Virus dan Safe Mode

Safe mode? Ya … Windows biasanya akan diperlengkapi dengan modus safe mode. Dimaksudkan agar pemakai dapat memperbaiki Windows jika terjadi suatu musibah. Windows safe mode sebetulnya tidak lebih dari Windows yang dijalankan dengan driver standar! Sehingga jika terjadi kerewelan pada driverdriver non-standar Windows yang membuat Windows modus standar gagal dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara masuk ke modus safe mode. Pada saat dalam modus safe mode inilah, pemakai berkesempatan untuk melakukan eliminasi pada drive non-standar yang bermasalah tersebut. Dengan cara ini, Windows yang rusak akan menjadi normal kembali. Itu harapannya. Melihat fungsinya, tentu saja, modus safe mode ini, juga merupakan ancaman bagi kelangsungan hidup virus atau program-program yang suka membuat masalah … ☺ Oleh karena itu, modus safe mode ini juga merupakan target utama program virus. Artinya, virus akan berusaha memanipulasi modus safe mode atau bahkan menggagalkan fungsinya!
Bagaimana masuk ke modus safe mode?

1. Lakukan booting ulang komputer. Pada saat proses booting dimulai, tekanlah tombol F8 secara cepat dan berulangkali. (Agak histeris juga boleh… ☺) Sehingga muncul menu boot Windows. Pilihlah Safe Mode, maka proses akan berjalan hingga akhirnya menampilkan pilihan user yang harus digunakan untuk masuk ke Windows safe mode. Pada Windows XP, biasanya akan muncul account Administrator dan account yang kita punya. Pilihlah user Account yang biasa kita pakai.
   
2. Setelah itu biasanya kita akan ditanya, apakah akan masuk ke modus Safe mode ataukah kita akan memakai fasilitas system restore Windows. Klik Yes, maka kita akan masuk ke mode Windows safe mode. Artinya, Windows akan aktif dengan perangkat apa adanya (standar minimalnya).
   
3. Aktif dalam Safe Mode. Ada subkey registry Windows yang berguna untuk menjalankan suatu program secara otomatis saat Windows dihidupkan. Jadi, jika kita ingin agar suatu file executable aktif saat Windows dihidupkan, maka kita harus menulisi subkey autorun ini dengan suatu nama value yang berisi data yang menyebutkan bahwa file X.EXE adalah file yang harus dieksekusi. X di sini mewakili sembarang nama file EXE. Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah program System Configuration Utility atau lebih dikenal dengan nama "msconfig" karena file pengaktif program tersebut bernama msconfig.exe.
   
4. Untuk memanggil "msconfig", lakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan msconfig. Tekan Enter atau klik OK.
5. Jendela System Configuration Utility akan muncul dan terlihat beberapa tab. Salah satunya tab Startup. Tab tersebut berguna untuk melihat program apa saja yang akan dijalankan oleh Windows pada saat Windows diaktifkan. Ini dia!
   

Virus biasanya akan memblokir penggunaan program ini. Entah itu dengan
mematikan pilihan Run atau memonitor caption (judul/nama) jendela program yang sedang aktif. Jika caption program yang sedang aktif adalah sama dengan caption yang telah ditargetkan oleh virus, secara otomatis virus akan segera menutupnya atau mungkin melakukan booting ulang. Sekarang sampeyan tahu sebabnya, bukan? Mengapa saat suatu virus aktif, dan kita memanggil msconfig, tiba-tiba jendela program msconfig menutup dengan sendirinya. Atau mungkin, tiba-tiba, komputer melakukan booting ulang

Tab Startup msconfig
Pada tab Startup, akan terlihat kolom Startup item, yang menunjukkan nama item yang akan dijalankan saat Windows diaktifkan. Juga kolom command, yang biasanya berisi program yang diaktifkan plus parameternya jika ada. Sedangkan kolom Location, menunjukkan lokasi subkey (syaraf) registry yang menyimpan setting data ini. Pada contoh terlihat, nama SMTray ternyata adalah milik program yang bernama SMTray.exe dan berada di folder d:\Program Files\Analog Devices\SoundMAX. Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif programnya dijalankan saat booting Windows terjadi sehingga penelitian di bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang memasangkan nama itemnya dengan nama yang “berbau-bau” nama file sistem Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya, dengan nama windows.exe, svc0host.exe, rundlll.exe dan lain sebagainya. Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus. Dan ini perlu latihan. Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan dijalankan. Setelah kita melakukan proses centang atau un-centang.....OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.

Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa
konfigurasi autorun registry adalah program Registry Editor. Untuk memanggilnya, dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan regedit. Tekan Enter atau klik OK. Program registry editor akan tampil. Pergilah ke lokasi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Klik ganda berulangkali pada subkey yang terlihat sehingga lokasi tersebut
ditemukan. Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value dan tekan DEL.

Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini
adalah:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx
  
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jika ditemukan nama value yang menurut Anda aneh, hapus saja …Dari beberapa subkey di atas, ada satu subkey yang cukup istimewa. Yaitu subkey RunOnce. Berbeda dengan subkey Run yang akan selalu menjalankan program yang ada di dalamnya setiap kali Windows dihidupkan, subkey RunOnce ini biasanya dipakai untuk menjalankan satu program sebanyak satu kali saja! Jadi, subkey ini biasanya dipakai oleh suatu program untuk mengaktifkan prosesnya sebanyak satu kali saja sehingga nama value yang dituliskan di sini hanya akan berlaku satu kali saja. Setelah dijalankan, nama value tersebut akan dihapus. Jika pembuat virus cukup nakal, ia akan membuat program virus untuk menuliskan pengaktifnya di subkey ini. Jadi, virus akan aktif saat komputer dihidupkan. Program akan dijalankan dan nama value pemicu akan dihapus. Maka ia tidak meninggalkan jejak di msconfig. Selang beberapa waktu saat virus aktif, ia akan membuat program timer yang secara berkala menulis ulang nama value di subkey tersebut. Atau mungkin virus hanya akan menuliskan data pada subkey RunOnce saat komputer akan di-log off. Dengan cara tersebut, virus akan terjaga eksistensinya. Lumayan cerdik ‘khan?