Penulis Topik: CSRSS trojan miner folder WmiAppSrv  (Dibaca 7151 kali)

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
CSRSS trojan miner folder WmiAppSrv
« pada: November 16, 2018, 09:17:41 AM »
Help, PC saya kok kena trojan csrss mining ya? cara bersihinnya gimana? ini file tiap dikill lalu dihapus filenya dia create ulang filenya
Lewat smadav ga kedeteksi apa2, tapi q scan divirustotal ternyata trojan

Link virustotal= https://www.virustotal.com/#/file/d92cfffbd3060aa141eab23a8792aa05a0494a6323f92d10d457a8f89eab62c2/detection


Screenshot 1:
Setelah q telusuri, kedetect dr aplikasi security task manager, dr aplikasi itu dikirim file ke virustotal discan, dan bener, itu file trojan. Dia bukan virus, ga ngerusak data, tapi trojan yg menguras cpu usage, dia dr coin miner, jd dia naruh file csrss palsu yg fungsinya untuk mining bitcoin si pembuat trojan. Nah aslinya file csrssku itu ada 2, kedua file csrss q scan ke virustotal aman, nah csrss ke3 ini yg trojan

Screenshot 2:
Q coba cek, sumber directory foldernya adalah C:\ProgramData\Microsoft\WmiAppSrv di dalam folder itu ada csrss palsu, aq coba rename tp setelah direname dia bikin file csrss palsu yg baru, aq coba end now itu proses dan masukin ke karantina dr aplikasi security task manager, memang setelah q karantina proses hilang dan cpu usage balik normal tapi hanya beberapa detik, dia merestore file csrss dan cpu usage balik naik.
Dr sini aq blm menemukan si pen-trigger yg create file csrss setelah q rename. Aq dul upenghalaman nangani virus, pasti ada file pelaku utama yg ngecreate file yg kalo dihapus muncul lg, tp disini q belum nemu, pasti ada suatu proses yg nyelip diantara proses dalam task manager yg merupakan pelaku utama script yg ngecreate ulang csrss

Screenshot 3:
Posisi setelah q restart pc (aq pake deep freeze jd balik normal), aq cek directory C:\ProgramData\Microsoft\WmiAppSrv
Itu directory ga ada, artinya itu folder muncul karena ada pemicu/triggernya. Pemicunya apa? q blm tau, tp dr beberapa kesimpulanku pemicunya saat q browsing, aq td buka2 beberapa web tentang macbook

Screenshot 4:
Ini detik2 sebelum masuknya trojan coin miner, aq lg main RO pakai NOX, tiba2 NOX ngefreeze, dan muncul popup tulisan "VIRTUALBOX HEADLESS FRONTEND HAS STOP WORKING"

Screenshot 5:
CARA ANTISIPASI:
Sebenernya ada cara, ini cara sudah q tes dulu saat q pernah kena virus tp blm q tes untuk yg trojan ini td keburu restart pc.
Caranya adalah membuat file csrss tipe notepad tp dg nama csrss, jadi setelah file csrss palsu aq delete, aq buru2 paste file notepad dg nama sama. Sama seperti screenshot 5 ini, di tiap drive, ini drive C, aq buat folder nama autorun.inf. Di C itu ada penangkal virus untuk menempatkan file autorun.inf ga akan bisa soalnya sudah q taruh folder dg nama sama. (virus ga akan bisa naruh file jika di tempat tersebut sudah ada file dg nama sama). Cara ini belum saya tes untuk trojan ini.

Screenshot 6:
Setelah q restart normalnya hanya ada 2 file csrss, ini kalo discan ke virustotal bukan trojan yg 2csrss lainnya.


Aq kena gini td 3 kali percobaan pas main nox setelah beberapa jam, tp kenanya tepat selalu di jam 8.49
« Edit Terakhir: Januari 02, 2019, 12:05:22 PM oleh 3ndiixz »

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.384
  • Reputation: 744
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • PENDIK ASYIK
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #1 pada: November 16, 2018, 01:05:46 PM »
Saya akan panggilkan master virusnya ya, bentar

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #2 pada: November 16, 2018, 01:21:42 PM »

Offline Heru budi s

  • Pro3
  • **
  • Tulisan: 8
  • Reputation: 0
    • Lihat Profil

Offline 3ndiixz

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.384
  • Reputation: 744
  • Jenis kelamin: Pria
  • .:: DOCTOR PENDIK ::.
    • Lihat Profil
    • PENDIK ASYIK
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #4 pada: November 18, 2018, 12:13:21 PM »
Rekan Ki@mhu bilang virus ini bisa dibersihkan dengan mudah di Safe Mode, silahkan dicoba lagi

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #5 pada: November 18, 2018, 12:35:23 PM »
Rekan Ki@mhu bilang virus ini bisa dibersihkan dengan mudah di Safe Mode, silahkan dicoba lagi

Tapi itu Sampelnya lain.. Bukan Sampel yang ini.. Ini Saya sedang tes sampel TS.

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #6 pada: November 18, 2018, 12:40:56 PM »
Tidak jalan di tempat Saya.. Sistem Saya 32 bit.

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #7 pada: November 18, 2018, 12:41:38 PM »
Jika Anda melampirkan dua log farbar, Saay garansi 100% virusnya akan hilang di sistem Anda. Tanpa perlu analisis sampel.

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #8 pada: November 18, 2018, 01:35:15 PM »
Maaf, saya salah tekan.. (kiamhu)

Bisa edit ulang laporan Anda barusan?
« Edit Terakhir: November 18, 2018, 01:37:55 PM oleh Ki@mhu »

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #9 pada: November 18, 2018, 01:37:22 PM »
False Detect gan.. Farbar itu aman