Thumbs.db bagian II

Artikel ini merupakan lanjutan dari artikel sebelumnya yang membahas thumbs.db. Fila yang asli bawaan dari windows adalah thumbs.db (menggunakan s). Namun pada artikel ini membahas file-file yang mirip thumbs.db.
Beberapa virus membuat file thumb.db (tanpa s) yang serupa dengan thumbs.db (menggunakan s) guna untuk mengelabuhi pengguna computer agar file tersebut tidak dicurigai. Virus-virus tersebut adalah Virus Shortcut (virus thumb.db), virus new harry potter, virus Microsoft. Walaupun bukan termasuk jenis virus yang berbahaya, tapi kehadiran virus ini cukup membuat kewalahan. Seperti virus yang lain, virus ini baru aktif apabila pengguna komputer mengakses folder shortcut yang bernama microsoft.lnk atau new harry potter and…lnk. Apabila opsi turn off autoplay pada windows tidak diaktifkan, virus ini juga bisa menyebar apabila flash disk kita buka dengan cara men-double klik folder flash disk.

Virus ini bekerja dengan cara membuat induk virus di My Documents dengan nama database.mdb. File ini akan diakses di Registry melalui proses yang bernama Wscript.exe (berbeda dengan proses dari windows yang bernama wscript.exe dengan huruf w kecil. Tapi umumnya proses wscript.exe windows pun tidak akan berjalan pada kondisi normal). Baru-baru ini saya bahkan menemui virus ini (atau kena virus yang lain juga ya? ^_^ ) mendisable regedit sehingga kita tidak bisa menghapus registry yang berhubungan dengan database.mdb tadi. Virus ini membuat file autorun.inf dan thumb.db di setiap folder dan sub folder – sub folder yang ada di dalamnya. Selain itu, virus ini juga membuat shortcut yang bernama Microsoft.lnk dan New Harry Potter and…lnk. Apabila shortcut tersebut diklik, virus pun akan menginfeksi komputer. Setelah virus ini aktif, virus akan membuat shortcut semua folder yang ada di harddisk dengan nama yang sama dengan folder asli.
Setelah “membongkar-bongkar” komputer dan mencari referensi kesana kemari, akhirnya saya mendapatkan langkah-langkah untuk menghilangkan virus ini :

1. Matikan proses Wscript.exe melalui task manager atau dengan menggunakan Process Explorer.
2. Hapus database.mdb yang ada di My Document. File ini biasanya di-hidden sehingga kita harus mengaktifkan opsi Show hidden files and folders yang ada di Folder Options.
3. Hapus registry yang berhubungan dengan database.mdb di registry My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Apabila komputer kita terkena virus ini maka pada registry akan ada registry database.mdb seperti gambar di bawah ini :
4. Apabila langkah ke 3 tidak bisa dilakukan karena regedit ter-disable oleh virus, gunakan tools untuk mengakses registry. Biasanya saya menggunakan tools HijackThis untuk melakukan scanning registry. Setelah diadakan proses scanning registry, maka dapat dilihat proses yang berhubungan dengan database.mdb pada hasil scanning seperti gambar di bawah ini :
5. Setelah “memulihkan” registry, langkah terakhir adalah menghapus semua file yang berhubungan dengan virus. File-file tersebut adalah :
• autorun.inf
• thumb.db (berbeda dengan file thumbs.db yang merupakan file dari windows)
• Microsoft.lnk dan New Harry Potter and…lnk
• File *.lnk lain yang merupakan duplikasi dari folder asli (hati-hati saat menghapus terutama saat menghapus *.lnk di drive C)

Untuk download artikel lengkapnya klik disini