Cara menghilangkan virus JSE/Beautiful Girl

Virus JSE adalah sebuah virus berbasis Javascript Encoded Files yang menyembunyikan sebuah dokumen yang berekstensi *.doc, *.docx, *.rtf dll dan mengubahnya menjadi *.jse dengan nama yang sama, ketika file dokumen tersebut kita klik file dokumen akan terbuka seperti biasa sekaligus mengaktifkan script virusnya. Berikut Keterangan Lebih lanjut mengenai virus JSE atau Beautiful Girl ini : A. About Virus Nama : annie.ani Ukuran : 9,201 bytes Info : JavaScript Encoded File B. Companion atau File yang dibuat Serviks-JS dalam aksinya membuat file sebagai berikut: 1.) Autorun.inf berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut. [autorun] shellexecute=wscript.exe //e:jscript.encode annie.ani /a shell\open\command=wscript.exe //e:jscript.encode annie.ani /a shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a 2.) Beautiful_girl_part_1 s/d part_5 ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5 3.) Annie.sys berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut : HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e 4.) Annie.ani berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry. C .Aksi Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus. Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut: lalu menyisipkan kode Serviks-JS sebagai berikut: Selain itu Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f “%1″, Serviks-JS juga membuat value pada Image File Execution Options bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q /f