Dua kali sudah aku berhadapan dengan worm. Biyasane worm itu diidentifikasikan dengan string W32 di depan nama worm itu sendiri. Contoh posting sebelumnya, W32.Rontokbro@mm.
Worm lebih sering ngendok di memori, terus ngopikan dirinya sendiri sampai bikin komputer lambat karena jalur data yang penuh oleh file2 worm. Coba cek menu Folder Option, masih eksis kah? Coba lagi tekan tuts Ctrl+Alt+Del, kemungkinan tampil pesan “Task Manager has been disabled by your administrator”. Wah, tanda2 terserang worm tu!
Worm itu menambahkan nilai (value) tertentu pada registry. Itulah yang menyebabkan munculnya pesan seperti itu. Masalahnya, ketika kita akan mengubah nilai registry liwat Regedit, Regedit juga ikutan di-disabled. Mungkin itu dimaksudkan untuk mencegah perbaikan secara manual liwat Regedit.
Lah terus gimana ngedit registry kalo Regeditnya di-disabled? Tenang (walaupun dulunya aku panik waktu tau “Regedit has been disabled by your administrator”.), ada penyembuhnya kok! Ceritanya waktu googling worm W32.Imaut.N, keluarlah hasil (result) dari symantec.com yang lumayan membantu. Kalau di symantec.com, file ini namanya UnHookExec.inf. Silahkan copy paste tag di bawah ini ke notepad, kemudian save dengan nama terserah, apa aja yang penting ekstensinya *.inf.
[Version]
Signature=”$Chicago$”
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
Beres? Belum, sak marine nge-save file *.inf iku maeng, klik kanan nang file iku terus pilih install. Hehehe… Kamdusnya, klik kanan di file *.inf tersebut, kemudian pilih install. InsyaAllah Regedit sudah bisa dijalankan kembali.
Sebelumnya untuk lebih menyingkat tempat (space, padahal asline males nulis), primary key awal aku singkat. Contoh: HKEY_CURRENT_USER jadi HKCU, HKEY_LOCAL_MACHINE jadi HKLM, dll. Kemudian untuk string yang berada didalam tanda petik(“) merupakan nilai yang perlu dihapus. Berikut beberapa nilai registry yang perlu dihapus:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NoFolderOption”=”1″ (Ini untuk mengembalikan menu Folder Option).
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTool”=”1″ (ini yang bikin regedit disabled).
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr”=”1″ ( kalo ini bikin Task Manager gak bisa dipanggil liwat Ctrl+Alt+Del).
Wes, cuman dikit yang aku tau. Selebihnya pengeditan registry tergantung pada jenis worm, karena beda worm, beda pula nilai registry yang diutak-atik. Selamat menyelami dunia registry. Lain waktu aku bahas sedikit tentang registry.
Salam,
Ptx.
Komen Anyaran