Sahabat setia selalu memahami bagaimana kondisi dari sahabatnya nah begitu juga dengan komputer kita , andai komputer bisa ngomong..(Ih takut ……), pasti sya kabur….wak….wak….
Ya itulah sedikit kata pembuka dari saya ,mudah-mudahan membuat anda senang berkunjung di Blog tercinta ini…he….he….,
Kalau sebelumnya kita pernah bahas buat virus ,nah sekarang kita negebahas membasmi virus dan apa saja yang di lakukan virus. Kok gitu ya? ,
Jadi gini Mas kalau kita Cuma bisa buat virus terus nggak tahu cara negbasminya bisa kacau tuch , Seperti pepatah bilang “Senjata makan tuan”
Emang sampeyan mau, enggak kan..?
Ah basmi aja pake anti virus kan gampang ! bener banget tuch ,tapi sayangnya tidak semua anti virus bisa membasmi virus ,malah jadi repot kan ,
Ada cara yang gampang untuk soal yang satu ini yaitu dengan memeriksa secara manual pada component system di komputer, nah kalau mau yang lebih jitu ada format aja ….he…format merupakan jurus terakhir yang paling jitu untuk membasmi virus . oke daripada lama-lama mendingan baca aja nih….
Salah satu peyerangan virus biasanya menghiden file, menghilangkan fasilitas run(CMD) task manger , dan bahkan safe mode , nah kalau safe mode udah diserang maka gunain tuch jurus terakhir , tapi kalau safe mode bisa dipake kenapa engak….
Terus apa sih Safe mode itu? Ya … Windows biasanya akan diperlengkapi dengan modus safe mode. Dimaksudkan agar pemakai dapat memperbaiki Windows jika terjadi
suatu musibah. Windows safe mode sebetulnya tidak lebih dari Windows yang
dijalankan dengan driver standar! Sehingga jika terjadi kerewelan pada driver-driver non-standar Windows yang membuat Windows modus standar gagal
dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara
masuk ke modus safe mode. Pada saat dalam modus safe mode inilah, pemakai
berkesempatan untuk melakukan eliminasi pada drive non-standar yang bermasalah
tersebut. Dengan cara ini, Windows yang rusak akan menjadi normal
kembali. Itu harapannya.
Melihat fungsinya, tentu saja, modus safe mode ini, juga merupakan ancaman
bagi kelangsungan hidup virus atau program-program yang suka membuat
masalah … ☺ Oleh karena itu, modus safe mode ini juga merupakan target
utama program virus. Artinya, virus akan berusaha memanipulasi modus safe
mode atau bahkan menggagalkan fungsinya!
Bagaimana masuk ke modus safe mode?
Lakukan booting ulang komputer. Pada saat proses
booting dimulai, tekanlah tombol F8 secara cepat dan
berulangkali. (Agak histeris juga boleh… ☺) Sehingga
muncul menu boot Windows. Pilihlah Safe Mode, maka
proses akan berjalan hingga akhirnya menampilkan pilihan
user yang harus digunakan untuk masuk ke Windows safe
mode. Pada Windows XP, biasanya akan muncul account
Administrator dan account yang kita punya. Pilihlah user Account yang biasa
kita pakai.
Setelah itu biasanya kita akan ditanya, apakah akan masuk ke modus Safe mode
ataukah kita akan memakai fasilitas system restore Windows. Klik Yes, maka
kita akan masuk ke mode Windows safe mode. Artinya, Windows akan aktif
dengan perangkat apa adanya (standar minimalnya).
3.1 Aktif dalam Safe Mode
Ada subkey registry Windows yang berguna untuk menjalankan suatu program
secara otomatis saat Windows dihidupkan. Jadi, jika kita ingin agar suatu file
executable aktif saat Windows dihidupkan, maka kita harus menulisi subkey
autorun ini dengan suatu nama value yang berisi data yang menyebutkan
bahwa file X.EXE adalah file yang harus dieksekusi. X di sini mewakili
sembarang nama file EXE.
Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah
program System Configuration Utility atau lebih dikenal dengan nama msconfig
karena file pengaktif program tersebut bernama msconfig.exe. Untuk memanggilnya,
dilakukan via perintah Run dari menu Start. Klik Start – pilih Run dan
ketikkan msconfig. Tekan Enter atau klik OK.
Jendela System Configuration Utility akan muncul dan terlihat beberapa tab.
Salah satunya tab Startup. Tab tersebut berguna untuk melihat program apa saja
yang akan dijalankan oleh Windows pada saat Windows diaktifkan. Ini dia!
Virus biasanya akan memblokir penggunaan program ini. Entah itu dengan
mematikan pilihan Run atau memonitor caption (judul/nama) jendela program
yang sedang aktif. Jika caption program yang sedang aktif adalah sama dengan
caption yang telah ditargetkan oleh virus, secara otomatis virus akan segera
menutupnya atau mungkin melakukan booting ulang. Sekarang sampeyan tahu
sebabnya, bukan? Mengapa saat suatu virus aktif, dan kita memanggil msconfig,
tiba-tiba jendela program msconfig menutup dengan sendirinya. Atau mungkin,
tiba-tiba, komputer melakukan booting ulang… capeek deh …
Gambar 3.1. Tab Startup msconfig
Pada tab Startup, akan terlihat kolom Startup item, yang menunjukkan nama
item yang akan dijalankan saat Windows diaktifkan. Juga kolom command,
yang biasanya berisi program yang diaktifkan plus parameternya jika ada.
Sedangkan kolom Location, menunjukkan lokasi subkey (syaraf) registry yang
menyimpan setting data ini. Pada contoh terlihat, nama SMTray ternyata adalah
milik program yang bernama SMTray.exe dan berada di folder d:\Program
Files\Analog Devices\SoundMAX.
Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif
programnya dijalankan saat booting Windows terjadi sehingga penelitian di
bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang
memasangkan nama itemnya dengan nama yang “berbau-bau” nama file sistem
Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya,
dengan nama windows.exe, svc0host.exe, rundlll.exe dan lain sebagainya.
Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus.
Dan ini perlu latihan…. ☺
Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang
yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak
akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan
dijalankan. Setelah kita melakukan proses centang atau un-centang … ☺ klik
OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.
Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa
konfigurasi autorun registry adalah program Registry Editor. Untuk memanggilnya,
dilakukan via perintah Run dari menu Start. Klik Start – pilih Run dan
ketikkan regedit. Tekan Enter atau klik OK.
Program registry editor akan tampil. Pergilah ke lokasi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run
Klik ganda berulangkali pada subkey yang terlihat sehingga lokasi tersebut
ditemukan.
Gambar 3.2. Lokasi yang akan diperiksa
Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk
mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value
dan tekan DEL.
Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini
adalah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Once
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Jika ditemukan nama value yang menurut Anda aneh, hapus saja …
Dari beberapa subkey di atas, ada satu subkey yang cukup istimewa. Yaitu
subkey RunOnce. Berbeda dengan subkey Run yang akan selalu menjalankan
program yang ada di dalamnya setiap kali Windows dihidupkan, subkey
RunOnce ini biasanya dipakai untuk menjalankan satu program sebanyak satu
kali saja! Jadi, subkey ini biasanya dipakai oleh suatu program untuk mengaktifkan
prosesnya sebanyak satu kali saja sehingga nama value yang dituliskan
di sini hanya akan berlaku satu kali saja. Setelah dijalankan, nama value tersebut
akan dihapus.
Jika pembuat virus cukup nakal, ia akan membuat program virus untuk menuliskan
pengaktifnya di subkey ini. Jadi, virus akan aktif saat komputer dihidupkan.
Program akan dijalankan dan nama value pemicu akan dihapus. Maka
ia tidak meninggalkan jejak di msconfig. Selang beberapa waktu saat virus aktif,
ia akan membuat program timer yang secara berkala menulis ulang nama value
di subkey tersebut. Atau mungkin virus hanya akan menuliskan data pada
subkey RunOnce saat komputer akan di-log off. Dengan cara tersebut, virus
akan terjaga eksistensinya. Lumayan cerdik ‘khan?
Tapi…. ada yang lebih gila lagi…☺ dengan bantuan subkey RunOnce ini, virus
akan tetap dapat hidup biarpun Windows dijalankan di modus SAFE MODE!
Caranya? Sederhana saja! Yaitu dengan menambahkan satu karakter tertentu
pada nama value tersebut, maka virus akan dapat berjalan pada safe mode.
Karakter apakah itu? Saya tidak akan memberi tahu Sampeyan.. heheh ☺!
ndak ding… nanti saya dipikir tukang menyembunyikan ilmu lagi.
Kita langsung praktek saja ya? Panggil Regedit dan pergi ke subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Once
Kita buat suatu nama value yang bernama COBA. Nama value ini misalnya
akan memanggil file virus yang bernama VIRUSKU.EXE.
Gambar 3.3. Lokasi subkey target
Klik kanan subkey Runonce. Menu konteks akan muncul, pilih New, pilih
String Value.
Gambar 3.4. Membuat subkey baru
Suatu subkey baru akan muncul. Kita ganti nama value tersebut dengan data
COBA. Ketik COBA dan tekan Enter.
Gambar 3.5. Membuat nama value
Klik ganda nama value tersebut dan kita isi datanya dengan
c:\windows\virusku.exe. Lalu klik OK.
Gambar 3.6. Mengisi nama value
Jika benar dalam melakukannya, kita akan memiliki nama value COBA dengan
jenis string dan mempunyai data c:\windows\virusku.exe. Artinya, saat nanti
Windows dihidupkan, file VIRUSKU.EXE akan ikut dijalankan!
Gambar 3.7. Nama value baru
Nah! Sekarang, bagaimana caranya agar nama value tersebut tetap akan
dijalankan biarpun Windows dimasukkan dalam modus SAFE MODE?
Gampang! Cukup tambahkan karakter * (asterisks) di depan nama value tersebut.
Artinya, nama COBA kita ganti dengan nama *COBA.
Gambar 3.8. Mengubah nama dari nama value
Jika tidak percaya, lakukan booting dan masuklah dalam modus SAFE MODE.
Saharusnya file dengan nama VIRUSKU.EXE akan tetap dijalankan oleh
Windows. Jika yang kita pasangkan file tersebut adalah file virus beneran, maka
akibatnya akan cukup fatal. Virus tetap akan hadir di memory biarpun kita telah
memakai modus SAFE MODE. Biarpun trik ini kelihatannya sederhana, tapi
cukup berbahaya jika dipakai. Karena sesudah data tersebut dijalankan, maka
data yang dijalankan tersebut akan dihapus oleh Windows. Sehingga akan
mempersulit pelacakan sumber masalahnya. Take care…!
Jika virus tetap saja aktif biarpun kita sudah masuk ke
modus safe mode, periksalah subkey RunOnce secara
berulang kali. Siapa tahu virus tidak memakai teknik shell
spawn, tapi mengandalkan subkey Runonce.
Teknik Runonce ini, masih jarang dilakukan oleh virus.
Jadi, hukumnya wajib dipasangkan! Semakin banyak
manipulasi yang dapat membuat virus aktif, maka akan
semakin sukses virus tersebut bertahan hidup. Viva Virus
… !! ☺
3.2 Alternate Shell Safe Mode
Virus biasanya tidak akan dapat aktif bila kita masuk ke safe mode. Itu biasanya!
Pada perkembangannya, virus ternyata juga sudah mulai melebarkan
sayapnya, mencekal (cegah dan tangkal.. ☺) beberapa penanganan safe mode
dengan memasangkan pemicu filenya pada beberapa subkey registry. Dengan
cara ini, virus akan tetap dijalankan dan mencegah pemakai untuk masuk ke
modus SAFE mode! Kasar memang! Tapi ya… begitulah .. sayangku .. hehehe
☺
Jadi, trik ini akan menggenapi trik pertama tadi… ☺ menambah ruwetnya
pematian virus. Hehehe… ndak pa pa malahan tambah asyik khan?
Lokasi subkey registry yang diserang adalah:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
Lokasi visualnya terlihat seperti pada Gambar 3.9.
Gambar 3.9. Lokasi subkey target
Pada subkey SafeBoot ini akan terdapat suatu nama value yang bernama
AlternateShell. Dengan jenis datanya adalah string. Kita lihat isian standarnya
adalah CMD.EXE. Jika tidak berisi data tersebut, ada kemungkinan file yang
ada di situ adalah file virus. Waspadalah!
Misalkan hal itu terjadi, klik ganda nama value tersebut dan pada isian Value
data ubahlah menjadi berisi CMD.EXE. Klik OK. Beres!
Gambar 3.10. Mengedit isian data
Yang perlu mendapat perhatian! Virus umumnya juga akan menyerang subkeysubkey
yang sejenis. Artinya begini… virus juga akan menyerang lokasi registry
lain yang menyimpan data-data SafeBoot, biasanya memang terdapat lebih dari
satu kontrol ini. Lokasi lain yang diserang adalah:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
Jadi, bergantung pada komputer tersebut mempunyai berapa subkey
ControlSet00X. X di sini mewakili angka 1, 2, dan seterusnya. Dengan diubahnya
data pada nama value AlternateShell, maka biasanya komputer akan
gagal masuk ke SAFE MODE, malahan menjalankan file virus! BAH…. !! ..
Jika virus menyerang dan kita gagal masuk ke modus safe
mode, maka subkey-subkey alternate shell ini wajib kita
periksa. Jika isi datanya aneh, tidak standar, maka ubahlah
isiannya dengan CMD.EXE.
Biarpun manipulasi ini terkesan kasar dan kejam, namun
apa boleh buat, pencegatan masuk ke safe mode ini, wajib
dilakukan. Karena akan membuat virus lebih aman dan
terjaga eksistensinya!
Refrence by:
Jombi_par@yahoo.com
Bacaan Dunia IT
rahmatvinacerpus.wordpress.com 
Nah ini, posting telat. Kemaren daku jg kena virus yg msh jalan di safe mode. Tp kmrn itu tak restore aja systemnya, dan itu pirus nggak jalan lagi. Alhasil kini kompi jalan kembali seperti biasa namun entah apakah ada efeknya hanya dengan merestore system???
Thx anyway sdh mampir, saya nggak kreatif kok, orang itu jg hasil lihat2 di blog senior 😀
Sory baru di bls,
oke , kalau udah restore point memang salah satu antisivasi dari serangan virus , yang artinya membuang system yang sudah terjankit virus kemudian mengembalikan dengan system yang pernah kita simpan sebelumnya , Tapi , mesti hati-hati juga dengan folder -folder yang disimpan di Direktori lain seperti D:// atau yang lainnya coba periksa di D:// jangan -jangan virus masih ngadem ayem , oh ya kalau punya Flash coba matiin Autorunnya , dan tekan Tombol Shift pada saat Memasukan flash ke komputer (secara bersamaan), mungkin ini tips buat antum,
terimakasih udah mampir Di blog saya.
boleh juga artikelnya…. trus lajutin kreativitas kamu ya… 🙂
Saya mau tanya nich, gimana ya supaya saya bisa kerja di PC dengan system semula,soalnya saya masih kerja di “safe mode with networking” trus ga bisa denger Winamp atau denger suaranya Si Youtube…tolong balas secepatnya ya Mas Trims
Mas,mo nanya ne,kalo komputer t restart trus saat dibuka t kenapa ya?sampai ga sempat ngejalanin aplikasinya.tolong kasih solusinya ya
oh ya mas coba scan dulu sama anti virus , kalau enggak ,coba dulu masuk safe mode terus masuk cmd dan ketikan perintah
shutdown -a , kalau enggak bisa, masih di safe mode, coba masuk ke regedit , kalau lewat run enggak bisa coba ketik di notpad kode ini:
start
regedit.exe
pause
lalu simpan dengan *bat, file typenya all file, Selamat mencoba, moga berhasil,
Mas bisa kasih tau lebih terperinci gak,cmd itu ap,soalnya saya baru dibidang ini.sory kalo nyusahin n sukses trus bwt mas.
hello it is test. WinRAR provides the full RAR and ZIP file support, can decompress CAB, GZIP, ACE and other archive formats.
mncjfckhzyaazqbdngiouztpjbptcyfvrchhello
TO :Julius
sory kalau agak telatmaklum lagi banyak tugas bos CMD adalah slah satu program Aplikasi underdos pada windows , Mas bisa belajar otodidak caranya ktikkan perintah /?
contoh saya mau tahu cara telnet :
Telnet /?
degan demikian akan dimuculkan cara-caranya ,silahkan coba!
baru ini blog keren
kang boleh kasih tao mailnya gak? itupun kalo’ blh ane harap
kang rahmat tidak keberatan
Boleh aja ini dya email: jombi_par@yahoo.com
di jomb_par@yahoo.com
makasih ya atas alamat mail nya aku sedang belajar kill virus pada tempat nya aku lebih suka itu dari pada pake’ anti virus tp masalah nya saya blm cukup fahap windows jadi kadang2x salah kill dan ngadat deh windowsnya.
tapi kalo’ virusnya udah terditeksi saya pake’ bootcd untuk kill virusnya,jadi apa yang saya lakukan untuk tau virus / system windows nya supaya tidak salah kill.mohon bantuan nya krim ke mail saya pak.trimakasih
lebih hati-hati aja , walau bagamanapun file virus dan system itu pasti berbeda tinggal cek di properties file itu sendiri
wah artikel yang mantabs…buat nambah ilmu nih. thank’s ya..
sepppp
kalo ada virus yang ngilangin tampilan dekstop bs gak diilangin
bang gimana nih cara untuk mengaktifkan safe mode.
kan komputerku kena virus aku mau bersihkan di safe mode tenyata aku masuk safe mode gak bisa restart langsung masuk ketampilan awal gmn nih solusinya
bagi ilmunya dong????
coba buat aja script pake not pad untuk akses keregedit atau ke cmd coba dulu dech ok
di reapir dulu aja biar bisa masuk ke safe mode
This post offers clear idea designed for the new viewers of blogging,
that actually how to do blogging and site-building.
I have been surfing online more than three hours as of
late, but I by no means discovered any attention-grabbing
article like yours. It’s pretty value sufficient for me. In my opinion, if all site owners and bloggers made just right content as you did, the web will be much more helpful than ever before.