Beberapa waktu yang lalu anggota crew yogyafree berhasil membuat sebuah mahakarya yang di klaim merupakan celah di windows yang dapat menyebabkan Bill Gates gulung tikar…dan berikut analisa “mahakarya” tersebut :

  1. Compiled dari VB 6.0, dengan no packer dan native code.
  2. Mengubah/menambah beberapa key registry :
    1. DisableRegistryTools
    2. DisableTaskMgr
    3. HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell\Explorer.exe menjadi gutbai.exe
    4. HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\Shell\Gutbai.exe
  3. Mencopy dirinya sendiri ke C:\Windows
  4. “Membunuh” proses Explorer.exe

Bila dijalankan, aplikasi ini akan memunculkan window dengan 2 Button yang pertama berisi tantangan untuk meng-kliknya dan
kedua akan menutup aplikasinya. Bila button pertama diklik maka akan muncul MessageBox yang berisi bahwa anda sudah menjalankan
tantangannya dan aplikasi akan me-Log Off anda. Begitu anda Log On kembali maka anda hanya dihadapkan tampilan wallpaper saja.
Mengapa demikian?? karena pada dasarnya Windows melakukan boot secara garis besar sbb:
Boot Sector -> NTLDR -|
|-> Ntdetect.com -> HKLM\HARDWARE\DESCRIPTION
|-> HKLM\SYSTEM\CurrentControlSet\Services
|-> Ntoskrnl.exe |-> bootvid.dll
|-> Windows Session Manager (smss.exe) -> HKLM\SYSTEM\CurrentControlSet\Session Manager\Bootexecute
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Memory Management\PagingFiles
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment
-> Winlogon -> MSGina.dll
-> Shell (Explorer.exe) ;Nah disini lah permasalahan terjadi

Sang gutbai.exe menggantikan dirinya sebagai shell yang asli, yaitu Explorer.exe. Maka dari itu anda tidak mempunyai shell tapi mempunyai logon yang valid,
karena MSGina sudah dieksekusi terlebih dahulu. TaskManager tidak bisa dibuka, sama halnya dengan Registry Editor (Regedit) karena telah di blok.

Banyak cara untuk mengembalikan shell asli anda, seperti menggunakan media boot CD, disket, USB, dll. Yang pada dasarnya mengganti value registry yang telah
diganti oleh aplikasi tsb. Berhubung kita menggunakan media boot, maka tidak dapat mengubah Registry secara langsung. DIperlukan aplikasi yang dapat membaca
dan mengubah value registry. Untuk penyimpanan Registry Windows terdapat pada %SystemRoot%\Config\Software (karena HKLM\Software yang kita tuju).
Dianjurkan menggunakan aplikasi yang sifatnya GUI (Graphical User Interface) dalam mengubah registry supaya memudahkan recovery. Penulis menggunakan
CD Recovery XP 1.00 Build On PEBuilder yang didalamnya sudah terintegrasi Regedit bawaan. UNtuk mendapatkan atau mengetahui cara membuat CD tsb bisa menghubungi
penulis.

Cara Recovery:

  1. Buka Regedit dari Run
  2. Browse HKEY_LOCAL_Machine
  3. Pilih File pada menu dan pilih Load Hive (File Type : Hive File)
  4. Browse ke Drive windows anda (biasanya C:)
  5. Browse ke C:\Windows\System32\Config, lalu pilih file Software
  6. Akan muncul kotak input box, Buat nama key baru misal HKEY_BARU
  7. Browse ke HKEY_BARU\Microsoft\Windows\CurrentVersion\policies\system lalu hapus value Shell
  8. Browse ke HKEY_BARU\Microsoft\Windows NT\CurrentVersion\Winlogon lalu ganti value Shell menjadi Explorer.exe
  9. Pilih File pada menu dan pilih Export
  10. Save 1 folder dengan file software tadi, misal dengan nama software2. Jangan lupa untuk memilih selected branch : HKEY_LOCAL_MACHINE\HKEY_BARU
  11. Pilih File pada menu dan pilih UnLoad Hive
  12. Browse ke C:\Windows lalu hapus file gutbai.exe
  13. Browse ke folder C:\Windows\System32\Config, lalu hapus file Software dan rename file software2 menjadi software
  14. Reboot Komputer anda
  15. Gunakan file ini

Regards,
senkouryu
_NewBie^Foreva-