31 Maret 2009

Memperbaiki registry yang dirusak virus

Beberapa hari lalu sy mengalami kekacauan di tampilan windows yang disebabkan oleh virus, entah virus apa. Ada beberapa target serangan yg jadi favorit virus, terutama di registry. Seperti misalnya tiba-tiba ga bisa buka regedit, atau folder option di windows explorer ga tampil sehingga ga bisa show hidden file. Kalo dah mumet biasanya kan pake jurus 3 jari sakti ctrl-alt-del, nah kadang-kadang ini juga dilock sama virus sehingga task manager ga muncul. Kasus sy agak.. emm.. parah... desktop doang yang muncul, ga ada start menu ga ada icon... jelas panik laah.

Usut punya usut, akhirnya dapet string regsitry untuk memperbaikinya, ini tinggal copy di bawah. Sumbernya? Jangan tanya, namanya juga orang panik, yg penting bisa diperbaiki, boro-boro inget dapetnya dari mana... hehe

===========================================================================
[Version]
Signature=$CHICAGO$

[DefaultInstall]
AddReg=EnableRegedit
AddReg=RestoreExplorer
DelReg=EnableTaskManager
DelReg=RestoreRegedit
DelReg=RestoreMsConfig
DelReg=EnableFolderOption
DelReg=EnableChangeHomepageIE
DelReg=EnableRunCommand
DelReg=EnableCMD

[EnableRegedit]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

[RestoreExplorer]
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0x00000000, "Explorer.exe"

[EnableTaskManager]
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

[RestoreRegedit]
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe, Debugger

[RestoreMsConfig]
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe, Debugger

[EnableFolderOption]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

[EnableChangeHomepageIE]
HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel, HomePage
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions, NoSetHomePage
HKCU, Software\Microsoft\Internet Explorer\Main, Local Page

[EnableRunCommand]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

[EnableCMD]
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
====================================================================================

kalo dah dicopy, paste di notepad, terus save as aja jadi namafile.inf
Ganti namafile dengan nama yang anda inginkan, yg penting .inf nya itu. Setelah itu filenya tinggal diklik kanan trus pilih install, nanti otomatis registrynya dikembalikan ke kondisi semula.

beberapa kondisi yg bisa diperbaiki:
1. Membuka akses ke regedit.exe
2. Membersihkan Explorer.exe yang di tempeli virus
3. Membuka blokir Ctrl-alt-del / Task Manager
4. Mengembalikan file regedit.exe yang diubah virus
5. Membuka msconfig.exe untuk mengubah menu startup
6. Mengembalikan Folder Options di windows explorer
7. Mengembalikan IE homepage dari website virus
8. Mengembalikan Run di start menu
9. Mengembalikan Command Prompt (cmd.exe)

Btw ini bukan berbagi, ini catatan sy sendiri takutnya kejadian lagi. Gampang kan tinggal buka blog sendiri .. hehehe