Virus VBS/Jenxcus atau Dunihi Melumpuhkan Flash Disk

Awal nya seorang manager di kantor yang mengeluhkan laptop miliknya setiap kali dimasukan flash disk, data didalamnya berubah jadi karakter aneh ataupun hilang semua, sehingga menjadi panik mengingat data di flash disk adalah data penting.

Setelah saya cek saya juga binggung, flash disk saya juga mengalami hal serupa, mulai browsing untuk mengetahui virus apa ya. Informasi dari google coba gunakan antivirus dr.web, norman, avast hingga microsoft malicious yang semua nya melewati begitu saja,, flashdisk saya dibilang gak ada virusnya...wow, pusing juga ya.

Terakhir saya coba menggunakan antivirus Smadav versi terbaru 9.8.1 dengan booting menggunakan booting hiren, flash disk discan dan dipulihkan semua file yang terinfeksi.

Link Download --> Smadav 9.81 + Key Pro

Virus VBScript Encoder
Virus ini memiliki extension .vbe, yang merupakan VBScript yang terencode, karena itu akan terlihat acak jika file dibuka dengan text editor. Namun untuk melihat source code VBScript aslinya sangat mudah, dengan menggunakan tool Microsoft Script Encoder (screnc.exe) atau tool online di Tools Decoder

Kalau melihat source code aslinya dan menelusuri nama function, variable, dan pesan-pesan yang ditampilkan semuanya dalam bahasa Inggris, maka kemungkinan ini adalah virus luar. Namun sebenarnya, ini belum benar-benar source code asli, karena masih ada script yang dienkripsi. Bagi yang dapat mendekripsi source code aslinya - caranya sangat mudah, cukup menambahkan script untuk menulis ke file hasil dekripsi virus - maka akan terlihat signature pembuatnya yaitu:

'<[ recoder : houdini (c) skype : houdini-fx ]>

Karena itulah antivirus Symantec dan TrendMicro memberi nama virus ini Dunihi.

Seperti juga virus VBScript lain, ia aktif di memory melalui wscript.exe, ia mengcopykan dirinya sama persis ke folder startup, temp, dan flashdisk/ removable drive, dan membuat shortcut di flashdisk sesuai dengan nama folder (jika ada) dan meng-hidden folder asli.

Virus juga membuat registry standar di key Run: machine\software\microsoft\Windows\CurrentVersion\run\app = wscript.exe //B "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\app.vbe" user\current\software\Microsoft\Windows\CurrentVersion\run\app = wscript.exe //B "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\app.vbe"

Virus juga mencoba melakukan koneksi ke website http://basss.no-ip.info melalui port 2023.

Cara Mematikan Fungsi Wscript.exe
silahkan ikuti instruksi dibawah ini

1. buka menu "run" melalui "Start Menu" atau tekan tombol Windows dan R bersamaan dan akan muncul seperti ini

kemudian ketik "gpedit.msc" lalu OK

2. akan muncul seperti ini dan lakukan seperti urutan langkah-langkah yang ada digambar

klik Administrative Templates>>>Systems>>>klik 2 kali "Don't run specified Windows Applications"

4. akan muncul seperti ini

pilih "enable" dan klik "show"

5. muncul seperti ini, dan ketik manual seperti yang tertulis di gambar
wscript.exe dan cscript.exe

lalu klik OK

6. scan Full all drive.
Menghapus Virus Tanpa Antivirus
Menghapus virus ini cukup mudah, dengan cara sebagai berikut:

1. Hentikan process wscript.exe di Task Manager atau gunakan tool seperti Process Explorer.
2. Ketik msconfig pada menu Run, lihat pada tab Startup, lihat pada item app, item ini adalah startup virus.
3. Lihat di mana foldernya dan hapus manual file app.vbe.
4. Restart.

Baca juga profil wanita muda cantik segudang prestasi :