Script Untuk Perbaikan pada Registry

1. Script Reg
*.reg adalah ekstensi untuk file yang dihasilkan atau untuk input ke Registry.
Jika ingin membuktikannya, coba buka Registry kemudian klik File dan pilih Export.
Pada jendela Export Registry File yang muncul, perhatikan Save as type-nya. Disana secara default meminta ekstensi reg.

Script Reg ditulis berdasarkan urutan sebagai berikut :

Header File
Handle Key, Key dan Subkey
Key value = ?Type Value? : value (isi dari Key value)

Jelasnya sebagai berikut :

* a. Header File

Header file adalah kalimat pembuka script dan bersifat Case Sensitive, yakni diperhitungkan besar kecilnya huruf yang ditulis. Ada sedikt perbedaan header antara Win9x (95, 98 dan Me)dan WinNt (WinXp, 2000, NT, 2003 dst.). Untuk Win9x, headernya adalah sebagai berikut :
REGEDIT4
(Header tersebut wajib ditulis dengan huruf kapital dan tanpa spasi antara huruf dan angka)

Untuk WinNT, headernya adalah sebagai berikut :
Windows Registry Editor Version 5.00
(Penulisannya harus persis seperti di atas, dimana setiap huruf awal setiap kata berjenis Kapital )

* b. Handle Key, Key dan Subkey

Handle key atau yang disingkat HKEY bisa juga disebut RootKey, yakni pusat dari key dan subkey yang ada.

HKEY adalah ruang utama penyimpan key. Dan key adalah ruang penyimpan sub key, kemudian
Sub key adalah ruang penyimpan key value (perintah). Dan pada setiap key value akan mempunyai value. Hal ini sama dengan istilah folder dan sub folder.

Cara penulisan handle key, key dan subkey sama saja pada setiap generasi windows.
[HANDLE_KEY\Key\SubKey]

?Key value? =type value : ?value (nilai)?

Contoh :
[HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System] ?DisableRegistryTools? =dword : ?0?

Keterangan contoh diatas adalah sebagai berikut :
—>HKEY_CURRENT_USER = Handle Key
—>Software = Key
—>micr*soft ?.. System = Sub Key
—>Disable Registry Tools = Key value
—>Dword = Type Value
—>0 = Value

Dalam penulisan script ini, tentu saja anda harus menghafal banyak key, subkey, dan key value.

Nantinya akan sangat bermanfaat jika anda harus menghadapi kendala Registry dengan tangan kosong. Atau minimal, anda harus menghafal key-key pentingnya saja.

Berikut ini adalah beberapa key dan subkey penting yang harus anda hafal :

1. Untuk mengaktifkan Registry, yakni key value DisableRegistryToolsdword dan nilai 0 pada posisi :dengan type HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\System Dan ?. HKEY_LOCAL_MACHINE\Software\micr*soft\Windows\Curr entVersion\Policies\System
2. Untuk mengembalikan Folder options, Control Panel, Task Manager dan Cmd, yaitu dengan cara merubah nilai (value) menjadi 0 pada key value NoFolderOptions, NoSetFolder, DisableTaskmgr, dan Disable Cmd dengan type dword pada posisi : HKEY_CURRENT_USER\Software\micr*soft\Windows\Curre ntVersion\Policies\Explorer Dan ? HKEY_LOCAL_MACHINE\Software\micr*soft\Windows\Curr entVersion\Policies\Explorer

Script reg ditulis dengan program Notepad dan disimpan dengan ekstensi .reg.
Misalnya anda menyimpannya dengan nama perbaikan.reg.

Penggunaannya adalah dengan menekan Enter pada file, atau bisa juga dengan klik kanan di file-nya dan pilih Merge, lalu menjawab Yes dan OK saja. Jangan lupa perhatikan, kenapa anda harus menjawab Yes
dan Ok.

Kelemahan Script Reg

Tentu saja segala sesuatu itu ada kelemahannya. Ektensi reg akan bisa dibuka dengan adanya bantuan dari file regedit.exe (file pemicu registry). Sehingga ekstensi ini tidak mempunyai keistimewaan direct open seperti ekstensi .exe.

Hal ini diatur dalam :
HKEY_CLASSES_ROOT\regfile\shell\open\command\
Default : regedit.exe %1

Pengaturan diatas artinya, setiap ekstensi reg akan bisa dibuka jika file regedit.exe dapat dijalankan.

Salah satu yang menghambat suksesnya proses dari script reg ini adalah adanya pengalihan target untuk file regedit.exe yang dilakukan dari :
HKEY_LOCAL_MACHINE\Software\micr*soft\Windows NT\Current Version\Image File Execution
Options\regedit.exe
Debugger : C:\Windows\notepad.exe

Pengalihan target diatas artinya, setiap kali anda membuka regedit, maka akan dialihkan ke notepad, sehingga yang muncul adalah program notepad dengan isi tulisan yang tidak karuan.

Pada contoh kasus inilah script reg tidak bisa dijalankan.

Contoh Script reg
Berikut ini adalah script reg yang bisa anda gunakan sebagai media perbaikan registry :
CODE
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\micr*soft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
[HKEY_LOCAL_MACHINE\\Software\micr*soft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000

2. Script Inf

Script inf adalah script dengan ekstensi .inf yakni cara lain yang digunakan untuk memulihkan Registry.
Kenyataannya, saat ini virus sudah semakin hebat saja, dan rata-rata hampir tidak mempan lagi dengan adanya script reg.

Script inipun ditulis dengan program Notepad dan disimpan dengan ekstensi .inf.

Jika harus menulis dadakan, tentu saja agak rumit, karena terlalu banyak titik dan koma, dan tidak boleh ketinggalan satu karakterpun. Jadi, anjuran saya, sebaiknya anda sudah menyiapkan script inf
dengan fungsi lengkap jauh-jauh hari sebelum terjadinya tragedi serangan virus.

Script inf ditulis dengan aturan sebagai berikut :

[Version]
Signature=?$Chicago$?
Provider=Nama anda

[DefaultInstall]
AddReg=UnhookRegKey
delReg=del

[UnhookRegKey]
Isi Key, Subkey atau key value yang akan diperbaiki atau ditambahkan
[del]
Key, Subkey atau key value di Registry yang akan dihapus

Simpan script tersebut dengan ekstensi .inf, misalnya perbaikan.inf. Kemudian cara menggunakannya adalah dengan klik kanan di nama file dan pilih install.

Penjelasan Script

a. HeaderSeperti halnya script reg, pada script inf pun mempunyai header. Dan tentu saja header ini
tidak boleh dirubah apapun alasannya. Header dari script ini adalah :
[Version]
Signature=?$Chicago?

b. Keterangan Penulis

Anda diberi fasilitas untuk memberikan nama anda setiap kali menulis Script. Letaknya persis berada di bawah header. Yaitu :

Provider=nama_anda

c. Default Install

Ini merupakan inti judul perintah. Tujuannya adalah untuk mengembalikan setting registry menjadi default atau persis seperti ketika berjalan normal tanpa gangguan.

d. Perbaikan Isi

Virus, akan melakukan manipulasi terhadap isi baris perintah registry yang sudah ada.
Biasanya, manipulasi ini dilakukan dengan menambahkan atau mengurangi atau bahkan mengganti baris perintah yang sudah ada. Sehingga pada script ini, judul perintah untuk memperbaiki perintah
registry ke perintah default adalah :

[UnhookRegKey]

e. Penghapusan perintah yang tidak penting

Setiap virus, seringkali memperkenalkan dirinya sebaga suatu nama di computer anda.
Walaupun sebenarnya cara ini saya anggap kelalaian dari pembuat virus. Karena dengan menambahkan perintah aneh, maka virus itu cukup mudah dikenali.

Nah, untuk menghapus perintah-perintah yang menghidupkan virus itu, script ini menggunakan :

[del]

Jika pada script Reg, handle key (HKEY) ditulis secara lengkap persis seperti di Registry, maka pada Script inf handle key tersebut cukup ditulis singkatannya saja, yakni sebagai berikut :

HKCU untuk HKEY_CURRENT_USER
HKLM untuk HKEY_LOCAL_MACHINE

Dan begitu seterusnya.

Contoh penulisan script :
Script dibawah ini berfungsi untuk mengaktifkan kembali aplikasi Registry.

[Version]
Signature=”$Chicago$”
Provider=Mainhack

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”reg edit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””% 1″” %*”

[del]
HKCU,Software\micr*soft\Windows\CurrentVersion\Pol icies\System,DisableRegistryTools
HKCU,Software\micr*soft\Windows\CurrentVersion\Pol icies\Explorer,NoFolderOptions HKCU,Software\micr*soft\Windows\CurrentVersion\Pol icies\Explorer,NoControlPanel HKLM,Software\micr*soft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

Wah, wah, wah ? anda mulai pusing kan ? ? semoga saja tidak.

Berikut ini keterangannya plus cara menghafalkannya :

[Version]

Signature=”$Chicago$”
Provider=Mainhack
?Bagian ini yang harus anda ganti hanya isi dari provider-nya saja?.

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

?Addreg dan DelReg bisa diganti dengan bahasa lain, misalnya Memperbaiki Nilai dan Menghapus Nilai.?

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””% 1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”reg edit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””% 1″” %*”

Nilai “%1” %* merupakan nilai mutlak untuk proses eksekusi suatu file. Atau bisa juga nilai ini merupakan cara suatu file dalam melakukan Direct Open.

Dan yang mempunyai nilai untuk direct open ini hanya file dengan ekstensi tertentu, diantaranya adalah sebagai berikut :

a. bat
b. cmd
c. com
d. exe
e. pif
f. scr

Kita anggap saja ekstensi-ekstensi tersebut merupakan ekstensi pilihan dalam System Operasi Windows yang memiliki nilai Direct Open di Registry.

Direct Open itu apa sih ? ? yaitu proses pembukaan langsung terhadap file tersebut tanpa melewati prosedur yang lain. Jadi, jika anda membuka file dengan nama regedit.exe, maka file itu sendirilah yang menjadi sasarannya, tanpa harus melewati yang lain.

Berbeda dengan ketika anda membuka file panduan.doc, dimana anda harus melewati program micr*soft Word yang file pemicunya adalah Winword.exe.

Atau ketika anda membuka file yogyakarta.mp3 yang harus dilakukan setelah melewati program Winamp dengan file pemicu winamp.exe.

Perhatikan barisan script yang tulisannya seperti dibawah ini :

HKLM, Software\CLASSES\regfile\shell\open\command,,,”reg edit.exe “%1″”

Itu menunjukkan, bahwa setiap file reg akan dibuka dengan normalnya pembukaan file regedit.

Lantas, bagaimana jika file regedit.exe telah dipindahkan targetnya ????

Nah, pada kasus pengalihan target ini langsung dibantah oleh perintah script berikutnya yang terkumpul dalam variabel instruksi [del], sebagai berikut :

HKLM,Software\micr*soft\WindowsNT\CurrentVersion\I mage File Execution Options\regedit.exe

Pada perintah script diatas diterangkan bahwa key regedit.exe akan dihapus tanpa perlu mengetahui debugger yang akan membukanya.

Cara Menghafalkan

Dalam hal ini yang perlu anda lakukan adalah dengan memahami hal-hal sebagai berikut :

* Ekstensi apa sajakah yang mempunyai predikat direct open ?Setelah itu hafalkan kode untuk penulisan direct open-nya, yaitu “%1″ %*. Penulisan lengkap discriptnya adalah — ,,,”””%1″” %*”— Perhatikan jumlah koma, tanda petik dan bintangnya. Tiga tanda koma diawal (,,,) artinya key value Default. Sehingga, jika terdapat script yang perintahnya : HKLM, SOFTWARE\Classes\scrfile,,,”Screen Saver” Artinya adalah nilai key value Default adalah Screen Saver

* Ekstensi penting apa sajakah yang biasanya membutuhkan peran penting file lain dalam eksekusinya ?
Salah satu diantaranya adalah :
– Reg, yang membutuhkan file regedit.exe
* Bagaimana cara penulisan antara HKey, Key, Subkey, key value dan value
Berikut ini adalah cara penulisannya :
o – HKEY ditulis dengan cara singkatan, misalnya HKLM untuk HKEY_LOCAL_MACHINE
o – Penulisan antar key dpisahkan dengan tanda \ (back slash). Sedangkan penulisan key value ditulis setelah tanda koma (,) dibelakang subkey.
o – Penulisan key value mutlak harus didahului dengan 0 (nol) sebelum penulisan valuenya.

Seperti :
HKLM, SOFTWARE\micr*soft\Windows NT\CurrentVersion\Winlogon, Shell,0,
“Explorer.exe”

Dimana shell adalah key value yang defaultnya hanya bernilai explorer.exe, sehingga jika ada tambahan lain selain value tersebut, akan dinetralisir dengan penulisan 0 (nol).
o – Value akan selalu ditulis dengan diapit oleh dua tanda petik (?). Pada script diatas, terlihat bahwa value untuk key value Shell adalah Explorer.exe.

* Ruang mana sajakah yang sering dijadikan sasaran virus untuk bersarang ? Dengan mengetahui (bila perlu menghafal) ruang-ruang ini, maka akan semakin memudahkan anda dalam penulisan script.

Kelemahan Script inf

Namanya kelemahan pasti adalah, semua manusia juga punya kelemahan

Sekarang kita akan berbicara masalah kelemahan. Memang selalu saja, segala sesuatu tidaklah sempurna, sehingga sangat tidak pantas jika anda merasa paling pintar dalam hal apapun.

Perintah Install

Penggunaan script ini adalah dengan cara klik kanan di file-nya dan pilih install. Sebuah proses yang terlihat mudah.

Namun, bagaimana jika install tersebut tidak bisa dilakukan ??? ? tentu saja hal ini sangat mungkin, karena perintah apapun di komputer itu bukanlah hal magic.

%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

Yang arti globalnya adalah, perintah Install diatur oleh file rundll32.exe.
Sekarang, bagaimana kalo nilai tersebut kita ganti dengan yang lain, misalnya notepad.exe?. Apa yang terjadi ???

Tentu saja perintah install tidak lagi berlaku.

Perintah Open untuk mengedit script

Suatu ketika, ceritanya anda sudah membuat script inf jauh-jauh hari sebelum terjadinya serangan virus. Namun, karena ada yang perlu diedit, sehingga anda harus membukanya dengan
program notepad. Apa yang terjadi ??? ternyata notepad tidak menampilkan script yang sudah anda buat, tapi melainkan teks lain yang tidak anda kenal sama sekali.

Reduced: 70% of original size [ 725 x 233 ] – Click to view full image

Bagaimana jika nilai itu diganti dengan file anda yang berisi puisi patah hati ???

TAMBAHAN

gw tambahin ya?

VBS(Visual Basic)
gw ngasih buat yg mbersihin registry ya…..soalnya blon taw bnyk perintah tentang VBS

set variable = Wscript.CreateObject(“WScript.Shell”)
variable.RegDelete (“HKCU\Software\micr*soft\Windows\CurrentVersion\Policies\System\DisableRegistryTools”)

Nah itu untuk mendelete Registry….Kalo mau Buat Key pake
variable.RegWrite (“[path]”,”Value Data”,”Type”

Type “REG_SZ”,”REG_DWORD”,”REG_BINARY” dan lain”

About Sumiyanto Surabaya

http://bajajbekas.wordpress.com/ berdiri sejak 7 Mei 2009. Termotivasi untuk menghabiskan stock barang tarikan dengan metode pemasaran yang konvensional memakan banyak pikiran, tenaga, dan dana untuk kampanye melalui media koran lokal yang hanya berdurasi 1-3 hari saja. Tidak cukup waktu untuk menghabiskan seluruh stock unit tarikan yang ada. Untuk alasan itulah media ini berdiri menjembatani bagi peminat motor khususnya bajaj untuk mendapatkan informasi yang tepat, tempat yang tepat, motor yang tepat. Tidak lebih. Dikelola oleh Sumiyanto, Goal Keeper Perusahaan Finance di Wilayah Jl. Jemur Andayani 50, Ruko Surya Inti Permata D 10-11, Surabaya, 031-72472523, 081 246 83700 https://cakyanto.wordpress.com/ Belajar tentang pemrograman database berbasis Ms Access

Posted on Oktober 30, 2012, in Tips dan trik and tagged . Bookmark the permalink. Tinggalkan komentar.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: