Virus ini sempat membuat beberapa teman kampusku bingung. Walaupun bukan termasuk jenis virus yang berbahaya, tapi kehadiran virus ini cukup membuat kewalahan. Seperti virus yang lain, virus ini baru aktif apabila pengguna komputer mengakses folder shortcut yang bernama microsoft.lnk atau new harry potter and…lnk. Apabila opsi turn off autoplay pada windows tidak diaktifkan, virus ini juga bisa menyebar apabila flash disk kita buka dengan cara men-double klik folder flash disk.
Virus ini bekerja dengan cara membuat induk virus di My Documents dengan nama database.mdb. File ini akan diakses di Registry melalui proses yang bernama Wscript.exe (berbeda dengan proses dari windows yang bernama wscript.exe dengan huruf w kecil. Tapi umumnya proses wscript.exe windows pun tidak akan berjalan pada kondisi normal). Baru-baru ini saya bahkan menemui virus ini (atau kena virus yang lain juga ya? ^_^ ) mendisable regedit sehingga kita tidak bisa menghapus registry yang berhubungan dengan database.mdb tadi. Virus ini membuat file autorun.inf dan thumb.db di setiap folder dan sub folder – sub folder yang ada di dalamnya. Selain itu, virus ini juga membuat shortcut yang bernama Microsoft.lnk dan New Harry Potter and…lnk. Apabila shortcut tersebut diklik, virus pun akan menginfeksi komputer. Setelah virus ini aktif, virus akan membuat shortcut semua folder yang ada di harddisk dengan nama yang sama dengan folder asli.
Setelah “membongkar-bongkar” komputer dan mencari referensi kesana kemari, akhirnya saya mendapatkan langkah-langkah untuk menghilangkan virus ini :
- Matikan proses Wscript.exe melalui task manager atau dengan menggunakan Process Explorer.
- Hapus database.mdb yang ada di My Document. File ini biasanya di-hidden sehingga kita harus mengaktifkan opsi Show hidden files and folders yang ada di Folder Options.
- Hapus registry yang berhubungan dengan database.mdb di registry My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Apabila komputer kita terkena virus ini maka pada registry akan ada registry database.mdb seperti gambar di bawah ini :
- Apabila langkah ke 3 tidak bisa dilakukan karena regedit ter-disable oleh virus, gunakan tools untuk mengakses registry. Biasanya saya menggunakan tools HijackThis untuk melakukan scanning registry. Setelah diadakan proses scanning registry, maka dapat dilihat proses yang berhubungan dengan database.mdb pada hasil scanning seperti gambar di bawah ini :
- Setelah “memulihkan” registry, langkah terakhir adalah menghapus semua file yang berhubungan dengan virus. File-file tersebut adalah :
Note : screenshot ini diambil dari komputer di lab yang menjadi korban virus (komputer yang sering saya pakai T_T)
Note : apabila ditemukan registry DisableRegedit = 1, hapus juga registry itu karena nilai 1 disitu bernilai true sehingga regedit kita ter-disable.
- autorun.inf
- thumb.db (berbeda dengan file thumbs.db yang merupakan file dari windows)
- Microsoft.lnk dan New Harry Potter and…lnk
- File *.lnk lain yang merupakan duplikasi dari folder asli (hati-hati saat menghapus terutama saat menghapus *.lnk di drive C)
Penghapusan file ini bisa dilakukan dengan menggunakan fungsi search yang ada di windows atau menggunakan tools UTool (menurut saya tools ini masih kurang stabil, masih sering error saat dioperasikan)
Selesai ^_^…
Masih bermasalah dengan virus ini?
Silahkan “mengeksplore” komputer Anda… siapa tahu masih ada file buatan virus yang masih tersisa.
Kalau masih belum bisa? Mungkin si pembuat virus sudah mengembangkan virusnya supaya lebih canggih ^_^
Semoga bermanfa'at,.............