Mengusir Folder Shorcut yang Membandel di Komputer

Saya ada pertanyaan tentang folder yang ada di laptop saya.

1. Kenapa di setiap folder terdapat folder shortcut dengan nama yang sama pada folder yang ditempati dan hampir seluruh folder terdapat shortcut, jika dihapus shortcut tersebut akan muncul kembali.

2. Tentang folder dengan nama "skypee" itu, apakah itu virus? Kenapa ketika dicari manual tidak ada folder tersebut, folder tersebut hanya dapat dilihat dengan software, bagaimana cara menghilangkannya?

Jawaban [Vaksincom]:

1. Kemungkinan Anda terkena virus varian shortcut, karena jika sumber virusnya belum dihapus maka virus tersebut akan mencopy terus menerus walaupun shortcut tersebut bapak hapus.

Untuk mencari sumber dari virus tersebut bapak bisa melakukan cara ini:
- klik kanan shortcut tersebut dan pilih properties.
- pilih tab Shortcut
- maka di kolom target akan terpampang lokasi sumber virus tersebut

2. Untuk folder skypee, kemungkinan itu folder yang disembunyikan/hidden folder dan untuk file autoit3.exe kemungkinan itu salah satu virus tersebut. Mohon maaf kita belum bisa mengidentifikasi nama virus tersebut karena dibutuhkan file shortcut tersebut untuk dikirimkan ke kami.

Anda bisa melihat file folder tersebut dengan cara manual, tapi sebelumnya harus ada beberapa option yang harus di-setting.

Jika Anda menggunakan Windows 7:
- Buka Control Panel
- Pilih Folder Option
- Pilih Tab View pada option paling atas 
- Pada pilihan Hidden file and folder pilih "show hidden files,folder and drive"
- Unceklis pada kolom "Hide protected operating system files (recommended)"
klik ok. Maka folder yang tersembunyi tersebut akan terlihat oleh windows explorer

Untuk me-remove virus tersebut Anda disarankan untuk men-scan secara keseluruhan PC dengan antivirus terupdate, dan untuk pelindungan menyeluruh disarankan dapat menggunakan G Data Antivirus 2014 dengan mendownload nya di sini.

Demikian yang dapat saya sampaikan, jika mengalami kendala Anda dapat menginformasikan kembali.

baca keseluruhan - Mengusir Folder Shorcut yang Membandel di Komputer

'Naik Kelas', Virus Lokal Manfaatkan Celah di Windows

Kebanyakan virus lokal di Indonesia melakukan serangan dengan memanfaatkan keteledoran pengguna semata. Namun virus yang satu ini telah 'naik kelas' dengan memanfaatkan celah keamanan Windows.

Keberadaan virus itu disampaikan oleh peneliti antivirus dari Vaksincom, Alfons Tanujaya. "Dia membuat shortcut dan mengeksploitasi celah keamanan. Jarang virus lokal eksploitasi celah keamanan," tutur Alfons .

Adang Jauhar Taufik, analis antivirus Vaksincom, mengatakan laporan pertama virus ini berasal dari kota Gorontalo di Sulawesi. Penyebaran virus ini diketahui melalui USB Flashdisk.

Virus ini mengubah folder yang ada di dalam USB Flashdisk menjadi shortcut. Kemudian, jika shortcut itu diakses virus akan menginfeksi komputer hingga kinerja komputer menjadi buruk.

Selain itu, Alfons mengatakan, virus ini melindungi dirinya dari piranti seperti Security Task Manager atau aplikasi pembunuh proses lainnya. Jika digunakan, aplikasi tersebut bisa hang atau mati.

"Kelihatannya, pembuat virusnya memperhatikan artikel-artikel pembasmian virus Vaksincom yang sering menggunakan Security Task Manager. Sehingga kalau dibersihkan, dia sudah prepare," kata Alfons.

Celah yang dimanfaatkan oleh virus ini adalah Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046. Microsoft telah menyediakan patch untuk menambal celah ini.

Norman Security Suite mendeteksi virus ini sebagai W32/VBWorm.BEUA. Untuk file shortcut-nya dikenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL.

Dr.Web Anti-virus mendeteksi virus ini sebagai  W32/HLLW.Autoruner.25850. File shortcut-nya dikenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3.

Adang mengatakan, virus ini dibuat dengan mengunakan program bahasa Visual Basic. Virus dengan ukuran 128 KB itu menurutnya akan memiliki ekstensi EXE atau SCR, serta icon Microsoft Visual Basic Project.

baca keseluruhan - 'Naik Kelas', Virus Lokal Manfaatkan Celah di Windows

8 Langkah Mendepak Virus Pengeksploitasi Celah Windows

Kehadiran virus W32/VBWorm.BEUA atau yang lebih dikenal sebagai virus shortcut yang mengeksploitasi celah keamanan terbilang cukup meresahkan. Sebab, meski berlabel virus lokal, ia tidak hanya memanfaatkan keteledoran pengguna. Namun telah 'naik kelas' dengan menerobos celah keamanan Windows.

Simak 8 langkah praktis untuk mendepak virus yang mampu mengubah folder yang ada di dalam USB flash disk menjadi shortcut tersebut, menurut Adang Jauhar Taufik, analis dari Vaksincom:

1. Nonaktifkan 'System Restore' untuk sementara selama proses pembersihan.

2. Putuskan komputer yang akan dibersihkan dari jaringan.

3. Matikan proses virus yang aktif di memori dengan menggunakan tools 'Ice Sword'. Setelah tools tersebut terinstal, pilih file yang mempunyai icon 'Microsoft Visual Basic Project' kemudian klik 'Terminate Process'. Silahkan download tools tersebut di http://icesword.en.softonic.com/

4. Hapus registri yang sudah dibuat oleh virus dengan cara:
-. Klik menu [Start]
-. Klik [Run]
-. Ketik REGEDIT.exe, kemudian klik tombol [OK]
-. Pada aplikasi Registry Editor, telusuri key [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
-. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%].

5. Disable autoplay/autorun Windows. Copy script di bawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara: Klik kanan REPAIR.INF --> INSTALL


[Version]

Signature="$Chicago$"

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

6. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di flash disk. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi 'Search'. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan mengubah pada setting Folder Options.

Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus. Lalu hapus file induk virus yang mempunyai ciri-ciri:

-. Icon 'Microsoft Visual Basic Project'.
-. Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi).
-. Ekstesi file '.EXE' atau '.SCR'.
-. Type file 'Application' atau 'Screen Saver'.

Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri:

>. Icon Folder atau icon
>. Ekstensi .LNK
>. Type File 'Shortcut'
>. Ukuran file 1 KB

Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di flash disk atau folder yang di-share. Sementara untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK).

7. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder di http://www.flashshare.com/bfu/download.html.

Setelah diinstall, pilih direktori [C:\Documents and settings] dan folder yang ada di flash disk dengan cara menggeser ke kolom yang sudah tersedia. Pada menu [Attributes] kosongkan semua pilihan yang ada, kemudian klik tombol [Change Attributes].

8. Install security patch 'Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046'. Silakan download security patch tersebut di  http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx


Seperti biasa, untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.

baca keseluruhan - 8 Langkah Mendepak Virus Pengeksploitasi Celah Windows

7 Langkah Menghentikan Banjir Virus Shortcut

Virus PIF/Starter atau yang lebih dikenal dengan virusshortcut membuat kesal korbannya dengan banyak sekali shortcutyang dibuat oleh virus tersebut. Repotnya, kalau cara penanganan virus ini tak tepat maka ia malah akan kembali lagi, lagi dan lagi.

Oleh sebab itu, simak 7 cara jitu dari analis virus Vaksincom MG Lat untuk menghentikan banjir shortcutyang diakibatkan virus ini:

1. Sebelumnya matikan dulu proses system restore.

2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.

3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.

Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.

Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.

4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:

Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.

6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced options' pastikan option 'Search system folders' dan 'Search hidden files and folders' keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.

7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:

- Klik kanan repair.inf
- Klik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer 

baca keseluruhan - 7 Langkah Menghentikan Banjir Virus Shortcut

Cara Menghapus Virus Shortcut

Kali ini saya akan share tentang Cara Menghapus Virus Shortcutyang merupakan virus yang agak sulit untuk di hilangkan. Memang banyak antivirus-antivirus yang bagus dan baik didalammenghilangkan virus shortcut ini, tetapi biasanya hanya men lock saja agar virus tersebut tidak menyebar kemana-mana dan sebenarnyavirus shortcut masih ada dan tidak terhapus dari pc komputer anda ataupun flashdisk anda. 

Berikut adalah cara menghapus virus shortcut : 

*Nonaktifkan ‘System Restore’ untuk sementara selama proses pembersihan.

*Putuskan komputer yang akan dibersihkan dari jaringan.

*Matikan proses virus yang aktif di memori dengan menggunakan tools ‘Ice Sword’. Setelah tools tersebut terinstal, pilih file yang mempunyai icon ‘Microsoft Visual Basic Project’ kemudian klik ‘Terminate Process’. Silahkan download tools tersebut di http://icesword.en.softonic.com/

*Hapus registri yang sudah dibuat oleh virus dengan cara :

-. Klik menu [Start]

-. Klik [Run]

-. Ketik REGEDIT.exe, kemudian klik tombol [OK]

-. Pada aplikasi Registry Editor, telusuri key [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

-. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%].

*Disable autoplay/autorun Windows. Copy script di bawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara: Klik kanan REPAIR.INF –> INSTALL

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

*Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di flash disk. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi ‘Search’. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan mengubah pada setting Folder Options.

Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus. Lalu hapus file induk virus yang mempunyai ciri-ciri :

-. Icon ‘Microsoft Visual Basic Project’.

-. Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi).

-. Ekstesi file ‘.EXE’ atau ‘.SCR’.

-. Type file ‘Application’ atau ‘Screen Saver’.

Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri :

>. Icon Folder atau icon

>. Ekstensi .LNK

>. Type File ‘Shortcut’

>. Ukuran file 1 KB

Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di flash disk atau folder yang di-share. Sementara untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK).

*Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder di http://www.flashshare.com/bfu/download.h….

Setelah diinstall, pilih direktori [C:\Documents and settings] dan folder yang ada di flash disk dengan cara menggeser ke kolom yang sudah tersedia. Pada menu [Attributes] kosongkan semua pilihan yang ada, kemudian klik tombol [Change Attributes].

*Install security patch ‘Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046′. Silakan download security patch tersebut di  http://www.microsoft.com/technet/securit…

Cara Menghapus Virus Shortcut di Flashdisk

Random8 Salah satu worm yang paling banyak beredar di masyarakat saat ini. Worm ini dibuat dengan menggunakan bahasa pemrograman Visual Basic tanpa di-pack dan memiliki icon standar aplikasi Visual Basic. Walaupun varian-varian yang ditemukan sampai saat ini tidak menunjukkan payload yang destruktif, tetapi munculnya varian-varian baru dan penyebarannya yang cepat perlu diwaspadai.

Random8 memiliki kemampuan polymorphic untuk mengacak tubuhnya, berbagai antivirus mengenalinya dengan nama yang beragam, seperti Poly.Agent, VB-PTV, Vobfus, Worm.VB.NZJ, dan lain-lain. PCMAV mengenalinya sebagai Random8 (sampai saat ini Random8 yang dikenali mencapai 12 varian), mengambil salah satu karakteristik worm saat menduplikasikan dirinya, yaitu menghasilkan string yang selalu acak pada bagian tertentu, dimana string tersebut terdiri dari 8 karakter alfabet.

Random8 memanfaatkan removable disk sebagai metode penyebarannya, waspadai jika removable disk Anda memiliki ciri-ciri antara lain :

* Semua folder di-hidden.

* Banyak file shortcut dengan nama folder yang di-hidden dan menambahkan shortcut dengan nama Documents, Music, New Folder, Passwords, Pictures, dan Video.

* Terdapat 4 (empat) file dengan attribut Hidden, System dan Read Only yaitu : Autorun.inf, dua file

*.exe dengan nama acak dan 1 file dengan tipe Dinamic Link Library (.dll). Varian tertentu juga membuat file dengan nama x.exe.

* Semua shortcut yang di buat mengarah pada file worm yang berekstensi *.scr.

* Beberapa varian mengubah icon removable disk menjadi icon Folder.

baca keseluruhan - Cara Menghapus Virus Shortcut

Virus Shortcut Hantui Indonesia

Celah keamanan pada file shortcut (.lnk) di sistem operasi Microsoft Windows jadi sasaran pembuat virus. Dilaporkan, ada puluhan sampel virus shortcut yang diketahui sedang marak beredar di Indonesia.

Demikian pernyataan dari Alfons Tanujaya, analis antivirus Vaksincom,"Virus ini termasuk paling banyak ditemui di seluruh pelanggan Vaksincom dan secara de facto penyebarannya sangat meluas," ujarnya.

Menurut keterangan dari Vaksincom, banyaknya varian virus yang memanfaatkan celah yang sama bisa jadi sulit dideteksi oleh program antivirus. Namun ada juga antivirus yang memiliki teknologi tertentu yang memungkinkan hal semacam ini diantisipasi.

Berikut adalah beberapa varian virus yang memanfaatkan celah keamanan pada file .LNK di Microsoft Windows seperti disampaikan analis antivirus Adi Saputra dari Vaksincom:

Sality (Tanatos) 

Varian virus polymorphic yang melakukan infeksi file executable, dan juga ternyata menggunakan celah keamanan ini untuk melakukan penyebaran. Selain melalui file yang diinfeksi, Sality membuat 2 file (1 file autorun.inf dan 1 file executable dengan nama acak) melalui media USB dan jaringan yang menggunakan full sharing (dengan menyertakan pula ratusan file executable sampah dengan nama acak). 

Zeus (Zbot atau botnet)

Varian trojan yang melakukan infeksi pada web-web bank dan finansial. Dengan menambahkan keylogger pada halaman web tersebut dengan maksud mendapatkan username dan password. Worm ini mampu menginfeksi komputer melalui celah pada browser seperti Internet Explorer dan Mozilla Firefox. Worm ini juga dapat melakukan broadcast spam kepada alamat e-mail tertentu.

Chymine (worm YM atau conime/secupdat) 

Worm yang sangat populer menginfeksi komputer melalui media Yahoo Messenger. Dengan teknik penyebaran yang sama seperti Zeus/Zbot dan Sality, dan memiliki varian yang berbeda-beda.

Stuxnet 

Trojan yang baru-baru ini menyebar dengan cepat dengan memanfaatkan koneksi jaringan dan media USB. Trojan ini membuat space harddisk kita menjadi habis.

VBNA/Hllw.Autoruner (worm Vobfus atau Shortcut/Random) :

Worm shortcut yang memiliki karakter seperti worm YM. Dengan menggunakan banyak file acak dan ukuran yang berbeda-beda, maka tak jarang tidak semua antivirus mampu mendeteksi varian virus worm ini. Saat ini worm ini cukup populer dan mampu menyebar dengan pesat.

baca keseluruhan - Virus Shortcut Hantui Indonesia