Memeriksa AutoRun Registry Autorun registry adalah suatu subkey registry (cabang syaraf) Windows yang berguna untuk menjalankan suatu program secara otomatis saat Windows dihidupkan. Jadi, jika ingin agar file X.EXE (misalnya) aktif saat Windows dihidupkan, maka kita harus menulisi subkey autorun ini dengan suatu nama value yang berisi data yang menyebutkan bahwa file X.EXE adalah file yang harus dieksekusi. Lebih kurang begitulah… Pada bagian ini kita akan melihat beberapa cara untuk memeriksa autorun registry Windows.
6.1
Memakai Msconfig
Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah program System Configuration Utility atau lebih dikenal dengan nama msconfig. File pengaktif program tersebut bernama msconfig.exe. Untuk memanggilnya dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan msconfig. Tekan Enter atau klik OK.
57
Gambar 6.1 Memanggil msconfig
Jendela System Configuration Utility akan muncul dan terlihat beberapa tab. Kita tidak akan membahas semuanya. Kita hanya akan berkonsentrasi pada tab Startup. Yang lain pelajari sendiri… ☺ Tab Startup ini berguna untuk melihat program apa saja yang akan dijalankan oleh Windows pada saat Windows diaktifkan. Ini dia! Virus biasanya akan memblokir penggunaan program ini. Entah itu dengan mematikan pilihan Run atau memonitor caption (judul/nama) jendela program yang sedang aktif. Jika jendela ini aktif, secara otomatis virus akan segera menutupnya atau mungkin melakukan booting ulang. Terserah ama program virus.
Gambar 6.2 Tab Startup msconfig
58
Pada tab ini akan terlihat kolom Startup item, yang menunjukkan nama item yang akan dijalankan saat Windows diaktifkan. Juga kolom command yang biasanya berisi program yang diaktifkan plus parameternya jika ada. Sedangkan kolom Location menunjukkan lokasi subkey (syaraf) registry yang menyimpan setting data ini. Pada contoh terlihat nama ctfmon ternyata milik program yang bernama ctfmon.exe dan berada di folder d:\windows\system32. Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif programnya dijalankan saat booting Windows terjadi. Sehingga penelitian di bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang memasangkan nama itemnya dengan nama yang “berbau-bau” nama file sistem Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya dengan nama windows.exe, svc0host.exe, rundlll.exe, dan lain sebagainya. Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus. Dan ini perlu latihan…. ☺ Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan dijalankan. Setelah kita melakukan proses centang dan un-centang … ☺ klik OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.
6.2
Memakai Regedit
Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa konfigurasi autorun registry adalah program Registry Editor atau lebih dikenal dengan nama Regedit. File pengaktif program tersebut bernama regedit.exe. Untuk memanggilnya dilakukan via perintah Run dari menu Start. Klik Start pilih Run dan ketikkan regedit. Tekan Enter atau klik OK.
Gambar 6.3 Memanggail regedit
59
Program registry editor akan tampil. Pergilah ke lokasi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run Klik ganda berulangkali pada subkey yang terlihat. Sehingga lokasi tersebut ditemukan.
Gambar 6.4 Lokasi yang akan diperiksa
Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value dan tekan DEL. Wasalam … masukan akan hilang. Untuk menampilkannya lagi terpaksa kita harus mengetik ulang. .. Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini adalah: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Jika ditemukan nama yang menurut Anda aneh (seperti Anda dan saya .. ☺) sikat saja!!! enggak pake lama ..
60
6.3
Memakai A-squared Hijack
Cara lain untuk memeriksa registry startup ini adalah dengan memakai program a-squared Hijack. Jika kita aktifkan program ini, maka akan terlihat pada Autoruns bagian Registry. Perhatikan pada bagian All users.
Gambar 6.5 Lokasi subkey
Di sana akan terdapat beberapa folder yang menunjukkan subkey pada registry yang dapat dipakai untuk mengaktifkan program. Pada tampilan terlihat Run RunOnce, RunOnceEX, RunService, RunServiceOnce. Jika folder tersebut tidak grey, berarti ada isian datanya. Pada contoh, folder Run berisi tiga nama masukan. Yaitu smapp, 1A-Stardock Traymonitor, dan adobe. Jika kita ingin agar program tidak dijalankan pada saat Windows dihidupkan, maka hilangkan tanda centang yang ada di depan Name. Sebaliknya, jika kita ingin mengaktifkan program, maka harus dicentang. Untuk folder Current User menunjukkan isian bagi user yang sedang aktif. Jika kita lihat isinya, lain dengan untuk All Users.
Gambar 6.6 Isian Current user Run
61
Untuk mematikan atau menghidupkan isian dilakukan dengan cara yang sama seperti yang baru saja kita bahas. Klik kotak di depan nama value untuk menampilkan dan menghilangkan tanda centang. Jika dicentang, file tersebut akan dijalankan saat booting. Jika tidak dicentang, berarti program tersebut tidak diaktifkan pas Windows melakukan booting. Paham ‘kan?
6.4
Memakai CSHW
Selain dengan cara-cara di atas, kita dapat memakai jasa CSHW. Program CSHW dilengkapi dengan modul CSRRE singkatan dari CyberSufi Run Registry Editor. Yang dapat diaktifkan dengan memilih FIX RUN. Coba lihat bab yang membahas CSHW. Di sana sudah saya terangkan cara pemakaian program CSRRE. Tampilan CSSRE adalah sebagai berikut.
Gambar 6.7 CSRRE
Itulah! Beberapa tools yang dapat dipakai untuk mengendalikan masukan autorun registry. Dengan “bersihnya” bagian ini, kita telah mencegat aktifnya virus saat Windows kita hidupkan.
62
