Semua windows tentu dilengkapi dengan fitur safe mode. Safe mode ini berfungsi untuk menjalankan windows dalam keadaan yang safe atau bisa dikatakan aman. Dengan menjalankan modus aman atau safe mode, user bisa memperbaiki windows modus standar yang rusak atau rewel. Sebaai contoh, ketika driver-driver non-standar Windows yang membuat Windows modus standar gagal dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara masuk ke modus safe mode. Saat dalam modus safe mode inilah, pemakai berkesempatan untuk melakukan eliminasi pada drive non-standar yang bermasalah tersebut. Dengan demikian, windows modus standar bisa kembali normal. Itu harapannya.
Fungsi safe mode ini tentu menjadi ancaman bagi kelangsungan hidup virus dan program-program malware lainnya. Karena alasan itulah safe mode merupakan salah satu sasaran utama dari virus atau malware, so ..program-program jahat akan melakukan segala cara untuk memanipulasi, menembus, atau bahkan menggagalkan fungsi safe mode !
Hampir semua virus akan lumpuh tak berkutik ketika kita sedang dalam safe mode. Saya tadi bilang hampir, jadi nggak semua virus akan lumpuh dalam safe mode, karena dalam perkembangannya virus sudah bisa mencegah sebagian penanganan yang diberikan fitur safe mode, yaitu dengan menginjeksikan pemicu filenya ke dalam beberapa subkey registry. Jika sebuah malware/virus mengunakan metode seperti, maka virus akan tetap virus akan tetap berjalan dan mencegah atau bisa dikatakan mendisable user untuk masuk ke safe mode !
Nah, sekarang saya akan memberikan tutorial tentang bagaimana menangani virus yang mendisable kita untuk masuk ke safe mode.
Lokasi subkey yang diserang ialah :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
Berikut ini screenshotnya
Pada subkey SafeBoot ini, umumnya terdapat sebuah value yang bernama AlternateShell yang berjenis string. Lihat screenshot, bisa dilihat bahwa isian yang standar adalah cmd.exe , nah jika isiannya bukan cmd.exe maka kemungkinan kompie anda terinfeksi ! Karena saya yakin, jika ada file lain disitu kecuali AlternateShell yang berisi cmd.exe dan Default, maka file tersebut adalah file virus ! Berhati-hatilah,,
Apabila ternyata ada file lain di subkey SafeBoot kompie anda, janganlah panik. Yang perlu anda lakukan bukanlah menghapus value itu, namun hanya cukup mengganti isi value tersebut. Caranya, klik ganda nama value itu, dan pada isian value data isikan cmd.exe. Klik ok. Selesai !
Setelah itu, anda harus mengecek subkey registry lain yang juga menyimpan data SafeBoot. Karena, biasanya virus akan menyerang registry lain yang sejenis untuk mengantisipasi jika virus di subkey yang lain telah terdeteksi. Lokasi lainnya ialah :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
Jumlah subkey SafeBoot untuk tiap kompie bisa berbeda-beda, tergantung pada jumlah subkey ControlSet.
Sedikit tambahan : dengan diubahnya data pada value AlternateShell, user akan gagal masuk ke Safe Mode, malahan menjalankan file virus !
0 komentar:
Posting Komentar