1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2.
4. Mematikan fungsi dari file Registry.
5. Menambahkan value di registry.

ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

1. Matikan proses dari file WSCRIPT yang terletak di C:WindowsSystem32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2. Sebelumnya matikan dulu proses SYSTEM RESTORE.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:Windows$NtServicePackUninstall$, C:WindowsServicePackFilesi386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript “C:Documents and SettingsAdministratorMy Documentsdatabase.mdb””
4. Delete file induknya yang ada di C:Documents and SettingsMy Documentsdatabase.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:, maka yang harus kita lakukan adalah
Ketik C:del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:del Microsoft.inf /s
Untuk file autorun.inf, ketik C:del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon “folder”, ukuran 1 KB dengan Type “Shortcut”. Sedangkan folder yang benar harusnya tidak memiliki “size” dan Typenya adalah “File Folder”. Contoh di bawah, gambar bagian kiri folder dengan nama “Music”, “Video”, “Programs”, “Documents” dan “Compressed” sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type “Shortcut”. Sedangkan Folder dengan nama “Compressed”, “Documents”, “Music”, “Programs”, “Video” dan “Virus” yang tidak memiliki Size dan Type “File Folder” adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya
7. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama “Repair.inf”. Jalankan file tersebut dengan cara:

- Klik kanan repair.inf
- Klik Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSEScomfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESexefileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESpiffileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SoftwareCLASSESscrfileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKLM,SOFTWAREMicrosoftWindowsCurrentVersionRun, Winupdate
HKCU,SOFTWAREMicrosoftWindowsCurrentVersionRun, explorer

download repair

Vaksin