Barusan aja di lab ada kejadian menjengkelkan. Komputer dengan nama Dursasana yang notabene adalah kompi yang biasa takpake kena virus aneh. Virus ini bertugas membuat folder tertentu dalam suatu drive jadi hidden. Kemudian jika dilihat lewat command prompt ato lewat linux akan kelihatan klo folder yang dihidden tadi tetep ada tapi ada file yang namanya sama dgn nama folder td dgn ekstensi [spasi].scr. Jika file .scr itu didouble klik maka dia akan menyebar ke direktori yg diklik. Selain itu kita gak akan bisa ngedit folder option. Karena begitu folder option dibuka lg maka settingannya akan kembali seperti smula. Jd kita tdk bs menampilkan file2 yg dihidden.
Yang paling menyebalkan, virus ini akan langsung menyebar begitu kita mbuka map network drive. 1 lagi ciri virus ini adalah dia punya file autorun.inf di folder yg terinfeksi dan file itu mengeksekusi Thumbs.com. Kemudian akan ada file Adobe Online.com dan Adobe update.com di Documents and Settings/nama_user_aktif/Start Menu/Programs/startup/ dan 2 file itu juga akan keliatan di task manager.
Sebetulnya virus ini bisa dideteksi oleh antivirus AVG, tp berhubung di Dursasana sudah ada Symantec, jdnya terpaksa deh bikin cara sendiri bwt ngilangin virus itu. Cuma cara ini agak “kasar”, jadi hati-hati memakainya. Pertama kali yang taklakukan adalah menghapussemua file .scr, Adobe Update dan online.com, autorun.inf, Thumbs.com, Thumbs[spasi3x].db. Di bawah ini adalah script untuk menghapus semua file itu
if [[ $1 = "" ]]; then
lokasi=`pwd`
else
lokasi=$1
fi
find “$lokasi” -name “*\ .scr” -exec rm -rfv {} \;
find “$lokasi” -name “Thumbs.com” -exec rm -rfv {} \;
find “$lokasi” -name “Thumbs\ \ \ .db” -exec rm -rfv {} \;
find “$lokasi” -name “autorun.inf” -exec rm -rfv {} \;
find “$lokasi” -name “Autorun.inf” -exec rm -rfv {} \;
find “$lokasi” -name “Adobe\ Online.com” -exec rm -rfv {} \;
find “$lokasi” -name “Adobe\ update.com” -exec rm -rfv {} \;
Copy script itu ke text editor di Linux anda, kemudian simpan (misal dengan nama hapusscr.sh). Jangan lupa pastikan script itu bisa dieksekusi. Kemudian mount drive yg terinfeksi dengan samba. Lalu eksekusi script tadi seperti ini :
./hapusscr.sh [direktori tempat drive di mount]
Setelah script itu selesai bekerja perhatikan apakah ada file2 yang tidak bisa dihapus. Bila ada file itu bs dihapus manual. Untuk yang Adobe Online dan Adobe update.com stop dulu prosesnya lewat task manager. Kalo g bisa pake aja Killer Machine. Program ini jg bisa dipake untuk ngilangin file .scr jg.
Nah setelah file2 itu tadi hilang maka langkah berikutnya adalah mengembalikan file2 yang tersembunyi. Untuk itu bisa dengan cara memindah file ke kompi yg pake linux trus dipindah lagi ke windows. Cuma kalo yang kena dirve C: jelas g bisa dilakuin. Ada cara lain untuk itu. Tapi harus dengan command prompt di Windows. Caranya :
attrib -H /s /d
atau
attrib -S -H /s /d
Untuk perintah yang kedua harap hati2. Sebab itu akan menghilangkan atribut system file. Jadi gunakan klo misal bukan drive yang ada file instalasi Windows. Lakukan command itu di root directory dari suatu drive.
Kemudian silakan buka regedit untuk mengubah isi registry supaya folder option di Windows Explorer bisa dirubah2. Yang harus dirubah di registry adalah :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon bagian LegalNoticeCaption dan LegalNoticeText dikosongi
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\NOHIDDEN bagian CheckedValue sama DefaultValue diisi 1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL bagian CheckedValue diisi 2 sama DefaultValue diisi 1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\HideFileExt bagian CheckedValue diisi 1, DefaultValue diisi 1, UncheckedValue diisi 0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\SuperHidden bagian CheckedValue diisi 1, DefaultValue diisi 1, UncheckedValue diisi 0
Setelah semua itu diedit mestinya komputer anda akan kembali seperti semula. Sayangnya Symantec sampe tulisan ini dibuat blm bisa deteksi klo itu adalah virus. Pusing juga klo ada yang nancepin flashdisk di komputer. O ya ada yang tau gak caranya lapor ke Symantec klo kita ada virus yg tidak terdeteksi?
Label: pc security and virus
