Penulis Topik: CSRSS trojan miner folder WmiAppSrv  (Dibaca 7154 kali)

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #10 pada: November 18, 2018, 01:43:04 PM »
Jika Anda melampirkan dua log farbar, Saay garansi 100% virusnya akan hilang di sistem Anda. Tanpa perlu analisis sampel.

Ini di attachment registry apa ya?
Soalnya namanya seperti nama folder trojannya
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #11 pada: November 18, 2018, 01:48:34 PM »
False Detect gan.. Farbar itu aman

maap baru balas 2 hari kemudian, krn saya melakukan tes selama 2 hari.

q scan di virustotal farbarnya ada trojan itu false alarm ato gimana ya?

https://www.virustotal.com/#/file/ce71d666f5cf9788c0a6bec762d8132f59a0f7e5d08bd9e83108f1171b22c136/detection


Kalo terakhir scan, terdeteksi virus tersebut membuat 2 registry:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV (masih ada)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\COMSYSCTSsi (udah hilang)


Yg saya kasih tanda masih ada itu registrynya masih ada tp q scan ulang pakai malwarebyte clean
Sedangkan registry kedua udah ga ada.

Info saja, itu scrssnya jika discan lewat virustotal, ada keterangan relasi svchost

Saya melakukan percobaan selama 2 hari, saat pc idle ada 2 kejadian mencurigakan:
1. hari 1 saat pc idle jam 00.03 terdeteksi oleh malwarebyte proses acdsee berjalan sendiri tp diblokir/dicegat malwarebyte
2. hari 2 saat pc idla jam 2.50 pagi hari,   terdeteksi oleh malwarebyte proses acdsee berjalan sendiri tp diblokir/dicegat malwarebyte.

Mengapa tercegat malwarebyte? krn acdsee saya bukan ori pakai crack acdsee.exe, saat jam tersebut, saat notif pencegatan muncul, di resource manager terdeteksi adanya proses muncul yaitu svchost, tapi langsung status terminated karena tercegat malwarebyte.

Pertanyaan saya: bagaimana mungkin acdsee yg saya sama sekal itidak membukanya+saya juga klik gambar apa2 di pc saya, bisa berjalan sendiri memunculkan proses svchost?

Karena jika file scrss sampe saya discan di virustotal.com, di tab relasi, tertera svchost

Contoh crack acdsee saya lampirkan di attachment mohon dicek, itu file acdsee saat pc idle tengah malam bisa jalan sendiri

Feeling saya itu file jalan sebagai pemicu proses svchost(svchost palsu) lalu baru svchost palsu tersebut mendownlaod dan menginstal file scrss palsu


Sebagai catatan juga, ini saya deteksi virusnya pakai malwarebyte, karena pakai smadav tidak terdeteksi sama sekali.


Ini acdsee skrng sudah saya uninstal, kalo saya scan memang clean, scan seluruh sistem,registry+etc pakai malwarebyte database terbaru. Udah 2 hari saya tidak membuka nox, dan tidak terjadi apa-apa. Saya lg melakukan percobaan nanti akan saya buka nox, apa nanti masih muncul trojannya.

Soalnya gini, PC saya kondisi deep freeze, saat pertama kali PC restart logon ke windows PC saya itu dalam keadaan segar/fresh. Itu scrss hanya muncul setelah beberapa jam, kisaran 6-8jam kal osaya lg main emulator NOX. Nah ini dah 2 hari ga buka nox tidak terjadi apa2.


Kalo postingan asli saya tentang case ini ada di FB dg link https://www.facebook.com/rahardian.ch/posts/10210510683203543?comment_id=10210515073913308&notif_id=1542342691895730&notif_t=feed_comment&ref=notif

Anu sekalian cek-in, itu di attachment ada crack acdsee apa itu bervirus? q scan di virustotal ekdeteksi trojan, pada awalnya ya q kira false alarm, tp dideteksi malwarebyte sbg trojan juga. Kelakuannya aneh, tiap dini hari PC idle dia jalan sendiri lalu muncul proses svchost.

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #12 pada: November 18, 2018, 01:56:46 PM »
Ini di attachment registry apa ya?
Soalnya namanya seperti nama folder trojannya
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV

Itu Service milik Windows, bukan virus.. Saya juga punya


Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #13 pada: November 18, 2018, 02:01:45 PM »
Itu Service milik Windows, bukan virus.. Saya juga punya


oya saya cek juga ada, nah virusnya meniru itu proses, virus trojannya masukin ke directory:
C://programdata/microsoft/WmiAppSrv/scrss.exe (WmiAppSrv sbg nama folder)

Lalu q hapus pakai malwarebyte, abis dihapus beberapa menit kemudian dia create ulang itu malah di 2 tempat:
1. C://programdata/microsoft/WmiAppSrv/scrss.exe (scrss palsu)
2. C://programdata/microsoft/WmiAppSrv/svchost.exe (scrss palsu)

Udah clean semua sih skrng ga ada folder itu lagi, cuma kasusku trojannya munculnya kan ga langsung pas pc nyala, harus beberapa jam kemudian muncul lagi, nah makanya ini tar q mau tes lg main emulator NOX, mau main 6-8jam NOX apa bener muncul lagi

Oya crack adsee di attachment di post atas itu virus bukan? kok tengah malam dia bisa jalan sendiri ya?

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #14 pada: November 18, 2018, 02:07:05 PM »
oya saya cek juga ada, nah virusnya meniru itu proses, virus trojannya masukin ke directory:
C://programdata/microsoft/WmiAppSrv/scrss.exe (WmiAppSrv sbg nama folder)

Lalu q hapus pakai malwarebyte, abis dihapus beberapa menit kemudian dia create ulang itu malah di 2 tempat:
1. C://programdata/microsoft/WmiAppSrv/scrss.exe (scrss palsu)
2. C://programdata/microsoft/WmiAppSrv/svchost.exe (scrss palsu)

Udah clean semua sih skrng ga ada folder itu lagi, cuma kasusku trojannya munculnya kan ga langsung pas pc nyala, harus beberapa jam kemudian muncul lagi, nah makanya ini tar q mau tes lg main emulator NOX, mau main 6-8jam NOX apa bener muncul lagi

Oya crack adsee di attachment di post atas itu virus bukan? kok tengah malam dia bisa jalan sendiri ya?

Nah itu, jangan salah hapus Service Registry yaa.. :D

Oke, nanti ane cek Cracknya.

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #15 pada: November 18, 2018, 02:08:45 PM »
ini screenshot kondisi terakhir scan, yg tdnya trojannya cuma ada 1 biji scrss.exe palsu yg makan cpu usage, dia malah memperbanyak diri, tp langsung q clean pakai malwarebyte

Kesimpulannya selama 2 hari kemarin saya sengaja ga buka NOX, dan bener PC saya ga terjadi apa2, hanya muncul masalah ACDSEE.exe itu pas dini hari.

Nah ini nanti saya tes lg buka NOX, kalo saya buka NOX dan ternyata kena lagi, bisa disimpulkan mungkin dateng dr NOXnya, mungkin pas lagi main NOX si NOXnya buat jalur masuk trojannya.
Kalo NOX sendiri q scan ya clean ga ada apa2. Cuma q herannya kok tiap beberapa lama main NOX baru muncul scrss palsunya

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #16 pada: November 18, 2018, 02:10:25 PM »
lalu yg log Scan dengan Farbar Recovery Scan Tool
Ini discan pas PC masih fresh lognya? atau pas PC udah kena?

Kalo lognya scan pas udah kena berarti nunggu nanti kalo pas kena, soalnya saat ini blm terjadi apa2


Tambahan aja:
Kemarin pa kena aq blm pasang malwarebyte live protection, kalo skrng malwarebyte premium+live protection ada, mungkin tar misalkan tau2 muncul ditengah q main nox di kisaran 6-8jam, ada kemungkinan akan langsung diblokir malwarebyte jd ketauan
« Edit Terakhir: November 18, 2018, 02:12:20 PM oleh luci »

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #17 pada: November 18, 2018, 02:12:07 PM »
Di tempat saya tidak jalan..


Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #18 pada: November 18, 2018, 02:13:17 PM »
Di tempat saya tidak jalan..



ya ga jalan min, itu kan bukan installer, itu cracknya saja, tp kalo discan divirustotal banyak lho kedeteksi trojannya

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.644
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #19 pada: November 18, 2018, 02:14:32 PM »
lalu yg log Scan dengan Farbar Recovery Scan Tool
Ini discan pas PC masih fresh lognya? atau pas PC udah kena?

Kalo lognya scan pas udah kena berarti nunggu nanti kalo pas kena, soalnya saat ini blm terjadi apa2


Tambahan aja:
Kemarin pa kena aq blm pasang malwarebyte live protection, kalo skrng malwarebyte premium+live protection ada, mungkin tar misalkan tau2 muncul ditengah q main nox di kisaran 6-8jam, ada kemungkinan akan langsung diblokir malwarebyte jd ketauan

Maksudnya farbar ini, agar ane bantu bersihkan ssitem yang sudah terinfeksi. Ya, dia harus Scan dari sistem yang terinfeksi.

Namun agan ini ternyata di lingkungan Virtual ya? Sebagai penilitan gitu? Bukan sedang terinfeksi sistemnya kan?