Knowledge Base: Mengembalikan registry windows

Knowledge Base > z ITD Only > TSP > Virus > Mengembalikan registry windows

Viewing Mengembalikan registry windows

Mengembalikan registry windows
By rfirmansyah

Berikut ini adalah kebiasaan yang dilakukan oleh virus pada Windows XP :

Mengganggu Registry

Jelas ini merupakan langkah mantap awal dari virus untuk memulai kehidupannya di Windows. Setelah mendaftar sebagai salah satu program, kemudian dengan liciknya mematikan akses ke Registry. Bahkan dengan santainya memanipulasi beberapa nilai yang ada disana.
Umumnya, virus akan memasukkan perintahnya pada :

HKEY_LOCAL_MACHINE\Software\Micorosft\Windows\Currentversi on\Run

Karena ruang tersebut merupakan sasaran empuk untuk menambah nafasnya setiap kali komputer restart.
Untuk menutupi aksinya, kemudian virus memblok akses memasuki registry dengan memasukkan perintah DisableRegistryTools �h pada :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversio n\Policies\Explorer\System

Selanjutnya, agar file induknya tidak terlihat, biasanya virus akan memberika attribute Hidden . Serta, dengan sangat pintarnya menutup akses menuju Folder Options, yakni ruang untuk Show Hidden Files dengan memberi perintah NoFolderOptions �h pada ruang:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentver sion\Policies\Explorer

Rupanya ia tidak puas sampai disitu. Menu Run yang biasa muncul lewat tombol Start , pun dihilangkannya, dengan memberi perintah NoRun �h pada ruang :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentver sion\Policies\Explorer

Ibarat maling, viruspun akan berusaha mati-matian agar tidak mendapatkan kesempatan sedikitpun untuk melakukan pengecekan pada Control Panel , sehingga ia memberi perintah NoSetFolder �h pada ruang :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversio n\Policies\Explorer

Selanjutnya :

DisableTaskmgr (Menutup akses ke Task Manager )
Pada ruang :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversio n\Policies\Explorer

DisableCMD (Melarang user untuk memasuki Dos Prompt)
pada ruang :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversio n\Policies\Explorer/System

Perhatikan gambar berikut :

Cukupkah sampai disitu usahanya untuk menyembunyikan diri ? .. ternyata tidak, masih banyak hal lain yang dilakukannya agar senantiasa langgeng di komputer anda. Mengenai masalah ini akan dibahas secara khusus pada Mendalami Regsitry �h.

SYSTEM CONFIGURATION

Pasti anda masih ingat, bahwa System Configuration adalah ruang yang dibuka dengan perintah msconfig dari Run .

Pada ruangan ini terdapat menu Startup . Seluruh nama file yang diberikan kotak centang (�ã) disampingnya, itu merupakan kelanjutan dari perintah yang ada di Registry pada ruang :

HKEY_LOCAL_MACHINE\Software\Micorosft\Windows\Currentversi on\Run

Dimana, file-file yang tertulis disana akan otomatis menghidupkan program atau aplikasi tertentu setiap kali komputer memasuki Desktop (setelah restart).

Dan, setiap perintah yang virus tanamkan pada ruang registry tadi, akan secara otomatis dapat dilihat dari menu startup. Sehingga, dengan lincahnya, virus-pun memblok akses masuk ke System Configuration . Kasihan windows, ia terpontang-panting mempertahankan hidupnya. L

Pada System Configuration , terdapat menu services yang menampilkan berbagai informasi tentang proses background yang dijalankan windows. Salah satu diantaranya adalah System Restore Service . Awalnya, gagasan mengenai dibangunnya system restore adalah untuk memudahkan user mengembalikan setting windows berdasarkan histori. Misalnya, anda ingin agar komputer anda, baik tampilannya maupun struktur programnya persis seperti tanggal 12 Juni 2001. Nah, dengan system restore, anda dapat melakukannya dengan mudah. Tinggal klik sana dan klik sini.

Kesimpulan om Virus, Kalau begitu, umur saya akan bertambah panjang jika service ini hidup �h, karena windows secara otomatis akan melakukan chek point pada waktu-waktu tertentu. Maka, diabadikanlah system restore oleh om virus.

TASK MANAGER

Sekedar mengingatkan, bahwa Task manager adalah ruang untuk menampilkan berbagai file dari program yang sedang aktif. Dan ingat, virus adalah program, sehingga file yang menghidupkannya pun pasti akan tampil di Task Manager, walaupun bisa saja dalam posisi tersembunyi. Umumnya, virus akan menyamarkan dirinya sebagai file asli windows, misalnya service.exe .

Seharusnya, yang benar adalah services.exe , perbedaan yang ada hanya pada penempatan huruf h. Namun ternyata cara ini cukup mengecoh user, sehingga userpun enjoy aja. Tertipu .

File-file yang sedang aktif itu dapat dilkihat di menu processes . Dan Karena hal itu, maka Task Manager-pun akhirnya wajib di disable , dengan alasan Untuk Kehidupan�h.

Salah satu cara bagi anda mengenali file kepunyaan windows adalah dengan mengahafalkan terlebih dahulu file-file yang aktif di Task Manager pada saat windows sedang nganggur (tidak menjalankan program apapun).

Berikut ini adalah letak-letak file proses Task Manager
Nama file
Letak

Explorer.exe
C:\Windows

Smss.exe
C:\Windows\System32

Lsas.exe
C:\Windows\System32

Services.exe
C:\Windows\System32

Spoolsv.exe
C:\Windows\System32

Winlogon.exe
C:\Windows\System32

System
C:\Windows\System32

C:\Windows\help

C:\Windows\System32\config

C:\Windows\Repair

Csrss.exe
C:\Windows\System32

Jika suatu saat anda menemukan nama-nama file diatas berada di posisi lain, maka anda patut untuk curiga, namun tetap dengan azas praduga tak bersalah. J

FOLDER OPTIONS

Sebagian dari anda mungkin banyak sudah tahu dengan fungsi dari Folder Options, diantara salah satu fungsinya adalah untuk menampilkan file-file yang hidden dan super hidden . Lho, apa bedanya ?

Gampangnya, file hidden (tersembunyi) dapat dilihat dengan klik Show Hidden Files and Folders �h dari menu View. Ditambah dengan membuang ceklis pada Hide Protected Operating Systems (Recommended )�h untuk menampilkan file super hidden .

KEMAMPUAN REGENERATE

Seiring perkembangan zaman, rupanya teknologi viruspun senantiasa dinamis dan semakin ok. Yang harus anda ingat, disebut virus karena program perusak tersebut mampu melakukan regenerasi (memperbanyak keturunan). Fungsinya, walaupun anda telah berhasil menghapus file induk dari suatu virus, namun jika anda mengklik ( eksekusi ) salah satu file hasil regenerasinya, maka file induk tadi secara otomatis akan muncul kembali.

Makanya, anda jangan hanya menjadi pemburu virus, sebaiknya sekalian menjadi penyelamat data. Sehingga, anda wajib tahu dimana sajakah biasanya user menyimpan file kesayangannya.

Ada satu kasus kecil dan cukup kuno, hingga saat ini banyak virus yang melakukan regenerasi melalui bantuan file yang berekstensi .doc (yang dibuat dengan Microsoft Word). Tentu saja file dengan ekstensi ini berisi ketikan data penting atau bahkan catatan hutang anda J . Pembuat virus berasumsi bahwa program Microsoft Word akan sangat sering dibuka oleh user untuk menuliskan data mereka.

Sehingga, dengan sangat pintar, virus yang dibuatnyapun akan melakukan regenerasi melalui file .doc dengan melakukan manipulasi Sembunyikan Asli, Tampilkan PalsuI’ ., maksudnya file dengan nama kebo.doc akan disembunyikan, kemudian ditampilkanlah file dengan nama kebo.exe atau kebo.doc.exe sebagai keturunannya. Dan tentu saja user akan tidak menyadari hal itu. Hasilnya, setiap kali user mengklik file tersebut, maka disitulah virus itu melakukan proses regenerasi.

Dan tugas anda adalah menghapus bibit (file induk) virus sekaligus mengembalikan data yang tersembunyi dan menghapus data-data palsu. Bagaimana cara regenerasi, akan anda baca pada Membuat Virus �h.

DISABLE “SAFE MODE WITH COMMAND PROMPT”

Mmmmmm, saya harap bagian ini jangan anda anggap kuno, karena lagi-lagi saya yakin diantara anda masih ada yang belum mengerti dengan Safe Mode .

Dulu, teman saya seringkali merasa jengkel dengan tampilan Windows98-nya yang tidak berwarna (berwarna norak) dengan dibubuhi tulisan Safe Mode pada pojok kanan kiri Desktop. Sambil menghisap rokoknya, dia bilang Padahal aku kan ga minta Windows untuk memasuki Safe Mode �h.

Safe Mode, secara harfiah artinya Mode Penyelamatan . Biasanya, pada windows 9x (98 dan Me), pilihan memasuki safe mode akan otomatis muncul setelah terjadi gagal Shut Down atau adanya penghentian proses secara paksa dari tombol power atau bisa juga karena mati lampu, begitu juga dengan Windows XP.

Tujuan Windows menggagas adanya Safe Mode adalah untuk proses perbaikan. Entah itu dengan mengecek file maupun memperbaiki system. Nah, di Windows XP terdapat pilihan menu tambahan yang bernama Safe Mode With Command Prompt , maksudnya agar user dapat langsung memasuki ruang Dos Prompt untuk mengecek atau menghapus file-file pengganggu. Dengan alasan ini, maka viruspun secara tegas dan otoriter mematikan fungsi menu Safe Mode With Command Prompt . Sehingga, walaupun anda memilih options tersebut ( setelah menekan tombol F8 ketika akan booting ) windows akan langsung memasuki Safe Mode saja.

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet004\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBo ot

Disable options ini dilakukan melalui registry dengan mengubah nilai pada

“AlternateShell ” Nilai AlternateShell , seharusnya terisi cmd.exe . Kemudian oleh virus dirubah dengan nama dari file induknya. Misalnya, Virus Rontokbro merubahnya dengan cmd-bronrok.exe .

Akibatnya, setiap kali user melakukan loading memasuki SafeMode With Command Prompt , maka sebenarnya dia sedang mengeksekusi virus.

Discuss (0)

Article added 08/14/07.
This article has been viewed 19 times, averaging 0 readers per day.

Rate this Article:

Site Map