CARA MENGHAPUS VIRUS ANGEL2.

exe
1. Buka registry editor dan temukan registry key di bawah
HKEY_CURRENT_UER!o"tware!#i$roso"t!%indows!Current&ersion!Run
HKEY_'(C)'_#)CH*NE!(+T%)RE!#i$roso"t!%indows!Current&ersion!Run
Kemudian ha,us key -g,m$e )nge./.e0e1.
/. Kemudian $ari 2irus yang masih tersisa dengan menekan sear$h 3.e0e3 tan,a tanda kuti, .ihat
gambar . dan ha,us yg bergambar burung kaka tua4
Truskan dengan membuka T)RT ! ).. ,rograms ! tartu, ! dan ha,us ange./.e0e
5. Ha,us semua "i.e yang berekstensi .e0e dengan i$on burung kakatua.
6. e.esai.
%ahh7 ada 2irus ,endatang baru nih8 dan kayaknya u.ah dari 2irus .oka. yang .agi iseng.
Begitu.ah yang terbayang di,ikiranku ketika ,ertama ka.i men9um,ai 2irus ini bebera,a hari
yang .a.u. ebenarnya ini bukan masa.ah8 ta,i ka.au ,engguna awam kayak saya ini ada.ah
masa.ah. Hehehe. &irus an9e./.e0e dan window.e0e ada.ah sebuah tro9an dengan i$on burung
:ka.au saya tidak sa.ah8 burung kakatua;. &irus ini dibuat dengan &isua. Basi$ :&B;8 tidak
merusak system windows me.ainkan membebani system dengan meningga.kan 9e9ak 2irus
beru,a sam,ah setia, "o.der di #y <o$ument. =e9ak yang saya maksud di sini ada.ah sebuah "i.e
berekstensi a,,.i$ation :>.e0e;8 si?e 5/6 kb8 nama yang sama dengan "o.der yang di tem,atinya.
Ketika ,ertama ka.i 2irus ini beraksi8 "i.e yang terhidden akan mun$u. otomatis kemudian
menem,atkan dirinya di startu, ,rogram agar bisa 9a.an otomatis setia, ka.i windows
dihidu,kan. Cara ha,us bisa dengan $ara masing!masing 4<8 ta,i ka.au saya begini $aranya 4
1. Buka registry editor dan temukan registry key di bawah
HKEY_CURRENT_UER@o"tware@#i$roso"t@%indows@Current&ersion@Run
HKEY_'(C)'_#)CH*NE@(+T%)RE@#i$roso"t@%indows@Current&ersion@Run
Kemudian ha,us key -g,m$e )nge./.e0e1. .ihat gambar4
/. Buka "o.der startu, ,rogram. Bisa di temukan di 4
C4@Users@*+)R!AC@),,<ata@Roaming@#i$roso"t@%indows@tart #enu@Arograms@tartu,
Kemudian ha,us "i.e 1ange./.e0e1
5. Buka #y <o$ument dan tu.is di kotak sear$h -.e0e1 :tan,a tanda ,etik;. 'ihat gambar4
6. Ha,us semua "i.e yang berekstensi .e0e dengan i$on burung kakatua.
B. e.esai.
Rekomendasi saya gunakan anti 2irus untuk membersihkan 2irusCtro9an ini. Karena $ara di atas
ada.ah $ara manua. dan bisa 9adi 2irus ange./.e0e dkk tidak hi.ang se$ara tota..
Dambar di atas ada.ah s$reenshots dari anti2irus D <)T) yang saya gunakan untuk
membersihkan 2irus ange./.dkk. ekian du.u ,ostingan saya tentang Cara hapus Virus
angel2.exe dan windw.exe dan semoga bisa berman"aat buat teman/ semua. =ika ada masa.ah
dengan 2irus ini8 si.ahkan berkomentar dengan baik dan so,an.
UP!A"E #
ebe.umnya 2irus ini hanya nongkrong di #y <o$ument ta,i sekarang sudah bertebaran di
semua dri2e kom,uterC.a,to,. Untuk $ara ha,usnya sama sa9a. 'akukan $ara ke tiga di semua
dri2e kom,uterC.a,to, anda. SARAN saya8 .akukan ,engha,usan da.am keadaan windows sa"e
mode.
/E +ebruari /F1/
W32/VBTroj.DAAA
Komputer disulap menjadi Tong Sampah ( Recycle Bin )
Rupanya bukan hanya Chris Angel yang jago melakukan sulap yang menakjubkan.
Pembuat virus rupanya banyak yang mirip dengan Chris Angel. Salah satunya adalah
VBTroj.DAAA yang setelah mengineksi komputer korbannya! ia akan mengubah "#y
Computer$ menjadi "Re%y%le Bin$ atau tong sampah &p. Selain mengubah komputer
menjadi Tong Sampah! virus ini juga membuat banyak ile duplikasi yang
berekstensi.exe sehingga komputer akan di penuhi ile virus layaknya tong sampah
yang menampung sesuatu yang tidak digunakan lagi dan akhirnya akan membuat
kapasitas hardisk menjadi penuh alias 'o( Disk spa%e.
Dilihat dari namanya W32/BTroj!"### ini dibuat dengan menggunakan bahasa
pemograman Visual basi%. Virus ini memanaatkan ile older yang di duplikasi untuk
mengelabui user agar dapat diklik ) dijalankan dan menyebarkan ile duplikasinya
kesemua older dengan ukuran ile *+, kb.
-orman mendeteksi virus ini sebagai W32/BTroj!"### .lihat gambar /0
$am%ar &' "ete(si )orman *ndpoint +rotection
Ciri file Virus
Ciri1%iri dari ile virus ini! diantaranya sebagai berikut &
#emiliki ukuran ile sebesar 3,- (%
#empunyai type ile #pplication
Berekstensi .exe
#emiliki i%on
Bila virus akti maka akan membuat ile di beberapa lokasi berikut & .lihat gambar 20
C&3Do%uments and Settings3All 4sers3Start #enu3Programs3Startup3Startup.e5e
C&3Do%uments and Settings364ser63Start #enu3Programs3Startup3Angel2.e5e
C&3Do%uments and Settings364ser63Start #enu3Programs3Startup3Startup.e5e
$am%ar 2!.ile yang di%uat /irus di setiap 0older!

Gejala yang ditimbulkan
Saat pertama kali masuk (indo(s mun%ul pesan error "#i%rosot 7indo(s$
karena virus akti bersamaan dengan proses *xplorer (indo(s saat startup .lihat
gambar *0
$am%ar 3!Windo1s explorer menjadi error
Terkadang bila menuju ke suatu situs #i%rosot internet 85plorer tidak dapat
menampilkan alamat situs tersebut dan mun%ul pesan error .lihat gambar 90
$am%ar 2!3nternet *xplorer tida( dapat menampil(an situs
#embuat banyak ile duplikat dari setiap older yang kita klik dengan nama yang
sama dengan older tersebut namun berekstensi .e5e misalnya saat kita buka
older dengan nama Data maka virus akan membuat salinannya menjadi
Data.e5e .lihat gambar +0
$am%ar ,! .ile "upli(asi yang di tim%ul(an irus
Apabila setiap ile virus tersebut kita klik maka akan berjalan di memori serta
mengambil resour%e memory sekitar :;;;kb jadi bisa dibayangkan bila kita tidak
sengaja mengklik ile < ile virus tersebut maka akan menguras memori dan
berakibat %omputer menjadi lambat .lihat gambar ,0
$am%ar -! .ile irus yang a(ti0 mema(an memory!
Blok fungsi indos
Beberapa hal yang dilakukan virus adalah blok beberapa ungsi 7indo(s seperti Task
#anager! C#D! =older >ptions! dan Registry dengan membuat beberapa string pada
berikut&
? @A8BCC4RR8-TC4S8R3Sot(are3#i%rosot37indo(s3CurrentVersion385plorer3Advan%ed
o Value& @idden
o Data& DR8ECD7>RD! value& ;;;;;;;/F

? @A8BCC4RR8-TC4S8R3Sot(are3#i%rosot37indo(s3CurrentVersion385plorer3Advan%ed
o Value& DisableThumbnailCa%he
o Data& DR8ECD7>RD! value& ;;;;;;;/F

? @A8BCC4RR8-TC4S8R3Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies3system
o Value& DisableTask#gr
o Data& DR8ECD7>RD! value& ;;;;;;;/F

? @A8BCC4RR8-TC4S8R3Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies3system
o Value& DisableRegistryTools
o Data& DR8ECD7>RD! value& ;;;;;;;/F

? @A8BCC4RR8-TC4S8R3Sot(are3Poli%ies3#i%rosot37indo(s3System
o Value& disableC#D
o Data& DR8ECD7>RD! value& ;;;;;;;2F

?
@A8BCC4RR8-TC4S8R3Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies385pl
orer
o Value& -o=older>ptions
o Data& DR8ECD7>RD! value& ;;;;;;;/F
Aktif saat startu!
Virus ini membuat string pada registri agar dapat berjalan se%ara otomatis pada saat
pertama kali user login komputer.
? @A8BC'>CA'C#AC@G-83S>=T7AR83#i%rosot37indo(s3CurrentVersion3Run
o C&3Do%uments and Settings3All 4sers3Start #enu3Programs3Startup3Startup.e5e
o C&3Do%uments and Settings364ser63Start #enu3Programs3Startup3Angel2.e5e
o C&3Do%uments and Settings364ser63Start #enu3Programs3Startup3Startup.e5e

"eruba# #alaman aal $default !age% &nternet '(!lorer

Selain itu juga virus merubah tampilan halaman utama dan halaman deault page pada
bro(ser Gnternet 85plorer dan dialihkan kealamat (ebsite de(asa dengan tujuan
mengelabui user untuk a%%ess (((.booble.%om hampir mirip dengan situs
(((.google.%om yaitu mesin pen%ari segala inormasi di internet akan tetapi (ebsite
(((.booble.%om malah justru menampilkan konten de(asa atau mengandung unsur
pornograi. String yang di ubah dari registry tersebut adalah
? @AC43Sot(are3#i%rosot3Gnternet 85plorer3#ain3Sear%h Page
o (((.booble.%om
? @AC43Sot(are3#i%rosot3Gnternet 85plorer3#ain3Start Page
o (((.gpm%e.%om
"eruba# "y )om!uter menjadi re)y)le Bin
Aelebihan dari virus ini yaitu merubah #y %omputer menjadi Re%y%le Bin untuk
mengelabuhi agar user salah mengklik older atau menaruh ile data. .lihat gambar :0
$am%ar 4! 5eru%ah nama 5y 6omputer menjadi Recycle Bin
Trojan 7*2)VBTroj.DAAA merubah #y Computer menjadi Re%y%le Bin dan begitu
sebaliknya adapun key registri yang di rubah &
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H2;D;9=8;1*A8A1/;,I1A2DJ1
;J;;2B*;*;IDK
o Value& 'o%aliLedString
o Data& M6SystemRoot63system*23S@8''*2.dll!1JI,9
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K
o Value& 'o%aliLedString
o Data& M6SystemRoot63system*23shell*2.dll!1I2/,
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H2;D;9=8;1*A8A1/;,I1A2DJ1
;J;;2B*;*;IDK3DeaultG%on
o Data& 6SystemRoot63System*23shell*2.dll!*/
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3DeaultG%on
o Data& 6SystemRoot6385plorer.e5e!;
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3DeaultG%on
o Value& empty
o Data& 6SystemRoot6385plorer.e5e!;
? @A8BC'>CA'C#AC@G-83S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3DeaultG%on
o Value& ull
o Data& 6SystemRoot6385plorer.e5e!;
"edia *enyebaran
Removable drive)disk & #embuat ile dengan nama angel.e5e dan #enduplikasi ile
older pada =lashdisk menjadi ile virus.
Naringan 'A- & Bila dalam jaringan terdapat older #aping Drive yang di beri akses =ull
dan salah satu %omputer telah teineksi maka akan membuat duplikat ile virus pada
setiap older yang di akses sehingga kemungkinan dapat di klik oleh user lain yang
tertarik membuka ile virus tersebut
Cara mengatasi Trojan+W32/VBTroj.DAAA
-onaktikan "System Restore$! saat proses
pembersihan virus.
Dunakan Norman #a.ware $.eaner untuk membasmi se$ara tuntas "i.e induk 2irus
beserta "i.e du,.ikat yang dibuat o.eh 2irus tersebut. <a,at di down.oad ,ada a.amat
berikut 4 htt,4CCnormanasa.2o...nwd.netCo/GC,ub.i$CNorman_#a.ware_C.eaner.e0e :.ihat
gambar H;
$am%ar 7' )orman mal1are cleaner mem%asmi W32/BTroj!"## dengan tuntas
+i0 registri %indows yang sudah diubah o.eh 2irus8 untuk mem,er$e,at ,roses
,erbaikan sa.in s$ri,t dibawah ini ,ada ,rogram -note,ad1 kemudian sim,an dengan
nama -re,air.bat1. =a.ankan "i.e tersebut dengan doub.e k.ik "i.e
msg 6username6 )time&+ )( )v ORepair PPPP Registry QO
Reg delete O@AC43S>=T7AR83#i%rosot37indo(s3CurrentVersion3RunO )v gpm%e )
Reg delete O@A'#3S>=T7AR83#i%rosot37indo(s3CurrentVersion3RunO )v gpm%e )
Reg delete O@AC43Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies3SystemO )v
DisableRegistryTools )
Reg delete O@AC43Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies3SystemO )v
DisableTask#gr )
Reg delete O@AC43Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies385plorerO )v
-o=older>ptions )
Reg delete O@AC43Sot(are3#i%rosot37indo(s3CurrentVersion3Poli%ies3SystemO )v
DisableC#D )
Reg delete O@AC43Sot(are3Poli%ies3#i%rosot37indo(s3SystemO )v disableC#D )
Reg delete O@A43S1/1+12/1/2/999;**I1/9+;I,;I221:2+*9++9*1
/;;*3Sot(are3#i%rosot37indo(s3CurrentVersion385plorer3C'SGD3H2;D;9=8;1*A8A1/;,I1
A2DJ1;J;;2B*;*;IDKO )
Reg add O@AC43Sot(are3#i%rosot3Gnternet 85plorer3#ainO )v Start Page )t R8ECSR )d
O(((.google.%omO )
Reg add O@AC43Sot(are3#i%rosot3Gnternet 85plorer3#ainO )v Sear%h Page )d
(((.google.%om
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H2;D;9=8;1*A8A1/;,I1A2DJ1;J;;2B*;*;IDKO
)v lo%aliLedString )t R8EC8SPA-DCSR )d OM6SystemRoot63system*23S@8''*2.dll!1I2/,O )
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98KO )v lo%aliLedString )t R8EC8SPA-DCSR )d OM6SystemRoot
63system*23S@8''*2.dll!1JI,9O )
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H2;D;9=8;1*A8A1/;,I1A2DJ1
;J;;2B*;*;IDK3Deaulti%onO )v OO )t R8ECSR )d O6SystemRoot6385plorer.e5e!;O )
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3Deaulti%onO )v OO )t R8ECSR )d O6SystemRoot63System*23shell*2.dll!*/O )
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3Deaulti%onO )v O8mptyO )t R8EC8SPA-DCSR )d O6SystemRoot
63System*23shell*2.dll!*/O )
Reg add O@A'#3S>=T7AR83Classes3C'SGD3H,9+==;9;1+;J/1/;/B1I=;J1
;;AA;;2=I+98K3Deaulti%onO )v O=ullO )t R8EC8SPA-DCSR )d O6SystemRoot
63System*23shell*2.dll!*2O )
Reg add O@AC43Sot(are3#i%rosot37indo(s3CurrentVersion385plorer3Advan%edO )v
DisableThumbnailCa%he )t R8ECD7>RD )d O;O )
Pause
+i0 ha.aman utama *nternet E0,.orer dengan menya.in
s$ri,t dibawah ini ,ada ,rogram -note,ad1 kemudian sim,an dengan nama
-re,air.in"1 9a.ankan s$ri,t dengan $ara k.ik kanan ,i.ih insta..
DVersionF
SignatureTOUChi%agoUO
ProviderTVaksin%om>yee 2;/2
DDeaultGnstallF
AddRegT4nhookRegAey
@AC4! Sot(are3#i%rosot3Gnternet 85plorer3#ain! Start Page!;! Oabout&blankO
@AC4! Sot(are3#i%rosot3Gnternet 85plorer3#ain! Sear%h Page!;! "(((.google.%om$

Untuk ,embersihan se$ara menye.uruh atau o,tima. dan men$egah agar tidak ter9adi
in"eksi u.ang. *nsta.. anti2irus di $om,uter anda sehingga da,at mem,roteksi kom,uter
anda dari serangan 2irus8 atau $an dengan menggunakan anti2irus yang u,!to!date.
Salam!
Tim Analis Vaksin%om