Membasmi Virus VBS/Cantix

Di Postingan VBS/Cantix (Virus Shortcut part 2) sebelumnya saya telah menjabarkan tentang virus VBS/Cantix. maka sekarang akan saya berikan cara membasmi virus ini..
Berikut cara Membersihkan virus yang menjengkelkan ini..

1. 
   Putuskan komputer yang akan di bersihkan dari koneksi internet dan intranet
   
2. 
   Nonaktifkan “System Restore” selama proses pembersihan
   
3. 
   Matikan proses dengan nama WSCRIPT.EXE yang aktif di memory. Untuk memudahkan dalam mematikan proses tersebut, Anda dapat menggunakan tools Process Explorer, silahkan download tools tersebut di website (lihat gambar 18)
   
   

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Gambar 18, Mematikan proses virus dengan Process Explorer

1. 
   Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan, silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara:
   

1. 
   Klik REPAIR.INF
   
2. 
   Klik INSTALL
   

Copy script berwarna hijau di box ini..

[Version] Signature="$Chicago$" Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1 HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1 HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0 [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Df5serv HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Svchost HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, WarningIfNotDefault HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder HKCU, Software\Microsoft\Internet Explorer\Main,Start Page

1. 
   Gunakan fitur “Software Restriction Policies” untuk restrict/blok agar file induk virus tidak dapat dijalankan/dieksekusi. Fitur ini “hanya” terdapat pada System Operasi Windows XP Professional/Vista/7/2003/2008. Sebelum melakukan penghapusan tampilkan terlebih dahulu semua file yang tersembunyi dengan melakukan perubahan konfigurasi pada Folder Options dengan acara:
   

1. 
   Buka [Windows Explorer]
   
2. 
   Klik menu [Tools]
   
3. 
   Klik [Folder Options]
   
4. 
   Pada layar [Folder Options], klik tabulasi [View]
   
5. 
   Pilih opsi “Show hidden files and folders”
   
6. 
   Hilangkan tanda checklist pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (Recommended)”
   
7. 
   Kemudian klik tombol [Apply] dan [Ok]
   

(lihat gambar 19)

Gambar 19, Menampilkan file yang tersembunyi
Setelah berhasil menampilkan file/folder yang tersembunyi, kemudian daftarkan file induk virus [dekstop.ini] dengan cara berikut:
· Klik menu [Start]
· Klik [Run]
· Pada dialog box RUN ketik SECPOL.MSC kemudian klik tombol [OK]
(lihat gambar 20)

Gambar 20, RUN Program
· Kemudian akan muncul layar “Local Security Settings”
· Klik kanan “Software Restriction Policies”, klik “Create new policies”, kemudian akan muncul 2 (dua) menu baru yakni “Security Level” dan “Additional Rules”
· Klik kanan pada “Additional Rules”, kemudian klik “New Hash Rule...”
(lihat gambar 21)

Gambar 21, Local Security Settings
· Pada kolom “File hash”, klik tombol [Browse] kemudian arahkan ke file [dekstop.ini] yang mempunyai ukuran 16 KB.
(lihat gambar 22)

Gambar 22, Menentukan file virus (Dekstop.ini)
· Pada kolom “Security level” pilih “Disallowed”
· Pada kolom “Description” isi deskripsi dari nama file tersebut (bebas)
(lihat gambar 23)

Gambar 23, Setting Hash Rule
· Klik tombol [Apply]
· Klik tombol [OK] kemudian restart komputer.
Catatan:
Pada saat user menjalankan salah satu file duplikat (shortcut) maka akan muncul pesan peringatan berikut:
(lihat gambar 24)

Gambar 24, Pesan error saat menjalankan file shortcut

1. 
   Hapus file induk dan file duplikat yang dibuat oleh virus.
   

• 
  Hapus file induk VBS/Cantix
  
  • 
    C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
    
  • 
    C:\Documents and Settings\%user%\My Documents\df5srvc.bfe
    
  • 
    C:\Documents and Settings\%user&\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini
    
  • 
    C:\WINDOWS\system32\serviks.sys
    
  • 
    C:\windows\svchost.exe
    
  • 
    C:\windows\tasks\autorun.inf
    
  • 
    C:\windows\tasks\dekstop.ini
    
  • 
    C:\windows\tasks\Folder.lnk
    
  • 
    C:\windows\system32\auto.exe
    
  • 
    C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp)
    

• 
  Hapus file duplikat yang dibuat oleh VBS/Cantix. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi “Search Windows” (lihat gambar 23)
  

Catatan:
§ Pada kolom [All or part of the file name], isi dekstop.ini,autorun.inf,*.lnk
§ Pada kolom [Look in:], isi lokasi Drive yang akan diperiksa
§ Pada menu [More advanced options], pilih opsi
· Search system folders
· Search hidden files and f olders
· Search subfolders
(lihat gambar 25)

Gambar 25, Mencari file induk dan file duplikat virus
Jangan sampai terjadi kesalahan pada saat menghapus file yang dibuat oleh VBS/Cantix, hapus file virus yang mempunyai ciri-ciri berikut:
· Hapus file yang mempunyai nama
o Autorun.inf ukuran file 1 KB
o Dekstop.ini ukuran file 16 KB
(lihat gambar 26)

Gambar 26, File virus VBS/Cantix
· Hapus file duplikat dengan ciri-ciri
o Icon Folder
o Ekstensi file adalah LNK
o Type file adalah Shortcut
o Ukuran file 1 KB

Gambar 27, File duplikat virus VBS/Cantix

1. 
   Copy file MSVBVM60.DLL dari komputer lain yang belum terinfeksi dengan OS yang sama, kemudian simpan file tersebut ke direktori [C:\Windows\System32]
   

1. 
   Untuk pembersihan optimal, instal dan scan dengan menggunakan antivirus yang up-to-date. Anda juga dapat menggunakan Norman Malware Cleaner (http://www.norman.com/support/support_tools/58732/en) atau Dr.Web CureIT (http://www.freedrweb.com/cureit/?lng=en)
   

(lihat gambar 28 dan 29)

Gambar 28, Hasil deteksi Norman Malware Cleaner

Gambar 29, Hasil deteksi Dr.Web Anti-virus
Sumber: Vaksin.com

..Terima Kasih. Semoga bermanfaat bagi para sobat blogger semua..