Restore setting akibat virus, pake script

Setelah saya pelajari, rata rata virus yg beredar pada saat ini, menganut teknik yang hampir sama, cuman modifikasi nama doank…, gak ada tantangannya…sedang untuk target sama aja, gak ada perubahan.

Sebelumnya saya mohon maaf buat para master, artikel ini ditujukan buat para newbie, yg sering mengalami keluhan akibat virus. Mudah mudahan bisa membantu. Banyak solusi yang sama untuk hal ini, cuman yg jadi masalah, sebagai contoh, jika menu run anda hilang, meski anda tau setting registry yg harus dirubah, kalo registry editornya (regedit) di blok, khan jadi gak bisa apa apa.
Kelebihan pake script, anda cuman bermodalkan notepad doank or text editor sejenisnya.

Tutorial ini hanya berlaku buat operating system Windows doank..

Hal pertama, kenali dulu sistem file yg dipake oleh windows, yaitu dengan cara ketikkan taskmgr di menu run,

Dibawah ini adalah nama systemfile yg dibutuhkan windowsXP pada startup

- SystemIdleProcess
- System
- Smss.exe – Windows NT Session Manager
- Csrss.exe – Client Server runtime process
- Winlogon.exe – windows NT logon application
- Services.exe – Service and controller aplication
- Lsass.exe – LSA shell
- Svchost.exe – Generic host process for win32 application
- Explorer.exe – windows explorer/startmenu
- Spoolsv.exe – Spooler Subsystem application

Note :
Intinya, file diatas adalah syarat utama/file yg diperlukan oleh windows pada waktu start, jadi jangan coba-coba untuk menghapusnya. Selain file diatas, kalo gak kenal, anda bisa menghapusnya, apalagi file yg loading waktu startup berasal dari folder windows or system32, dah pasti tuh, bantai aja, soalnya windows kaga pernah loading file dari folder system32. itu dilakukan virus maker untuk menakut-nakuti user yg bloon, soalnya kaga banyak user yang mo ambil resiko buat utak atik file di folder tsb…:D



Target lokasi buat berkoloni virus.

Rata-rata, virus targetnya cuman registry, initial file (.ini), startup menu and batch file (.bat) doank.

Adapun bebrapa lokasi wajib yg biasa dipake yaitu,

Di registry, biasanya ngumpet di,
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runOnce
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE \software\microsoft\windows\currentversion\runOnce
HKEY_LOCAL_MACHINE \software\microsoft\windows\currentversion\runOnceEx

Kadang suka, nempelin command load di file win.ini or file autoexec.bat, soalnya kedua tuh file otomatis jalan pas windows restart.

Sedang untuk contoh cacing boong-boongan yg saya buat terdahulu, cuman modifikasi/rename di HKLM\Software\Microsoft\Windows NT\winlogon\shell,
Path asli buat shell=”explorer.exe”, saya cuman rename jadi “explore.exe” , otomatis windowsnya gak bakalan munculin tuh file, karena di windows gak ada tuh yg namanya file “explore.exe”. :D

Cara ini cuma bertujuan untuk mengembalikan setting yg rusak, tidak akan berhasil untuk recover file yg telah rusak oleh virus/cacing.

Setting yg berubah kalo kompi anda kena virus, umumnya para virimaker cuman melakukan beberapa hal,


Pertama,
Blok akses ke registry, kalo setting akses registry anda telah dirubah, maka pas anda ketik/jalankan regedit di menu run, bakalan keluar message “Registry editing has been disabled by your administrator.

Syntax yg diberikan cukup mudah aja, bisa dilakukan disemua bahasa pemogramman,

"HKCU\software\microsoft\windows\currentversion\policies\system\DisableRegistryTools
Nilai= 1 ‘ disabled, 0=enabled
Type = REG_DWORD


Untuk mengembalikan akses ke registry, bisa dilakukan dengan gampang, bisa pake VB, C++, Delphi or program lainnya. Sebagai contoh saya akan bikin di javascript & VBScript.

Jalankan notepad, ketik script dibawah ini, trus save as ke file apa aja, asalkan extensi nya .vbs (vbscript) or .js (javascript).
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKCU\software\microsoft\windows\currentversion\policies\system\DisableRegistryTools", "0", "REG_DWORD" 'gabung dalam satu line
MsgBox "Akses registry telah kembali normal", 4096, "ScareByte"

Tujuan, mengembalikan nilai default menjadi 0 (0 = enabled)

Buat penggemar javascript bisa ketik script dibawah ini

var WshShell = WScript.CreateObject ("WScript.Shell");
WshShell.RegWrite ("HKCU\\Software\\microsoft\\windows\\currentversion\\policies\\system\\DisableRegistryTools", "0", "REG_DWORD");

Akibat lainnya,
Biasa memblok or menyembunyikan beberapa tools penting di windows, seperti Run Menu, Search Menu, Hide Folder Option, Hide Recycle Bin, Disable Task Manager or CMD (command Prompt for DOS).

Untuk mengembalikan setting, anda kaga usah cape-cape or buang-buang duit buat beli or cari anti virus, itu semua bisa dilakukan dengan cara manual, lebih gampang. And hemat…:D

Berikut daftar beberapa target yg sering dijamah virus/cacing dan solusinya.

Untuk scriptnya, anda bisa memakai script diatas, terserah, mo pake Java or Vbscript, sama aja koq, anda cuman perlu mengganti lokasi path diatas yg berwarna Pink dengan script dibawah ini,

Disabled/ TaskManager

"HKCU\software\microsoft\windows\currentversion\policies\system\DisableTaskMgr", "0", "REG_DWORD" 'gabung dalam satu line


Disabled CMD

"HKCU\software\microsoft\windows\currentversion\policies\system\DisableCMD", "0", "REG_DWORD" 'gabung dalam satu line


Unhide Run Menu

"HKCU\software\microsoft\windows\currentversion\policies\explorer\NoRun", "0", "REG_DWORD" 'gabung dalam satu line


Unhide Folder Option

"HKCU\software\microsoft\windows\currentversion\policies\explorer\NoFolderOptions", "0", "REG_DWORD" 'gabung dalam satu line


untuk section hal-hal lainnya, banyak sekali dijelasin di web, anda tinggal surfin’ aja,
artikel ini cuman contoh penerapan sederhana buat yg belum pernah nyoba..

buat anda yg pengen ngambil jalan pintas, bisa donlot sebuah contoh program sederhana dibawah ini.


Big Greets to all jasakom members…


Sb

Source: JASAKOM Information Center