MEMBASMI VIRUS VS SAFE MODE

Sahabat setia selalu memahami bagaimana kondisi dari sahabatnya nah begitu juga dengan komputer kita , andai komputer bisa ngomong..(Ih takut ……), pasti sya kabur….wak….wak….

Ya itulah sedikit kata pembuka dari saya ,mudah-mudahan membuat anda senang berkunjung di Blog tercinta ini…he….he….,

Kalau sebelumnya kita pernah bahas buat virus ,nah sekarang kita negebahas membasmi virus dan apa saja yang di lakukan virus. Kok gitu ya? ,

Jadi gini Mas kalau kita Cuma bisa buat virus terus nggak tahu cara negbasminya bisa kacau tuch , Seperti pepatah bilang “Senjata makan tuan

Emang sampeyan mau, enggak kan..?

Ah basmi aja pake anti virus kan gampang ! bener banget tuch ,tapi sayangnya tidak semua anti virus bisa membasmi virus ,malah jadi repot kan ,

Ada cara yang gampang untuk soal yang satu ini yaitu dengan memeriksa secara manual pada component system di komputer, nah kalau mau yang lebih jitu ada format aja ….he…format merupakan jurus terakhir yang paling jitu untuk membasmi virus . oke daripada lama-lama mendingan baca aja nih….

Salah satu peyerangan virus biasanya menghiden file, menghilangkan fasilitas run(CMD) task manger , dan bahkan safe mode , nah kalau safe mode udah diserang maka gunain tuch jurus terakhir , tapi kalau safe mode bisa dipake kenapa engak….

Terus apa sih Safe mode itu? Ya … Windows biasanya akan diperlengkapi dengan modus safe mode. Dimaksudkan agar pemakai dapat memperbaiki Windows jika terjadi

suatu musibah. Windows safe mode sebetulnya tidak lebih dari Windows yang

dijalankan dengan driver standar! Sehingga jika terjadi kerewelan pada driver-driver non-standar Windows yang membuat Windows modus standar gagal

dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara

masuk ke modus safe mode. Pada saat dalam modus safe mode inilah, pemakai

berkesempatan untuk melakukan eliminasi pada drive non-standar yang bermasalah

tersebut. Dengan cara ini, Windows yang rusak akan menjadi normal

kembali. Itu harapannya.

Melihat fungsinya, tentu saja, modus safe mode ini, juga merupakan ancaman

bagi kelangsungan hidup virus atau program-program yang suka membuat

masalah … ☺ Oleh karena itu, modus safe mode ini juga merupakan target

utama program virus. Artinya, virus akan berusaha memanipulasi modus safe

mode atau bahkan menggagalkan fungsinya!

Bagaimana masuk ke modus safe mode?

Lakukan booting ulang komputer. Pada saat proses

booting dimulai, tekanlah tombol F8 secara cepat dan

berulangkali. (Agak histeris juga boleh… ☺) Sehingga

muncul menu boot Windows. Pilihlah Safe Mode, maka

proses akan berjalan hingga akhirnya menampilkan pilihan

user yang harus digunakan untuk masuk ke Windows safe

mode. Pada Windows XP, biasanya akan muncul account

Administrator dan account yang kita punya. Pilihlah user Account yang biasa

kita pakai.

Setelah itu biasanya kita akan ditanya, apakah akan masuk ke modus Safe mode

ataukah kita akan memakai fasilitas system restore Windows. Klik Yes, maka

kita akan masuk ke mode Windows safe mode. Artinya, Windows akan aktif

dengan perangkat apa adanya (standar minimalnya).

3.1 Aktif dalam Safe Mode

Ada subkey registry Windows yang berguna untuk menjalankan suatu program

secara otomatis saat Windows dihidupkan. Jadi, jika kita ingin agar suatu file

executable aktif saat Windows dihidupkan, maka kita harus menulisi subkey

autorun ini dengan suatu nama value yang berisi data yang menyebutkan

bahwa file X.EXE adalah file yang harus dieksekusi. X di sini mewakili

sembarang nama file EXE.

Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah

program System Configuration Utility atau lebih dikenal dengan nama msconfig

karena file pengaktif program tersebut bernama msconfig.exe. Untuk memanggilnya,

dilakukan via perintah Run dari menu Start. Klik Start – pilih Run dan

ketikkan msconfig. Tekan Enter atau klik OK.

Jendela System Configuration Utility akan muncul dan terlihat beberapa tab.

Salah satunya tab Startup. Tab tersebut berguna untuk melihat program apa saja

yang akan dijalankan oleh Windows pada saat Windows diaktifkan. Ini dia!

Virus biasanya akan memblokir penggunaan program ini. Entah itu dengan

mematikan pilihan Run atau memonitor caption (judul/nama) jendela program

yang sedang aktif. Jika caption program yang sedang aktif adalah sama dengan

caption yang telah ditargetkan oleh virus, secara otomatis virus akan segera

menutupnya atau mungkin melakukan booting ulang. Sekarang sampeyan tahu

sebabnya, bukan? Mengapa saat suatu virus aktif, dan kita memanggil msconfig,

tiba-tiba jendela program msconfig menutup dengan sendirinya. Atau mungkin,

tiba-tiba, komputer melakukan booting ulang… 􀀯 capeek deh …

Gambar 3.1. Tab Startup msconfig

Pada tab Startup, akan terlihat kolom Startup item, yang menunjukkan nama

item yang akan dijalankan saat Windows diaktifkan. Juga kolom command,

yang biasanya berisi program yang diaktifkan plus parameternya jika ada.

Sedangkan kolom Location, menunjukkan lokasi subkey (syaraf) registry yang

menyimpan setting data ini. Pada contoh terlihat, nama SMTray ternyata adalah

milik program yang bernama SMTray.exe dan berada di folder d:\Program

Files\Analog Devices\SoundMAX.

Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif

programnya dijalankan saat booting Windows terjadi sehingga penelitian di

bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang

memasangkan nama itemnya dengan nama yang “berbau-bau” nama file sistem

Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya,

dengan nama windows.exe, svc0host.exe, rundlll.exe dan lain sebagainya.

Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus.

Dan ini perlu latihan…. ☺

Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang

yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak

akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan

dijalankan. Setelah kita melakukan proses centang atau un-centang … ☺ klik

OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.

Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa

konfigurasi autorun registry adalah program Registry Editor. Untuk memanggilnya,

dilakukan via perintah Run dari menu Start. Klik Start – pilih Run dan

ketikkan regedit. Tekan Enter atau klik OK.

Program registry editor akan tampil. Pergilah ke lokasi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio

n\Run

Klik ganda berulangkali pada subkey yang terlihat sehingga lokasi tersebut

ditemukan.

Gambar 3.2. Lokasi yang akan diperiksa

Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk

mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value

dan tekan DEL.

Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini

adalah:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Once

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

OnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jika ditemukan nama value yang menurut Anda aneh, hapus saja …

Dari beberapa subkey di atas, ada satu subkey yang cukup istimewa. Yaitu

subkey RunOnce. Berbeda dengan subkey Run yang akan selalu menjalankan

program yang ada di dalamnya setiap kali Windows dihidupkan, subkey

RunOnce ini biasanya dipakai untuk menjalankan satu program sebanyak satu

kali saja! Jadi, subkey ini biasanya dipakai oleh suatu program untuk mengaktifkan

prosesnya sebanyak satu kali saja sehingga nama value yang dituliskan

di sini hanya akan berlaku satu kali saja. Setelah dijalankan, nama value tersebut

akan dihapus.

Jika pembuat virus cukup nakal, ia akan membuat program virus untuk menuliskan

pengaktifnya di subkey ini. Jadi, virus akan aktif saat komputer dihidupkan.

Program akan dijalankan dan nama value pemicu akan dihapus. Maka

ia tidak meninggalkan jejak di msconfig. Selang beberapa waktu saat virus aktif,

ia akan membuat program timer yang secara berkala menulis ulang nama value

di subkey tersebut. Atau mungkin virus hanya akan menuliskan data pada

subkey RunOnce saat komputer akan di-log off. Dengan cara tersebut, virus

akan terjaga eksistensinya. Lumayan cerdik ‘khan?

Tapi…. ada yang lebih gila lagi…☺ dengan bantuan subkey RunOnce ini, virus

akan tetap dapat hidup biarpun Windows dijalankan di modus SAFE MODE!

Caranya? Sederhana saja! Yaitu dengan menambahkan satu karakter tertentu

pada nama value tersebut, maka virus akan dapat berjalan pada safe mode.

Karakter apakah itu? Saya tidak akan memberi tahu Sampeyan.. heheh ☺!

ndak ding… nanti saya dipikir tukang menyembunyikan ilmu lagi.

Kita langsung praktek saja ya? Panggil Regedit dan pergi ke subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Once

Kita buat suatu nama value yang bernama COBA. Nama value ini misalnya

akan memanggil file virus yang bernama VIRUSKU.EXE.

Gambar 3.3. Lokasi subkey target

Klik kanan subkey Runonce. Menu konteks akan muncul, pilih New, pilih

String Value.

Gambar 3.4. Membuat subkey baru

Suatu subkey baru akan muncul. Kita ganti nama value tersebut dengan data

COBA. Ketik COBA dan tekan Enter.

Gambar 3.5. Membuat nama value

Klik ganda nama value tersebut dan kita isi datanya dengan

c:\windows\virusku.exe. Lalu klik OK.

Gambar 3.6. Mengisi nama value

Jika benar dalam melakukannya, kita akan memiliki nama value COBA dengan

jenis string dan mempunyai data c:\windows\virusku.exe. Artinya, saat nanti

Windows dihidupkan, file VIRUSKU.EXE akan ikut dijalankan!

Gambar 3.7. Nama value baru

Nah! Sekarang, bagaimana caranya agar nama value tersebut tetap akan

dijalankan biarpun Windows dimasukkan dalam modus SAFE MODE?

Gampang! Cukup tambahkan karakter * (asterisks) di depan nama value tersebut.

Artinya, nama COBA kita ganti dengan nama *COBA.

Gambar 3.8. Mengubah nama dari nama value

Jika tidak percaya, lakukan booting dan masuklah dalam modus SAFE MODE.

Saharusnya file dengan nama VIRUSKU.EXE akan tetap dijalankan oleh

Windows. Jika yang kita pasangkan file tersebut adalah file virus beneran, maka

akibatnya akan cukup fatal. Virus tetap akan hadir di memory biarpun kita telah

memakai modus SAFE MODE. Biarpun trik ini kelihatannya sederhana, tapi

cukup berbahaya jika dipakai. Karena sesudah data tersebut dijalankan, maka

data yang dijalankan tersebut akan dihapus oleh Windows. Sehingga akan

mempersulit pelacakan sumber masalahnya. Take care…!

Jika virus tetap saja aktif biarpun kita sudah masuk ke

modus safe mode, periksalah subkey RunOnce secara

berulang kali. Siapa tahu virus tidak memakai teknik shell

spawn, tapi mengandalkan subkey Runonce.

Teknik Runonce ini, masih jarang dilakukan oleh virus.

Jadi, hukumnya wajib dipasangkan! Semakin banyak

manipulasi yang dapat membuat virus aktif, maka akan

semakin sukses virus tersebut bertahan hidup. Viva Virus

!! ☺

3.2 Alternate Shell Safe Mode

Virus biasanya tidak akan dapat aktif bila kita masuk ke safe mode. Itu biasanya!

Pada perkembangannya, virus ternyata juga sudah mulai melebarkan

sayapnya, mencekal (cegah dan tangkal.. ☺) beberapa penanganan safe mode

dengan memasangkan pemicu filenya pada beberapa subkey registry. Dengan

cara ini, virus akan tetap dijalankan dan mencegah pemakai untuk masuk ke

modus SAFE mode! Kasar memang! Tapi ya… begitulah .. sayangku .. hehehe

Jadi, trik ini akan menggenapi trik pertama tadi… ☺ menambah ruwetnya

pematian virus. Hehehe… ndak pa pa malahan tambah asyik khan?

Lokasi subkey registry yang diserang adalah:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

Lokasi visualnya terlihat seperti pada Gambar 3.9.

Gambar 3.9. Lokasi subkey target

Pada subkey SafeBoot ini akan terdapat suatu nama value yang bernama

AlternateShell. Dengan jenis datanya adalah string. Kita lihat isian standarnya

adalah CMD.EXE. Jika tidak berisi data tersebut, ada kemungkinan file yang

ada di situ adalah file virus. Waspadalah!

Misalkan hal itu terjadi, klik ganda nama value tersebut dan pada isian Value

data ubahlah menjadi berisi CMD.EXE. Klik OK. Beres!

Gambar 3.10. Mengedit isian data

Yang perlu mendapat perhatian! Virus umumnya juga akan menyerang subkeysubkey

yang sejenis. Artinya begini… virus juga akan menyerang lokasi registry

lain yang menyimpan data-data SafeBoot, biasanya memang terdapat lebih dari

satu kontrol ini. Lokasi lain yang diserang adalah:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

Jadi, bergantung pada komputer tersebut mempunyai berapa subkey

ControlSet00X. X di sini mewakili angka 1, 2, dan seterusnya. Dengan diubahnya

data pada nama value AlternateShell, maka biasanya komputer akan

gagal masuk ke SAFE MODE, malahan menjalankan file virus! BAH…. !! ..

Jika virus menyerang dan kita gagal masuk ke modus safe

mode, maka subkey-subkey alternate shell ini wajib kita

periksa. Jika isi datanya aneh, tidak standar, maka ubahlah

isiannya dengan CMD.EXE.

Biarpun manipulasi ini terkesan kasar dan kejam, namun

apa boleh buat, pencegatan masuk ke safe mode ini, wajib

dilakukan. Karena akan membuat virus lebih aman dan

terjaga eksistensinya!

Refrence by:

Jombi_par@yahoo.com

23 responses to “MEMBASMI VIRUS VS SAFE MODE

  1. Au' Agustus 5, 2008 pukul 9:45 am

    Nah ini, posting telat. Kemaren daku jg kena virus yg msh jalan di safe mode. Tp kmrn itu tak restore aja systemnya, dan itu pirus nggak jalan lagi. Alhasil kini kompi jalan kembali seperti biasa namun entah apakah ada efeknya hanya dengan merestore system???

    Thx anyway sdh mampir, saya nggak kreatif kok, orang itu jg hasil lihat2 di blog senior😀

  2. rahmatvinacerpus Agustus 6, 2008 pukul 2:23 am

    Sory baru di bls,
    oke , kalau udah restore point memang salah satu antisivasi dari serangan virus , yang artinya membuang system yang sudah terjankit virus kemudian mengembalikan dengan system yang pernah kita simpan sebelumnya , Tapi , mesti hati-hati juga dengan folder -folder yang disimpan di Direktori lain seperti D:// atau yang lainnya coba periksa di D:// jangan -jangan virus masih ngadem ayem , oh ya kalau punya Flash coba matiin Autorunnya , dan tekan Tombol Shift pada saat Memasukan flash ke komputer (secara bersamaan), mungkin ini tips buat antum,
    terimakasih udah mampir Di blog saya.

  3. fkmmj Agustus 8, 2008 pukul 12:33 am

    boleh juga artikelnya…. trus lajutin kreativitas kamu ya…🙂

  4. agus November 8, 2008 pukul 2:42 am

    Saya mau tanya nich, gimana ya supaya saya bisa kerja di PC dengan system semula,soalnya saya masih kerja di “safe mode with networking” trus ga bisa denger Winamp atau denger suaranya Si Youtube…tolong balas secepatnya ya Mas Trims

  5. Julius November 28, 2008 pukul 10:08 pm

    Mas,mo nanya ne,kalo komputer t restart trus saat dibuka t kenapa ya?sampai ga sempat ngejalanin aplikasinya.tolong kasih solusinya ya

  6. rahmatvinacerpus November 29, 2008 pukul 2:37 am

    oh ya mas coba scan dulu sama anti virus , kalau enggak ,coba dulu masuk safe mode terus masuk cmd dan ketikan perintah
    shutdown -a , kalau enggak bisa, masih di safe mode, coba masuk ke regedit , kalau lewat run enggak bisa coba ketik di notpad kode ini:
    start
    regedit.exe
    pause

    lalu simpan dengan *bat, file typenya all file, Selamat mencoba, moga berhasil,

  7. Julius November 30, 2008 pukul 7:40 am

    Mas bisa kasih tau lebih terperinci gak,cmd itu ap,soalnya saya baru dibidang ini.sory kalo nyusahin n sukses trus bwt mas.

  8. MahHaphek Desember 30, 2008 pukul 4:49 pm

    hello it is test. WinRAR provides the full RAR and ZIP file support, can decompress CAB, GZIP, ACE and other archive formats.
    mncjfckhzyaazqbdngiouztpjbptcyfvrchhello

  9. rahmatvinacerpus Januari 3, 2009 pukul 2:24 pm

    TO :Julius

    sory kalau agak telatmaklum lagi banyak tugas bos CMD adalah slah satu program Aplikasi underdos pada windows , Mas bisa belajar otodidak caranya ktikkan perintah /?
    contoh saya mau tahu cara telnet :

    Telnet /?
    degan demikian akan dimuculkan cara-caranya ,silahkan coba!

  10. herman Januari 6, 2009 pukul 7:34 am

    baru ini blog keren

  11. herman Januari 6, 2009 pukul 7:36 am

    kang boleh kasih tao mailnya gak? itupun kalo’ blh ane harap
    kang rahmat tidak keberatan

  12. herman Januari 9, 2009 pukul 1:35 pm

    makasih ya atas alamat mail nya aku sedang belajar kill virus pada tempat nya aku lebih suka itu dari pada pake’ anti virus tp masalah nya saya blm cukup fahap windows jadi kadang2x salah kill dan ngadat deh windowsnya.
    tapi kalo’ virusnya udah terditeksi saya pake’ bootcd untuk kill virusnya,jadi apa yang saya lakukan untuk tau virus / system windows nya supaya tidak salah kill.mohon bantuan nya krim ke mail saya pak.trimakasih

  13. bayu Januari 30, 2009 pukul 3:22 pm

    wah artikel yang mantabs…buat nambah ilmu nih. thank’s ya..

  14. -ul Maret 10, 2009 pukul 12:25 pm

    kalo ada virus yang ngilangin tampilan dekstop bs gak diilangin

  15. ristian Maret 25, 2009 pukul 7:36 pm

    bang gimana nih cara untuk mengaktifkan safe mode.
    kan komputerku kena virus aku mau bersihkan di safe mode tenyata aku masuk safe mode gak bisa restart langsung masuk ketampilan awal gmn nih solusinya
    bagi ilmunya dong????

  16. best buy black friday April 6, 2013 pukul 7:08 pm

    This post offers clear idea designed for the new viewers of blogging,
    that actually how to do blogging and site-building.

  17. Buy YouTube Views April 23, 2013 pukul 6:32 am

    I have been surfing online more than three hours as of
    late, but I by no means discovered any attention-grabbing
    article like yours. It’s pretty value sufficient for me. In my opinion, if all site owners and bloggers made just right content as you did, the web will be much more helpful than ever before.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: