer Machine)
3. UW2RC (windows Washer)

Untuk masalah registry saya menggunakan

1. Regtickpro
2. Regseeeker
3. windows configuaration
4. Smadav 4.4

Anti Virus Tersinstal Pada Kompie saya :

1. Avast Home Edtion

Portable :
1. PC MEDIA + Databasae Virus signature +-488.000 (main.cvd + daily.cvd)
2. Ansav
3. DRWeb CureIt

Firewall :
1. Windows Patrol
2. Avast

dan beberapa tools lainnya

untuk komparasi file
untuk hal – hal lainnya .. yang berguna menjinakkan virus
itung belajar siapa sih yang ngrusak kompie …