Memeriksa

AutoRun Registry

Autorun registry adalah suatu subkey registry (cabang syaraf) Windows yang
berguna untuk menjalankan suatu program secara otomatis saat Windows
dihidupkan. Jadi, jika ingin agar file X.EXE (misalnya) aktif saat Windows
dihidupkan, maka kita harus menulisi subkey autorun ini dengan suatu nama
value yang berisi data yang menyebutkan bahwa file X.EXE adalah file yang
harus dieksekusi. Lebih kurang begitulah… Pada bagian ini kita akan melihat
beberapa cara untuk memeriksa autorun registry Windows.

6.1 Memakai Msconfig

Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah
program System Configuration Utility atau lebih dikenal dengan nama msconfig.
File pengaktif program tersebut bernama msconfig.exe. Untuk memanggilnya
dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan
msconfig. Tekan Enter atau klik OK.

57
 Gambar 6.1 Memanggil msconfig

Jendela System Configuration Utility akan muncul dan terlihat beberapa tab.
Kita tidak akan membahas semuanya. Kita hanya akan berkonsentrasi pada tab
Startup. Yang lain pelajari sendiri… ☺ Tab Startup ini berguna untuk melihat
program apa saja yang akan dijalankan oleh Windows pada saat Windows
diaktifkan. Ini dia! Virus biasanya akan memblokir penggunaan program ini.
Entah itu dengan mematikan pilihan Run atau memonitor caption (judul/nama)
jendela program yang sedang aktif. Jika jendela ini aktif, secara otomatis virus
akan segera menutupnya atau mungkin melakukan booting ulang. Terserah ama
program virus.

Gambar 6.2 Tab Startup msconfig

58
Pada tab ini akan terlihat kolom Startup item, yang menunjukkan nama item
yang akan dijalankan saat Windows diaktifkan. Juga kolom command yang
biasanya berisi program yang diaktifkan plus parameternya jika ada. Sedangkan
kolom Location menunjukkan lokasi subkey (syaraf) registry yang menyimpan
setting data ini. Pada contoh terlihat nama ctfmon ternyata milik program yang
bernama ctfmon.exe dan berada di folder d:\windows\system32.
Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu peng-
aktif programnya dijalankan saat booting Windows terjadi. Sehingga penelitian
di bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang
memasangkan nama itemnya dengan nama yang “berbau-bau” nama file sistem
Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya
dengan nama windows.exe, svc0host.exe, rundlll.exe, dan lain sebagainya.
Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus.
Dan ini perlu latihan…. ☺
Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang
yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak
akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan
dijalankan. Setelah kita melakukan proses centang dan un-centang … ☺ klik
OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.

6.2 Memakai Regedit

Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa
konfigurasi autorun registry adalah program Registry Editor atau lebih dikenal
dengan nama Regedit. File pengaktif program tersebut bernama regedit.exe.
Untuk memanggilnya dilakukan via perintah Run dari menu Start. Klik Start -
pilih Run dan ketikkan regedit. Tekan Enter atau klik OK.

Gambar 6.3 Memanggail regedit

59
Program registry editor akan tampil. Pergilah ke lokasi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
Klik ganda berulangkali pada subkey yang terlihat. Sehingga lokasi tersebut
ditemukan.

Gambar 6.4 Lokasi yang akan diperiksa

Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk
mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value
dan tekan DEL. Wasalam … masukan akan hilang. Untuk menampilkannya lagi
terpaksa kita harus mengetik ulang. ..
Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini
adalah:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jika ditemukan nama yang menurut Anda aneh (seperti Anda dan saya .. ☺)
sikat saja!!! enggak pake lama ..

60
6.3 Memakai A-squared Hijack
Cara lain untuk memeriksa registry startup ini adalah dengan memakai program
a-squared Hijack. Jika kita aktifkan program ini, maka akan terlihat pada
Autoruns bagian Registry. Perhatikan pada bagian All users.

Gambar 6.5 Lokasi subkey

Di sana akan terdapat beberapa folder yang menunjukkan subkey pada registry
yang dapat dipakai untuk mengaktifkan program. Pada tampilan terlihat Run
RunOnce, RunOnceEX, RunService, RunServiceOnce. Jika folder tersebut tidak
grey, berarti ada isian datanya. Pada contoh, folder Run berisi tiga nama
masukan. Yaitu smapp, 1A-Stardock Traymonitor, dan adobe. Jika kita ingin
agar program tidak dijalankan pada saat Windows dihidupkan, maka hilangkan
tanda centang yang ada di depan Name. Sebaliknya, jika kita ingin mengaktif-
kan program, maka harus dicentang.
Untuk folder Current User menunjukkan isian bagi user yang sedang aktif. Jika
kita lihat isinya, lain dengan untuk All Users.

Gambar 6.6 Isian Current user Run

61
Untuk mematikan atau menghidupkan isian dilakukan dengan cara yang sama
seperti yang baru saja kita bahas. Klik kotak di depan nama value untuk me-
nampilkan dan menghilangkan tanda centang. Jika dicentang, file tersebut akan
dijalankan saat booting. Jika tidak dicentang, berarti program tersebut tidak
diaktifkan pas Windows melakukan booting. Paham ‘kan?

6.4 Memakai CSHW

Selain dengan cara-cara di atas, kita dapat memakai jasa CSHW. Program
CSHW dilengkapi dengan modul CSRRE singkatan dari CyberSufi Run
Registry Editor. Yang dapat diaktifkan dengan memilih FIX RUN. Coba lihat
bab yang membahas CSHW. Di sana sudah saya terangkan cara pemakaian
program CSRRE. Tampilan CSSRE adalah sebagai berikut.

Gambar 6.7 CSRRE

Itulah! Beberapa tools yang dapat dipakai untuk mengendalikan masukan

autorun registry. Dengan “bersihnya” bagian ini, kita telah mencegat aktifnya
virus saat Windows kita hidupkan.

62