Nonaktifkan System Restore selama proses pembersihan 3. Matikan proses dengan nama WSCRIPT.EXE yang aktif di memory. Untuk memudahkan dalam mematikan proses tersebut, Anda dapat menggunakan tools Process Explorer, silahkan download tools tersebut di website (lihat gambar 18) http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
4. Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan,
silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara: a. Klik REPAIR.INF b. Klik INSTALL Berikut script yang harus di copy [Version] Signature="$Chicago$" Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00 010001,1 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x000100 01,1 HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Df5serv HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Svchost HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, WarningIfNotDefault HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder HKCU, Software\Microsoft\Internet Explorer\Main,Start Page
5. Gunakan fitur Software Restriction Policies untuk restrict/blok agar file induk virus tidak dapat
dijalankan/dieksekusi. Fitur ini hanya terdapat pada System Operasi Windows XP Professional/Vista/7/2003/2008. Sebelum melakukan penghapusan tampilkan terlebih dahulu semua file yang tersembunyi dengan melakukan perubahan konfigurasi pada Folder Options dengan acara: Buka [Windows Explorer] Klik menu [Tools] Klik [Folder Options] Pada layar [Folder Options], klik tabulasi [View] Pilih opsi Show hidden files and folders Hilangkan tanda checklist pada opsi Hide extensions for known file types dan Hide protected operating system files (Recommended) g. Kemudian klik tombol [Apply] dan [Ok] (lihat gambar 19)
a. b. c. d. e. f.
Setelah berhasil menampilkan file/folder yang tersembunyi, kemudian daftarkan file induk virus [dekstop.ini] dengan cara berikut: Klik menu [Start] Klik [Run] Pada dialog box RUN ketik SECPOL.MSC kemudian klik tombol [OK] (lihat gambar 20)
Kemudian akan muncul layar Local Security Settings Klik kanan Software Restriction Policies, klik Create new policies, kemudian akan muncul 2 (dua) menu baru yakni Security Level dan Additional Rules Klik kanan pada Additional Rules, kemudian klik New Hash Rule... (lihat gambar 21)
Pada kolom File hash, klik tombol [Browse] kemudian arahkan ke file [dekstop.ini] yang mempunyai ukuran 16 KB. (lihat gambar 22)
Pada kolom Security level pilih Disallowed Pada kolom Description isi deskripsi dari nama file tersebut (bebas) (lihat gambar 23)
Catatan: Pada saat user menjalankan salah satu file duplikat (shortcut) maka akan muncul pesan peringatan berikut: (lihat gambar 24)
6. Hapus file induk dan file duplikat yang dibuat oleh virus.
o Hapus file induk VBS/Cantix C:\WINDOWS\:Microsoft Office Update for Windows XP.sys C:\Documents and Settings\%user%\My Documents\df5srvc.bfe C:\Documents and Settings\%user&\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini C:\WINDOWS\system32\serviks.sys C:\windows\svchost.exe C:\windows\tasks\autorun.inf C:\windows\tasks\dekstop.ini C:\windows\tasks\Folder.lnk C:\windows\system32\auto.exe C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp) Hapus file duplikat yang dibuat oleh VBS/Cantix. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi Search Windows (lihat gambar 23) Catatan: Pada kolom [All or part of the file name], isi dekstop.ini,autorun.inf,*.lnk Pada kolom [Look in:], isi lokasi Drive yang akan diperiksa Pada menu [More advanced options], pilih opsi Search system folders Search hidden files and f olders Search subfolders (lihat gambar 25)
Jangan sampai terjadi kesalahan pada saat menghapus file yang dibuat oleh VBS/Cantix, hapus file virus yang mempunyai ciri-ciri berikut: Hapus file yang mempunyai nama o Autorun.inf ukuran file 1 KB o Dekstop.ini ukuran file 16 KB (lihat gambar 26)
Hapus file duplikat dengan ciri-ciri o Icon Folder o Ekstensi file adalah LNK o Type file adalah Shortcut o Ukuran file 1 KB
7. Copy file MSVBVM60.DLL dari komputer lain yang belum terinfeksi dengan OS yang sama,
kemudian simpan file tersebut ke direktori [C:\Windows\System32]
8. Untuk pembersihan optimal, instal dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman (http://www.norman.com/support/support_tools/58732/en) atau (http://www.freedrweb.com/cureit/?lng=en) (lihat gambar 28 dan 29) Malware Dr.Web Cleaner CureIT