Forum Smadav

Smadav Center => Konsultasi Virus => Topik dimulai oleh: luci pada November 16, 2018, 09:17:41 AM

Judul: CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 16, 2018, 09:17:41 AM
Help, PC saya kok kena trojan csrss mining ya? cara bersihinnya gimana? ini file tiap dikill lalu dihapus filenya dia create ulang filenya
Lewat smadav ga kedeteksi apa2, tapi q scan divirustotal ternyata trojan

Link virustotal= https://www.virustotal.com/#/file/d92cfffbd3060aa141eab23a8792aa05a0494a6323f92d10d457a8f89eab62c2/detection


Screenshot 1:
Setelah q telusuri, kedetect dr aplikasi security task manager, dr aplikasi itu dikirim file ke virustotal discan, dan bener, itu file trojan. Dia bukan virus, ga ngerusak data, tapi trojan yg menguras cpu usage, dia dr coin miner, jd dia naruh file csrss palsu yg fungsinya untuk mining bitcoin si pembuat trojan. Nah aslinya file csrssku itu ada 2, kedua file csrss q scan ke virustotal aman, nah csrss ke3 ini yg trojan

Screenshot 2:
Q coba cek, sumber directory foldernya adalah C:\ProgramData\Microsoft\WmiAppSrv di dalam folder itu ada csrss palsu, aq coba rename tp setelah direname dia bikin file csrss palsu yg baru, aq coba end now itu proses dan masukin ke karantina dr aplikasi security task manager, memang setelah q karantina proses hilang dan cpu usage balik normal tapi hanya beberapa detik, dia merestore file csrss dan cpu usage balik naik.
Dr sini aq blm menemukan si pen-trigger yg create file csrss setelah q rename. Aq dul upenghalaman nangani virus, pasti ada file pelaku utama yg ngecreate file yg kalo dihapus muncul lg, tp disini q belum nemu, pasti ada suatu proses yg nyelip diantara proses dalam task manager yg merupakan pelaku utama script yg ngecreate ulang csrss

Screenshot 3:
Posisi setelah q restart pc (aq pake deep freeze jd balik normal), aq cek directory C:\ProgramData\Microsoft\WmiAppSrv
Itu directory ga ada, artinya itu folder muncul karena ada pemicu/triggernya. Pemicunya apa? q blm tau, tp dr beberapa kesimpulanku pemicunya saat q browsing, aq td buka2 beberapa web tentang macbook

Screenshot 4:
Ini detik2 sebelum masuknya trojan coin miner, aq lg main RO pakai NOX, tiba2 NOX ngefreeze, dan muncul popup tulisan "VIRTUALBOX HEADLESS FRONTEND HAS STOP WORKING"

Screenshot 5:
CARA ANTISIPASI:
Sebenernya ada cara, ini cara sudah q tes dulu saat q pernah kena virus tp blm q tes untuk yg trojan ini td keburu restart pc.
Caranya adalah membuat file csrss tipe notepad tp dg nama csrss, jadi setelah file csrss palsu aq delete, aq buru2 paste file notepad dg nama sama. Sama seperti screenshot 5 ini, di tiap drive, ini drive C, aq buat folder nama autorun.inf. Di C itu ada penangkal virus untuk menempatkan file autorun.inf ga akan bisa soalnya sudah q taruh folder dg nama sama. (virus ga akan bisa naruh file jika di tempat tersebut sudah ada file dg nama sama). Cara ini belum saya tes untuk trojan ini.

Screenshot 6:
Setelah q restart normalnya hanya ada 2 file csrss, ini kalo discan ke virustotal bukan trojan yg 2csrss lainnya.


Aq kena gini td 3 kali percobaan pas main nox setelah beberapa jam, tp kenanya tepat selalu di jam 8.49
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 16, 2018, 01:05:46 PM
Saya akan panggilkan master virusnya ya, bentar
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 16, 2018, 01:21:42 PM
Silahkan melampirkan dua buah log farbar: http://www.konfirmasi.com/index.php?qa=877&qa_1=mohon-baca-ini-sebelum-melakukan-konsultasi-virus
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Heru budi s pada November 16, 2018, 07:24:49 PM
https://www.bleepingcomputer.com/virus-removal/remove-trojan.bitcoinminer-miner-infection TENTANG VIRUS INI
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 18, 2018, 12:13:21 PM
Rekan Ki@mhu bilang virus ini bisa dibersihkan dengan mudah di Safe Mode, silahkan dicoba lagi
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 12:35:23 PM
Rekan Ki@mhu bilang virus ini bisa dibersihkan dengan mudah di Safe Mode, silahkan dicoba lagi

Tapi itu Sampelnya lain.. Bukan Sampel yang ini.. Ini Saya sedang tes sampel TS.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 12:40:56 PM
Tidak jalan di tempat Saya.. Sistem Saya 32 bit.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 12:41:38 PM
Jika Anda melampirkan dua log farbar, Saay garansi 100% virusnya akan hilang di sistem Anda. Tanpa perlu analisis sampel.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 01:35:15 PM
Maaf, saya salah tekan.. (kiamhu)

Bisa edit ulang laporan Anda barusan?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 01:37:22 PM
False Detect gan.. Farbar itu aman
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 01:43:04 PM
Jika Anda melampirkan dua log farbar, Saay garansi 100% virusnya akan hilang di sistem Anda. Tanpa perlu analisis sampel.

Ini di attachment registry apa ya?
Soalnya namanya seperti nama folder trojannya
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 01:48:34 PM
False Detect gan.. Farbar itu aman

maap baru balas 2 hari kemudian, krn saya melakukan tes selama 2 hari.

q scan di virustotal farbarnya ada trojan itu false alarm ato gimana ya?

https://www.virustotal.com/#/file/ce71d666f5cf9788c0a6bec762d8132f59a0f7e5d08bd9e83108f1171b22c136/detection


Kalo terakhir scan, terdeteksi virus tersebut membuat 2 registry:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV (masih ada)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\COMSYSCTSsi (udah hilang)


Yg saya kasih tanda masih ada itu registrynya masih ada tp q scan ulang pakai malwarebyte clean
Sedangkan registry kedua udah ga ada.

Info saja, itu scrssnya jika discan lewat virustotal, ada keterangan relasi svchost

Saya melakukan percobaan selama 2 hari, saat pc idle ada 2 kejadian mencurigakan:
1. hari 1 saat pc idle jam 00.03 terdeteksi oleh malwarebyte proses acdsee berjalan sendiri tp diblokir/dicegat malwarebyte
2. hari 2 saat pc idla jam 2.50 pagi hari,   terdeteksi oleh malwarebyte proses acdsee berjalan sendiri tp diblokir/dicegat malwarebyte.

Mengapa tercegat malwarebyte? krn acdsee saya bukan ori pakai crack acdsee.exe, saat jam tersebut, saat notif pencegatan muncul, di resource manager terdeteksi adanya proses muncul yaitu svchost, tapi langsung status terminated karena tercegat malwarebyte.

Pertanyaan saya: bagaimana mungkin acdsee yg saya sama sekal itidak membukanya+saya juga klik gambar apa2 di pc saya, bisa berjalan sendiri memunculkan proses svchost?

Karena jika file scrss sampe saya discan di virustotal.com, di tab relasi, tertera svchost

Contoh crack acdsee saya lampirkan di attachment mohon dicek, itu file acdsee saat pc idle tengah malam bisa jalan sendiri

Feeling saya itu file jalan sebagai pemicu proses svchost(svchost palsu) lalu baru svchost palsu tersebut mendownlaod dan menginstal file scrss palsu


Sebagai catatan juga, ini saya deteksi virusnya pakai malwarebyte, karena pakai smadav tidak terdeteksi sama sekali.


Ini acdsee skrng sudah saya uninstal, kalo saya scan memang clean, scan seluruh sistem,registry+etc pakai malwarebyte database terbaru. Udah 2 hari saya tidak membuka nox, dan tidak terjadi apa-apa. Saya lg melakukan percobaan nanti akan saya buka nox, apa nanti masih muncul trojannya.

Soalnya gini, PC saya kondisi deep freeze, saat pertama kali PC restart logon ke windows PC saya itu dalam keadaan segar/fresh. Itu scrss hanya muncul setelah beberapa jam, kisaran 6-8jam kal osaya lg main emulator NOX. Nah ini dah 2 hari ga buka nox tidak terjadi apa2.


Kalo postingan asli saya tentang case ini ada di FB dg link https://www.facebook.com/rahardian.ch/posts/10210510683203543?comment_id=10210515073913308&notif_id=1542342691895730&notif_t=feed_comment&ref=notif

Anu sekalian cek-in, itu di attachment ada crack acdsee apa itu bervirus? q scan di virustotal ekdeteksi trojan, pada awalnya ya q kira false alarm, tp dideteksi malwarebyte sbg trojan juga. Kelakuannya aneh, tiap dini hari PC idle dia jalan sendiri lalu muncul proses svchost.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 01:56:46 PM
Ini di attachment registry apa ya?
Soalnya namanya seperti nama folder trojannya
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICE\WMIAPPSRV

Itu Service milik Windows, bukan virus.. Saya juga punya

(https://i46.servimg.com/u/f46/17/11/92/75/herman15.jpg)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:01:45 PM
Itu Service milik Windows, bukan virus.. Saya juga punya

(https://i46.servimg.com/u/f46/17/11/92/75/herman15.jpg)
oya saya cek juga ada, nah virusnya meniru itu proses, virus trojannya masukin ke directory:
C://programdata/microsoft/WmiAppSrv/scrss.exe (WmiAppSrv sbg nama folder)

Lalu q hapus pakai malwarebyte, abis dihapus beberapa menit kemudian dia create ulang itu malah di 2 tempat:
1. C://programdata/microsoft/WmiAppSrv/scrss.exe (scrss palsu)
2. C://programdata/microsoft/WmiAppSrv/svchost.exe (scrss palsu)

Udah clean semua sih skrng ga ada folder itu lagi, cuma kasusku trojannya munculnya kan ga langsung pas pc nyala, harus beberapa jam kemudian muncul lagi, nah makanya ini tar q mau tes lg main emulator NOX, mau main 6-8jam NOX apa bener muncul lagi

Oya crack adsee di attachment di post atas itu virus bukan? kok tengah malam dia bisa jalan sendiri ya?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:07:05 PM
oya saya cek juga ada, nah virusnya meniru itu proses, virus trojannya masukin ke directory:
C://programdata/microsoft/WmiAppSrv/scrss.exe (WmiAppSrv sbg nama folder)

Lalu q hapus pakai malwarebyte, abis dihapus beberapa menit kemudian dia create ulang itu malah di 2 tempat:
1. C://programdata/microsoft/WmiAppSrv/scrss.exe (scrss palsu)
2. C://programdata/microsoft/WmiAppSrv/svchost.exe (scrss palsu)

Udah clean semua sih skrng ga ada folder itu lagi, cuma kasusku trojannya munculnya kan ga langsung pas pc nyala, harus beberapa jam kemudian muncul lagi, nah makanya ini tar q mau tes lg main emulator NOX, mau main 6-8jam NOX apa bener muncul lagi

Oya crack adsee di attachment di post atas itu virus bukan? kok tengah malam dia bisa jalan sendiri ya?

Nah itu, jangan salah hapus Service Registry yaa.. :D

Oke, nanti ane cek Cracknya.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:08:45 PM
ini screenshot kondisi terakhir scan, yg tdnya trojannya cuma ada 1 biji scrss.exe palsu yg makan cpu usage, dia malah memperbanyak diri, tp langsung q clean pakai malwarebyte

Kesimpulannya selama 2 hari kemarin saya sengaja ga buka NOX, dan bener PC saya ga terjadi apa2, hanya muncul masalah ACDSEE.exe itu pas dini hari.

Nah ini nanti saya tes lg buka NOX, kalo saya buka NOX dan ternyata kena lagi, bisa disimpulkan mungkin dateng dr NOXnya, mungkin pas lagi main NOX si NOXnya buat jalur masuk trojannya.
Kalo NOX sendiri q scan ya clean ga ada apa2. Cuma q herannya kok tiap beberapa lama main NOX baru muncul scrss palsunya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:10:25 PM
lalu yg log Scan dengan Farbar Recovery Scan Tool
Ini discan pas PC masih fresh lognya? atau pas PC udah kena?

Kalo lognya scan pas udah kena berarti nunggu nanti kalo pas kena, soalnya saat ini blm terjadi apa2


Tambahan aja:
Kemarin pa kena aq blm pasang malwarebyte live protection, kalo skrng malwarebyte premium+live protection ada, mungkin tar misalkan tau2 muncul ditengah q main nox di kisaran 6-8jam, ada kemungkinan akan langsung diblokir malwarebyte jd ketauan
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:12:07 PM
Di tempat saya tidak jalan..

(https://i46.servimg.com/u/f46/17/11/92/75/herman16.jpg)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:13:17 PM
Di tempat saya tidak jalan..

(https://i46.servimg.com/u/f46/17/11/92/75/herman16.jpg)

ya ga jalan min, itu kan bukan installer, itu cracknya saja, tp kalo discan divirustotal banyak lho kedeteksi trojannya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:14:32 PM
lalu yg log Scan dengan Farbar Recovery Scan Tool
Ini discan pas PC masih fresh lognya? atau pas PC udah kena?

Kalo lognya scan pas udah kena berarti nunggu nanti kalo pas kena, soalnya saat ini blm terjadi apa2


Tambahan aja:
Kemarin pa kena aq blm pasang malwarebyte live protection, kalo skrng malwarebyte premium+live protection ada, mungkin tar misalkan tau2 muncul ditengah q main nox di kisaran 6-8jam, ada kemungkinan akan langsung diblokir malwarebyte jd ketauan

Maksudnya farbar ini, agar ane bantu bersihkan ssitem yang sudah terinfeksi. Ya, dia harus Scan dari sistem yang terinfeksi.

Namun agan ini ternyata di lingkungan Virtual ya? Sebagai penilitan gitu? Bukan sedang terinfeksi sistemnya kan?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:15:45 PM
ya ga jalan min, itu kan bukan installer, itu cracknya saja, tp kalo discan divirustotal banyak lho kedeteksi trojannya

Sudah menjadi rahasia umum kalo crack terdeteksi virus. Karena mereka tidak mungkin memasukkan ke dalam Whitelist, yang berarti mendukung pembajakan.

Tapi ane tes, tidak ada gejala virus koq. Jika memang virus, pasti dia jalan dan tidak berikan pesan Error.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:18:35 PM
Di tempat saya tidak jalan..

(https://i46.servimg.com/u/f46/17/11/92/75/herman16.jpg)

Nih installernya+serialnya

Cara instalnya klik installer dulu, abis itu masukin serial, lalu nti kalo dah selesei timpa cracknya yg td
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:23:09 PM
Sudah menjadi rahasia umum kalo crack terdeteksi virus. Karena mereka tidak mungkin memasukkan ke dalam Whitelist, yang berarti mendukung pembajakan.

Tapi ane tes, tidak ada gejala virus koq. Jika memang virus, pasti dia jalan dan tidak berikan pesan Error.
Ya ga jalan min, kan yg td hanya cracknya saja bukan installernya
itu diatas post baru, ada attachment baru installernya+cara instalnya

Memang ga langsung jalan min, itu proses acdsee jalan pas pc idle, + dini hari

Saya masih blm tau datengnya darimana scrssnya, ya nanti min, saya tes main nox dulu 8jam-an nonstop, biasanya ya kalo dah lama main nox baru muncul itu scrss.

Soalnya seperti screenshotku yg td, scrssnya relasinya ke proses svchost, satu2nya proses svchost yg muncul ya pas tengah malem td acdseenya jalan sendiri lalu nyalain svchost. Saya curiganya disitu gara2 acdsee, maybe
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 18, 2018, 02:31:44 PM
Maksudnya farbar ini, agar ane bantu bersihkan ssitem yang sudah terinfeksi. Ya, dia harus Scan dari sistem yang terinfeksi.

Namun agan ini ternyata di lingkungan Virtual ya? Sebagai penilitan gitu? Bukan sedang terinfeksi sistemnya kan?

bukan lingkungan virtual, terinfeksi

Gini min, PCku kan pakai deep freeze, terinfeksi kalo saya abis main nox beberapa jam


nah sebelum main nox beberapa jam pc saya keadaan fresh/clean.

knp bisa hilang jika tterinfeksi? karena saya pakai deep freeze, saya tinggal restart pc kan kereset semua balik ke awal, tapi kan capek min, tiap beberapa jam main nox kenalagi kena lagi

Td sebelumnya q tulis "nunggu kena lagi", karena terakhir kena 2 hari lalu pas thread ini dibuat, skrng ya blm kena kan PCnya saya restart pas deep freeze ON....

Tp abis main nox beberapa jam pasti kena lagi.....

nah setelah aq bikin thrad ini pertama kali, selama 2 hari q ga mainan nox, alhasil PCku aman2 saja.

Kalo meneliti, saya meneliti pemicunya scrssnya datengnya dr mana, percobaan awal selama 2 hari q ga mainan NOX, selama 2 haripun itu aman2 aja.

Sampai hari ini, aq mau coba tes lagi, mau main nox lg selama 6-8jam, bisadilihat hasilnya nanti kena lagi apa ga, kalo kena lg kemungkinan datangnya dr NOX

Kalo kena gimana yg saya lakukan? aq restart pc, kan deep freeze on, nyalain pc lg bersih lagi pcku. Tp ga enaknya kan q blm tau penyebabnya dateng dr mana, tiap beberapa jam kena lagi....

nah itu yg mau q cari tau, datengnya sumbernya dari mana
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:44:51 PM
bukan lingkungan virtual, terinfeksi

Gini min, PCku kan pakai deep freeze, terinfeksi kalo saya abis main nox beberapa jam


nah sebelum main nox beberapa jam pc saya keadaan fresh/clean.

knp bisa hilang jika tterinfeksi? karena saya pakai deep freeze, saya tinggal restart pc kan kereset semua balik ke awal, tapi kan capek min, tiap beberapa jam main nox kenalagi kena lagi

Td sebelumnya q tulis "nunggu kena lagi", karena terakhir kena 2 hari lalu pas thread ini dibuat, skrng ya blm kena kan PCnya saya restart pas deep freeze ON....

Tp abis main nox beberapa jam pasti kena lagi.....

nah setelah aq bikin thrad ini pertama kali, selama 2 hari q ga mainan nox, alhasil PCku aman2 saja.

Kalo meneliti, saya meneliti pemicunya scrssnya datengnya dr mana, percobaan awal selama 2 hari q ga mainan NOX, selama 2 haripun itu aman2 aja.

Sampai hari ini, aq mau coba tes lagi, mau main nox lg selama 6-8jam, bisadilihat hasilnya nanti kena lagi apa ga, kalo kena lg kemungkinan datangnya dr NOX

Kalo kena gimana yg saya lakukan? aq restart pc, kan deep freeze on, nyalain pc lg bersih lagi pcku. Tp ga enaknya kan q blm tau penyebabnya dateng dr mana, tiap beberapa jam kena lagi....

nah itu yg mau q cari tau, datengnya sumbernya dari mana

Nox itu maksudnya Nox app player kah? Emulator android?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 18, 2018, 02:50:47 PM
Sudah ane tes dan tidak bervirus jamunya. Juga tidak ada Entry untuk Start ulang tanpa dibuka. Sudah ane cek semua Startup, Service, Driver, Task Scheduler. Tidak ada Entry menjalankan Acdsee otomatis.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 19, 2018, 02:00:31 PM
Sudah ane tes dan tidak bervirus jamunya. Juga tidak ada Entry untuk Start ulang tanpa dibuka. Sudah ane cek semua Startup, Service, Driver, Task Scheduler. Tidak ada Entry menjalankan Acdsee otomatis.

iya, nox emulator android di PC, tiap 6-8jam langsung kena, kalo dr awal2 q scan ya clean min

Ini saya kasih screenshot di attachment, tentang proses acdsee yg jalan sendiri pas PC idle.
Bisa dicek di jam tersebut, jam 2 dini hari, itu pas saya lg tidur tp sengaja PC on idle. Lalu kok bisa ada acdsee nongol sendiri ya? saya ga buka acdsee ato klik file gambar apapun

Pas itu saya sengaja buka resource manager tab CPU, saat adanya proses ACDSEE yg jalan sendiri, kan terblok oleh malwarebyte, lalu dibagian tab CPU diresource manager terlihat adanya proses SVCHOST yg statusnya terminated (mungkin terminated karena ACDSEEnya yg mau jalan sendiri terblock oleh malwarebyte)

Itu 2 kali kejadian acdsee jalan sendiri, hari pertama jam 00.03, hari kedua di jam2.50 dini hari, keduanya sama2 pas PC idle (didiemin ga disentuh kira2 1-2jam). Misalnya acdsee jalan sendiri hanya untuk melakukan cek update harusnya kan terjadi kalo acdsee tersebut pernah di klik sebelumnya, tp aq ga pernah klik acdsee ato file gambar.


Nah ini kemarin aq tes uninstal acdsee, lalu main NOX selama hampir 8-10jam, ternyata aman2 saja tidak muncul lg scrssnya

Kalo mimin scan scrss yg saya upload sebelumnya di virustotal, cek bagian relation, disitu relationnya ke proses svchost

*autoscan malwrebyte posisi q offin, jd kedeteksi proses acdsee bukan dr malwarebytenya lg proses scan, tp krn live protectionnya on lalu ada proses acdsee yg tiba2 mau nyala
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 19, 2018, 02:15:25 PM
kalo screenshot attachment yg ini pas kejadian jam 12 malam, posisi malwarebyte auto scan q offin, jd malwarebyte ga akan ngescan walo pc idle.

Ni kejadian hari pertama, pagi hari q cek quarantine ada proses acdsee masuk quarantine, q cek jamnya jam 00.03 pas pc q tinggal tidur.
Dia masuk quarantine karena pas itu malwarebyte q setting kalo ketauan pas ngeblokir trojan auto masuk quarantine.

Contoh program yg melakukan autoupdate biasanya chrome, opera, tp kalo chrome ama opera melakukan auto update kan pas aq klik aplikasinya.
Nah ini bener2 beda, aq ga klik acdsee/file gambar apapun.
Masa malwarebyte yg autoscan/schedule scan aq offin bisa tiba2 deteksi acdsee kalo pc idle selama -+1jam?

Kalo saya beberapa waktu kedepan masih etrus tes noxnya, dg catatan q uninstal acdsee, hari ini q main nox 8jam ga ada apa2 aman2 saja
Mau q lanjutin tes main nox selama 8 jam nonstop lagi.

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 19, 2018, 02:20:03 PM
Nah kalo screenshot yg ini pas kejadian 3hari lalu itu pas kena infeksi, posisi lg main NOX.
TIba2 error popup muncul "virtualbox headless frontend has stop working"

nah pas nox error itu, langsung csrssnya yg palsu masuk, langsung cpu usageku 75%++


Ni q pas ga buka web apa2, cuma buka facebook, ga download apa2, 6-8jam setelah main NOX pas 3 hari lalu, berulang kali kaya gini.

Tp anehnya skrng pas acdsee q uninstal sampe skrng q ga pernah kaya gini lagi
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 19, 2018, 10:32:56 PM
Apakah ada hubungan antara masuknya virus ini dengan main Nox?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 20, 2018, 06:55:46 AM
Kemungkinan yg saya ambil
virus ini bersembunyi di balik proses crack acdsee. pembuat crack sengaja menyisipkan backdoor dan disetting waktunya berapa lama komputer/laptop tersebut tak digunakan berarti usernya tdk ada atau user tdk memantau lagi dan virusnya menjalankan aksinya.
seharusnya gak perlu nunggu tengah malem, kapan terakhir ngeklik mouse/ngerubah posisi akan dihitung timer virusnya akan bekerja
pemakaian cpu usage yg tinggi berakibat pc cepat koid karena semua dipaksakan bekerja ekstra.
kemungkinannya untuk menambang mata uang digital seperti yg sekarang ini jadi pembahasan Tim Smadav.

kabar baiknya virus yg dibahas dibawah ini bisa dilumpuhkan Smadav 12.3, untuk virus csrss yg dari anda belum bisa dijalankan di laptop percobaan saya karena error.

cek kejadian yg mirip kasus tersebut
https://blog.360totalsecurity.com/en/cryptominer-scheduledupdateminer-uses-rootkit-terminate-antivirus-avoid-detection/
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 20, 2018, 07:06:44 AM
....

Nah ini nanti saya tes lg buka NOX, kalo saya buka NOX dan ternyata kena lagi, bisa disimpulkan mungkin dateng dr NOXnya, mungkin pas lagi main NOX si NOXnya buat jalur masuk trojannya.

....

NOX App Player memang membuat jalur koneksi sendiri dan kemungkinan dimanfaatkan oleh backdoor yg ada di crack acdsee
untuk timernya/kapan virus aktif mendownload kawan2nya ini apakah menunggu koneksi stabil, atau menunggu tdk ada aktifitas samasekali atau juga sudah disetting jalan di jam2 tertentu.

bole tahu anda memakai windows apa dan berapa bit? ram dan harddisk brp GB?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 20, 2018, 03:28:29 PM
Kemungkinan yg saya ambil
virus ini bersembunyi di balik proses crack acdsee. pembuat crack sengaja menyisipkan backdoor dan disetting waktunya berapa lama komputer/laptop tersebut tak digunakan berarti usernya tdk ada atau user tdk memantau lagi dan virusnya menjalankan aksinya.
seharusnya gak perlu nunggu tengah malem, kapan terakhir ngeklik mouse/ngerubah posisi akan dihitung timer virusnya akan bekerja
pemakaian cpu usage yg tinggi berakibat pc cepat koid karena semua dipaksakan bekerja ekstra.
kemungkinannya untuk menambang mata uang digital seperti yg sekarang ini jadi pembahasan Tim Smadav.

kabar baiknya virus yg dibahas dibawah ini bisa dilumpuhkan Smadav 12.3, untuk virus csrss yg dari anda belum bisa dijalankan di laptop percobaan saya karena error.

cek kejadian yg mirip kasus tersebut
https://blog.360totalsecurity.com/en/cryptominer-scheduledupdateminer-uses-rootkit-terminate-antivirus-avoid-detection/

iya min, ini aq uninstal acdsee main nox 10 jam lho aman2 aja. Sampai skrng blm muncul2 walo q tinggal tidur pc idle

Smadavku masih ver 11.4, rev 11.4 ga bisa deteksi scrss yg q upload di pages 1.
Nanti q update smadav kalo uda bener2 ada smadav yg bisa deteksi file scrss versiku td. Soalnya discan di virustotal.com scrss punyaq kedeteksi trojan
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 20, 2018, 03:33:22 PM
Apakah ada hubungan antara masuknya virus ini dengan main Nox?

Hubungannya dari 3-4kali kejadian aq pergokin proses csrssnya muncul pas main nox, semuanya terjadi pas main nox kisaran 6-8jam ga langsung pas awal2 main nox. NOXnya tiba2 freeze error, lalu csrss muncul di task manager, langsung cpu usage naik. (ini pas aq blm instal malwarebyte premium)

Kalo sekarang pas q udah instal malwarebyte premium+live protection ON, ga pernah ngalamin lagi.
Ini dr kemarin main nox 8 jam lebih aman2 aja, tp acdseenya tetep q uninstal, takut jalan sendiri pas idle

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 20, 2018, 03:39:44 PM
NOX App Player memang membuat jalur koneksi sendiri dan kemungkinan dimanfaatkan oleh backdoor yg ada di crack acdsee
untuk timernya/kapan virus aktif mendownload kawan2nya ini apakah menunggu koneksi stabil, atau menunggu tdk ada aktifitas samasekali atau juga sudah disetting jalan di jam2 tertentu.

bole tahu anda memakai windows apa dan berapa bit? ram dan harddisk brp GB?

windows 7 ultimate SP1 64 bit
Ram 4GB, 2 HDD, HDD1 350GB, HDD2 1 terra

Kalo yg proses acdsee jalan sendiri itu pas idle, sekitar 1jam idle ga disentuh2 (pas ini masih ga ada proses scrss, hanya acdseenya jalan sendiri, tp pas ketauan kemarin keburu dicegat ama malwarebyte si acdseenya yg mau jalan sendiri), idlenya koneksi stabil, ga ada aliran data apapun, ga ada proses download+upload. Q ada aplikasi buat cek aliran data, jd kalo ada proses download upload pasti ketauan.


Nah kalo yg scrss mulai muncul, itu kejadiannya dr 3-4kali kejadian, gak pas idle, pas aq mainan nox, tp setelah beberapa jam main nox sekitar 6-8jam main.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 21, 2018, 12:24:37 PM
jangan gunakan Smadav versi lawas karena banyak kekurangan dan db virusnya tdk update
anda harus mengupdate ke versi yg terbaru
Bila berkenan jadilah relawan smadav di forum ini. seperti mengabarkan sampel virus yg belum dikenali, bug smadav, dll
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 21, 2018, 12:55:13 PM
jangan gunakan Smadav versi lawas karena banyak kekurangan dan db virusnya tdk update
anda harus mengupdate ke versi yg terbaru
Bila berkenan jadilah relawan smadav di forum ini. seperti mengabarkan sampel virus yg belum dikenali, bug smadav, dll

Cara update smadav harus diuninstal dulu ato bisa langsung q pakai auto update ya biar ke versi yg baru?

Iya, itu udah q kasih sampe virus di pages 1, kalo nemu virus lagi q post ke forum, sampai saat ini udah ga ada trojan yg itu lagi semenjak discan malwarebyte+live protect on. NOX jg udah ga ada masalah. Cuma malwarebyte kalo live protect on makan RAM gede. RAM 4GB malware premium ON kepakai 55% RAM kalo sambil browsing.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 21, 2018, 03:45:51 PM
jangan gunakan Smadav versi lawas karena banyak kekurangan dan db virusnya tdk update
anda harus mengupdate ke versi yg terbaru
Bila berkenan jadilah relawan smadav di forum ini. seperti mengabarkan sampel virus yg belum dikenali, bug smadav, dll

Bisa bantu saya lg min?

Ini aq pas main nox baru 2jam muncul ini, ke block malwarebyte, pas nox ga saya tutup notifnya muncul terus, bisa cek di notif malwarebyte, nah pas aq close nox baru notifnya berhenti

Lalu saya scan pakai malwarebyte, kedeteksi di windows, service.exe, nah q masukin karantina, q scan lagi baru bersih



Itu notifikasi malwarebyte yg ngeblok mau buka web muncul terus pas aq buka nox, ga mau berenti2, nah lalu q closed nox notif buka web baru berenti.

Tp trojannya sempet masuk ke service.exe, dah di karantina ama malwarebyte skrng
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 21, 2018, 05:55:28 PM
Ini kenapa ya min? kok muncul lagi, aq padahal udah ga buka nox, q ganti jd emulator MUMU, pas buka mumu eh malwarebyteku ngeblok ini, cek attachment

Maksud outbound connection itu apa?
Proses lsass.exe itu proses buat apa?

Tp setelah itu q scan clean pakai malwarebyte
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 21, 2018, 06:03:23 PM
Saudara/i luci, sampel virus Anda tidak jalan di tempat Saya. Jadi kami tidak bisa byk menerangkan ini lebih lanjut.

Tetapi jika Anda ingin segera bersih, maka harap segera melampirkan dua buah log farbar.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ryan BeKaBe pada November 21, 2018, 07:44:00 PM
iya min, ini aq uninstal acdsee main nox 10 jam lho aman2 aja. Sampai skrng blm muncul2 walo q tinggal tidur pc idle

Smadavku masih ver 11.4, rev 11.4 ga bisa deteksi scrss yg q upload di pages 1.
Nanti q update smadav kalo uda bener2 ada smadav yg bisa deteksi file scrss versiku td. Soalnya discan di virustotal.com scrss punyaq kedeteksi trojan

Silakan update Smadav terbaru di http://smadav.net versi 12.2 atau kalau Pro akan menjadi versi 12.3.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ryan BeKaBe pada November 21, 2018, 07:50:12 PM
Saudara/i luci, sampel virus Anda tidak jalan di tempat Saya. Jadi kami tidak bisa byk menerangkan ini lebih lanjut.

Tetapi jika Anda ingin segera bersih, maka harap segera melampirkan dua buah log farbar.
BTW, samplenya yang di post mana ya?
Dan ukurannya berapa KB/MB?
Tapi jangan yang puluhan MB yang ada di setup ya.
Biasanya virus jarang yang puluhan MB, palingan si virus Bundpil/Gamarue/Andromeda.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 21, 2018, 09:50:22 PM
BTW, samplenya yang di post mana ya?
Dan ukurannya berapa KB/MB?
Tapi jangan yang puluhan MB yang ada di setup ya.
Biasanya virus jarang yang puluhan MB, palingan si virus Bundpil/Gamarue/Andromeda.

Di post pertama TS, ada Attachment sampel virusnya.

Atau klik ini, Saya berikan langsung linknya biar gampang: http://smadaver.com/konsultasi-virus/csrss-trojan-miner-folder-wmiappsrv/?action=dlattach;attach=16043
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ryan BeKaBe pada November 22, 2018, 05:42:08 AM
Di post pertama TS, ada Attachment sampel virusnya.

Atau klik ini, Saya berikan langsung linknya biar gampang: http://smadaver.com/konsultasi-virus/csrss-trojan-miner-folder-wmiappsrv/?action=dlattach;attach=16043
Terdownload. Terima kasih linknya rekan Ki@mhu.
Saya bantu analisa.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 03:24:45 PM
coba cek, ini muncul lg pas pake emulator mumu, pakainya setelah 10jam kurang lebih, muncul notif koneksi outbound kedetect malwarebyte

Nih log farbarnya q scan setelah notif malwarebyte muncul

addition.txt ama FRST.txt


Ama itu ada screenshot malwarebyte, keluarin notif sampai 12 notif

Jamnya kok sama kaya kemarin ya, jam 3.13 sore??

Kemarin gini kedeteksi juga jam 3.13sore
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 03:35:55 PM
hasil reportnya malwarebyte tulisannya website blocked pas muncul notif 12biji jam 3.13 sore

Lalu pas q scan ada tulisannya service.exe difolder windows :"(

Informasi aja, itu file service.exe di dalam folder windows pas awal nyalain PC ga ada lho, tiba2 muncul lagi ini file, kemarin ini file service.exe juga muncul udah q karantina, skrng muncul lg, gimana min? :"(

Min ini q kasih sampel malwarenya, service.rar itu
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 04:08:22 PM
aq cek date modifiednya ya min, itu file yg q rar td, bisa dilihat di screenshot date modified jam 3.11, itu jamnya sama kaya jam notif malwarebyte muncul pertama kali jam 3.11

Min cobaa perhatikan kedua screenshot saya dibawah, jamnya sama kan? antara date modified ama jam notif malwarebyte?

Jd pertama dia naruh service.exe di dalam folder windows abis itu dia mau ngebuka website


Tapi anehnya min, q scan ini file ke virustotal ga kedetect dianggap clean, padahal ya itu file ngebuka website yg diblokir malwarebyte, 12 notif td

Ini hasil scan report virustotalnya
https://www.virustotal.com/#/file/0c7e5b5ed080bc7871e737066507393d3df0cded828c99694094dc09ef677528/detection
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 04:15:37 PM
selanjutnya q coba pindahin file sample service.exe td ke dalam suatu folder, lalu q scan pake malwarebyte

Malah malwarenya hasil scannya ga kedetect lg, kok aneh ya, padahal ini file q copy paste dr file yg sama pas kedetect pertama kali ama malwarebyte lho

Coba cek screenshot postku diatas, pas awal2 ada kan kedetect sbg backdoor? ya ini file pelaku yg mau ngebuka website

Info aja lagi min, kondisi PCku saat ini file trojan yg makan cpu usage dah ga ada, tp malah muncul malware lain yg ini, dia tepat jam 13.11 ngebikin file service.exe di folder windows, lalu dia mau ngebuka website

Nah, pas aq nyalain pc awal itu file ga ada sama sekali di folder windows, yg anehnya knp selalu tepat jam 13.11? posisi tidak idle aq lg main emulator mumu


Kemarin kejadian gini juga, setelah jam 3.11 selanjutnya dia mau coba buka itu nanti sore/malam, lalu tengah malam dia mau coba buka lagi :(

Liat ja tebakanku walo file service.exe udah di karantina, tp dia nanti kan mau coba2 ngebuka website lagi :(
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 04:50:56 PM
abis itu q scan pake ADWCLEANER

Nih log file di attachment

Pas q scan pake malwarebyte clean, pake aw cleaner kedetect itu, tp q cek lognya katanya clean

Tp yg aneh, walopun service.exe file yg tadi dah masuk karantina tapi kok tetep ada percobaan ngebuka website??


Kalo saya cek dia mau ngebuka website dg ip 210.108.146.96

Cek attachment min, dr 12 notifikasi, dia mau melakukan 12 kali eprcobaan dg alamat IP website tujuan yg sama yaitu 210.18.146.96 semua dg domain indonesias.me


Min bisa cek, itu ip 210.108.146.96 itu ip menuju kemana? karena malwarenya selalu mau buka itu ip


log:
Malwarebytes
www.malwarebytes.com

-Log Details-
Protection Event Date: 11/22/18
Protection Event Time: 3:11 PM
Log File: 2b3907e2-ee2e-11e8-8bc5-00ff3820cd7a.json
Administrator: Yes

-Software Information-
Version: 3.5.1.2522
Components Version: 1.0.365
Update Package Version: 1.0.7961
License: Premium

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: System

-Blocked Website Details-
Malicious Website: 1
, , Blocked, [-1], [-1],0.0.0

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56790]
Type: Outbound
File: C:\Windows\System32\lsass.exe



(end)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 05:04:17 PM
Nah ini q kasih lognya pas mau buka web notif 12biji, buka log report di attachment, kalo file satunya lognya malwarebyte pas cegat malware mau buka web td


Malwarebytes
www.malwarebytes.com

-Log Details-
Protection Event Date: 11/22/18
Protection Event Time: 3:11 PM
Log File: 2b3907e2-ee2e-11e8-8bc5-00ff3820cd7a.json
Administrator: Yes

-Software Information-
Version: 3.5.1.2522
Components Version: 1.0.365
Update Package Version: 1.0.7961
License: Premium

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: System

-Blocked Website Details-
Malicious Website: 1
, , Blocked, [-1], [-1],0.0.0

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56790]
Type: Outbound
File: C:\Windows\System32\lsass.exe



(end)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 22, 2018, 05:41:24 PM
Nih q kasih log lagi, lognya aplikasi hijact this

https://www.bleepingcomputer.com/tutorials/how-to-use-hijackthis/?fbclid=IwAR194XD2-jL6RxS4GYNuS50UWd8ITNvV_EzNFjkj_YQC5GUfyWqjYjJ_Qs0

Tolong banget min, dicek lognya

Jd dr beberapa post q dah kasih beberapa log ya:
- 2 log farbar
- log hijackthis+startup hijackthis
- log ip website malware

- log reportnya malwarebyte

4 log tersebut mohon dicek semua

Di attachment itu log ama aplikasi hijactthisnya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 23, 2018, 01:01:07 PM
Kemarin ada orang yg nyaranin pakai aplikasi wireshark buat cek port yg dipake trojannya lalu bikin rule difirewallnya


12 notifikasi malwarebyte (yg mau melakukan koneksi ke luar):

-Blocked Website Details-
Malicious Website: 1
, , Blocked, [-1], [-1],0.0.0

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56770]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56772]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56773]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56775]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56776]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56777]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56779]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56782]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56786]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56787]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56789]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.96
Port: [56790]
Type: Outbound
File: C:\Windows\System32\lsass.exe

-----------------------------------------------------------------------------------------------------
Dr situ bisa dilihat ip tujuan semua sama tapi menggunakan port yg berbeda2, tp mulai dr port 567xx

Aq rencana mau bikin rule firewall,  block koneksi outbound ama inbound dr firewall block port ama ipnya dr sana. Soalnya dah ketauan trojannya tujuan ipnya ke 210.108.146.96



**Edit:
Tanggal 23 nov 2018, jam 13.02 muncul percobaan koneksi outbound lg, ip depan sama tp angka belakang beda,  port yg berbeda juga:


-Blocked Website Details-
Malicious Website: 1
, , Blocked, [-1], [-1],0.0.0

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.102
Port: [61054]
Type: Outbound
File: C:\Windows\System32\lsass.exe

Dia skrng mau coba pakai port 61054, abis itu q scan pakai malwarebyte ya clean. kok curiga dia dateng dr browser chromeku ya, tp q scan pakai chrome://settings/cleanup clean  :(

Kemarin mau connect ke 210.108.146.96 skrng dia td muncul notif 1 kali mau connect ke 210.108.146.102
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 23, 2018, 04:07:47 PM
Tanggal 23 q cek data ip 210.108.146.96 lewat https://ipinfo.info/html/ip_checker.php

Muncul data sebagai berikut:

Checking IP Address

IP Address: 210.108.146.96

Geolocation: KR (Korea, Republic of), N/A, N/A, N/A N/A - Google Maps

Reverse DNS Lookup

No entry found

IP Address Check

query : 210.108.146.96


# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소 : 210.108.0.0 - 210.108.255.255 (/16)
기관명 : (주)엘지유플러스
서비스명 : BORANET
주소 : 서울특별시 용산구 한강대로 32
우편번호 : 04389
할당일자 : 20030402

이름 : IP주소 담당자
전화번호 : +82-2-10-1
전자우편 : ipadm@lguplus.co.kr

조회하신 IPv4주소는 위의 관리대행자로부터 아래의 사용자에게 할당되었으며, 할당 정보는 다음과 같습니다.
--------------------------------------------------------------------------------


[ 네트워크 할당 정보 ]
IPv4주소 : 210.108.146.0 - 210.108.146.255 (/24)
기관명 : LG유플러스
네트워크 구분 : CUSTOMER
주소 : 경기도 안양시 만안구 덕천로 37
우편번호 : 14088
할당내역 등록일 : 20141128

이름 : IP주소 담당자
전화번호 : +82-2-2089-7750
전자우편 : b8273338@user.bora.net


# ENGLISH

KRNIC is not an ISP but a National Internet Registry similar to APNIC.

[ Network Information ]
IPv4 Address : 210.108.0.0 - 210.108.255.255 (/16)
Organization Name : LG DACOM Corporation
Service Name : BORANET
Address : Seoul Yongsan-gu Hangang-daero 32
Zip Code : 04389
Registration Date : 20030402

Name : IP Manager
Phone : +82-2-10-1
E-Mail : ipadm@lguplus.co.kr

--------------------------------------------------------------------------------

More specific assignment information is as follows.

[ Network Information ]
IPv4 Address : 210.108.146.0 - 210.108.146.255 (/24)
Organization Name : LG Uplus
Network Type : CUSTOMER
Address : Gyeonggi-do Manan-gu, Anyang-si Deokcheon-ro 37
Zip Code : 14088
Registration Date : 20141128

Name : IP Manager
Phone : +82-2-2089-7750
E-Mail : b8273338@user.bora.net


=============================================
screenshot kedua google mapnya= https://www.google.com/maps/place/37%C2%B030'40.3%22N+126%C2%B058'26.8%22E/@37.5112,126.974098,5z/data=!4m5!3m4!1s0x0:0x0!8m2!3d37.5112!4d126.974098?hl=id

Alamat: Korea Selatan, Gyeonggi-do, 평택시 Ichon 1(il)-dong, 팽성읍 안정순환로104번길 23 1층 10호 Main Realty

GX6F+FJ Seoul, Korea Selatan




Itu apa ya min? kok notif malwarebyte yg 12biji mau buka itu ip?  :o


Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 24, 2018, 03:44:21 PM
Bisa lampirkan log adwcleaner?

C:\Adwcleaner\AdwCleaner[Cx]
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 04:28:44 PM
Bisa lampirkan log adwcleaner?

C:\Adwcleaner\AdwCleaner[Cx]

Iya ini di attachment

log farbar juga udah q upload kemarin ada di post atas attachment, di page 5


Td barusan muncul notif lagi tp dia mau connect ke ip yg berbeda

-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 210.108.146.102
Port: [61054]
Type: Outbound
File: C:\Windows\System32\lsass.exe

Dia skrng mau coba pakai port 61054, abis itu q scan pakai malwarebyte ya clean. kok curiga dia dateng dr browser chromeku ya, tp q scan pakai chrome://settings/cleanup clean  :(

Kemarin mau connect ke 210.108.146.96 skrng dia td muncul notif 1 kali mau connect ke 210.108.146.102

Aq mau bikin rule firewall di inbound ama outbound masalahnya dia ganti2 angka ip yg belakang, tdnya mau firewall block ip  210.108.146.96, eh barusan dia ngeganti ipnya jd 210.108.146.102

Solusinya gimana ya?

Cara block ip firewall buat block IP tapi ga hanya 1 tapi langsung ip berurutan bisa ga?
Misalnya aq mau block ip 210.108.146.xx, nah q mau xx= angka 1-999

Cara nulis rulenya gimana min? masa q tulis satu2 dr 210.108.146.96 sampai 210.108.146.999??
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 04:36:11 PM
q cek dr https://ipinfo.info/html/ip_checker.php hasil sama kaya sebelumnya yg ip 210.108.146.96

Dia emang berada di 1 tempat tp pindah2 pc



Checking IP Address

IP Address: 210.108.146.102

Geolocation: KR (Korea, Republic of), N/A, N/A, N/A N/A - Google Maps

Reverse DNS Lookup

No entry found

IP Address Check

query : 210.108.146.102


# KOREAN(UTF8)

조회하신 IPv4주소는 한국인터넷진흥원으로부터 아래의 관리대행자에게 할당되었으며, 할당 정보는 다음과 같습니다.

[ 네트워크 할당 정보 ]
IPv4주소 : 210.108.0.0 - 210.108.255.255 (/16)
기관명 : (주)엘지유플러스
서비스명 : BORANET
주소 : 서울특별시 용산구 한강대로 32
우편번호 : 04389
할당일자 : 20030402

이름 : IP주소 담당자
전화번호 : +82-2-10-1
전자우편 : ipadm@lguplus.co.kr

조회하신 IPv4주소는 위의 관리대행자로부터 아래의 사용자에게 할당되었으며, 할당 정보는 다음과 같습니다.
--------------------------------------------------------------------------------


[ 네트워크 할당 정보 ]
IPv4주소 : 210.108.146.0 - 210.108.146.255 (/24)
기관명 : LG유플러스
네트워크 구분 : CUSTOMER
주소 : 경기도 안양시 만안구 덕천로 37
우편번호 : 14088
할당내역 등록일 : 20141128

이름 : IP주소 담당자
전화번호 : +82-2-2089-7750
전자우편 : b8273338@user.bora.net


# ENGLISH

KRNIC is not an ISP but a National Internet Registry similar to APNIC.

[ Network Information ]
IPv4 Address : 210.108.0.0 - 210.108.255.255 (/16)
Organization Name : LG DACOM Corporation
Service Name : BORANET
Address : Seoul Yongsan-gu Hangang-daero 32
Zip Code : 04389
Registration Date : 20030402

Name : IP Manager
Phone : +82-2-10-1
E-Mail : ipadm@lguplus.co.kr

--------------------------------------------------------------------------------

More specific assignment information is as follows.

[ Network Information ]
IPv4 Address : 210.108.146.0 - 210.108.146.255 (/24)
Organization Name : LG Uplus
Network Type : CUSTOMER
Address : Gyeonggi-do Manan-gu, Anyang-si Deokcheon-ro 37
Zip Code : 14088
Registration Date : 20141128

Name : IP Manager
Phone : +82-2-2089-7750
E-Mail : b8273338@user.bora.net



- KISA/KRNIC WHOIS Service -

=======================================

Q cuma minta cara block ip 210.108.146.xx , pingin q block semua ip yg awalan itu caranya gimana?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 04:41:38 PM
Bisa lampirkan log adwcleaner?

C:\Adwcleaner\AdwCleaner[Cx]

Nih barusan q scan lagi pake adwcleaner, ga ada file log AdwCleaner[Cx], adanya AdwCleaner[S01].txt yg baru ini, q copas aja kesini lognya



----------------------------------------------------
# -------------------------------
# Malwarebytes AdwCleaner 7.2.5.0
# -------------------------------
# Build:    11-16-2018
# Database: 2018-11-14.2 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-24-2018
# Duration: 00:00:32
# OS:       Windows 7 Ultimate
# Scanned:  32162
# Detected: 20


***** [ Services ] *****

PUP.Optional.AdvancedSystemCare IMFservice

***** [ Folders ] *****

PUP.Optional.AdvancedSystemCare C:\Users\Yoizuki\AppData\LocalLow\IObit\Advanced SystemCare
PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Users\Yoizuki\AppData\Roaming\Tencent

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\IOBIT\ASC
PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D6FFCBE0-E971-4716-8149-BEFC014B0784}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CD3D9201-C165-4B24-90FA-B215DC976F14}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{263DBAEB-0113-4E69-8B69-42591E9E8111}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{E6D8E814-F95F-44B8-B866-2C9090A5B621}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{49FAF372-C694-47A7-99B5-203CC339FCC1}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{44A25657-1244-420A-9632-0EB118821A79}
PUP.Optional.Legacy             HKLM\Software\Classes\METNSD

***** [ Chromium (and derivatives) ] *****

PUP.Optional.TouchVPN           Touch VPN

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             Ask
PUP.Optional.Legacy             AOL Search
PUP.Optional.Legacy             AOL

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [3072 octets] - [22/11/2018 16:36:52]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 04:48:29 PM
sebenernya itu tempat apa min yg di korea td???
Kok dia kesana ganti2 ip?
Itu bahaya ga? soalnya pas awal pc nyala/awal notif muncul dia naruh file ke dalam folder windows namanya file service.exe yg udah masuk karantina malwarebyte

Minta cara block ip 210.108.146.xx , pingin q block semua ip yg awalan itu, aq taunya cuma cara block per ip, ada caranya ga min?

Lalu kalo mau lihat file service.exe siapa yg naruh itu bisa ga?


Kemungkinan besok kalo restart pc aq mau tes lagi tp aq mau coba ga buka chrome, paling browsing pakai opera biar tau kalo ga buka chrome berhari2 apa tetep muncul notif....

Kondisi pcku skrng sih dah lepas dr infeksi malware yg makan cpu, dah ga ada sama sekali itu, tp ada proses yg ngeganggu td mau connect ke ip korea selatan, kalo itu proses update software harusnya gak ganti2 ip, masa ini dia td mau beda ip tujuan yg angka belakang.....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 24, 2018, 06:51:58 PM
Untuk malwarebytes adwcleaner udah diklik bersihkan atau hanya scan saja?
bole gabung pake teamviewer? saya mau lihat2 di pc agan.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 24, 2018, 06:57:09 PM
Sepertinya ini gejala Rootkit.. Nanti ane ketik prosedur selanjutnya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 09:40:30 PM
Sepertinya ini gejala Rootkit.. Nanti ane ketik prosedur selanjutnya

rootkit itu apa?
Tp yg trojan csrss dah ilang ga pernah nongol, ini hari ke3 pcku on, besok masuk hari ke4 pc on, cuma notifnya muncul tiap beberapa saat, mungkin dalam sehari bisa muncul 1-2 kali kalo hari ini td muncul tp 1 kali notif, itu jg ganti ip seperti yg q jelaskan di atas.

Q ga tau itu kok ke ip korea, ip korea tp kok domainnya indonesias.me....

Kalo dr notif malwarebyte, dia ngebuka ip korea dr file lsass.exe
Tapi file lsass.exe itu kalo q scan dr security task manager dia file windows aman clean, tp koneksi ke ip koreanya memanfaatkan file lsass.exe

lsass.exe itu file buat apa min?


Ya dah q tunggu prosedure selanjutnya dr mimin...

Kalo next percobaanku pas restart pc(paling q restart di hari ke 6 kalo ga mati lampu, ini baru hari ke 3) mau tes ga pake chrome, tp pake opera buat cari tau itu dr chrome ato bukan, tp td chrome dah q clean ga ada apa2....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 24, 2018, 10:17:52 PM
Untuk malwarebytes adwcleaner udah diklik bersihkan atau hanya scan saja?
bole gabung pake teamviewer? saya mau lihat2 di pc agan.

kalo teamviewer blm instal, dia instalnya pakai restart pc ga? soalnya deep freeze ON
Koneksi netku kalo siang juga sering RTO

blm diclean dan hanya scan soalnya q tau itu proses apa, kalo diclean apa ga rusak fileku ya...
cara kerja malwarebyte itu beda dr antivir yg lain, misalnya gini:
Posisi deep freezeku drive C ON
Aq ada acdsee.exe yg udah q instal di drive C, nah ada acdsee.exe kan di dalam folder instalasinya?
acdsee.exe punyaq kan hasil crack, otomatis kedetect sbg trojan.
Kalo itu acdsee.exe q karantina atau q clean dr malwarebyte, lalu pc q restart, si deep freeze ga akan mampu ngebalikin file acdsee.exe pas restart pc, file acdsee.exe balik ke tempatnya tp dalam keadaan rusak (rusak dlm artian ga bisa dijalankan+tidak bericon). Kalo file gagal dibalikin oleh deep freeze krn sebelumnya pernah masuk karantina/clean dr malwarebyte, otomatis itu program acdsee ga bisa q uninstal kan file acdsee.exenya rusak.

Pernah ngalamin itu kemarin, aq akalin dg q paste acdsee.exe hasil cracknya doank yg q simpen sbg backup, baru jalan lg bisa q uninstal. Makanya kalo q karantina file jngn sampai file hasil instalasi, kalo kemarin ada file scrss.exe palsu ama file svchost.exe palsu ama service.exe palsu krn ga berhubungan dg file hasil instalasi suatu aplikasi.


Nah log adwcleaner q tau sebagian prosesnya:
1. PUP.Optional.AdvancedSystemCare C:\Users\Yoizuki\AppData\LocalLow\IObit\Advanced SystemCare ---> ini kan dr antivirus iobit, kalo q clean ini bisa error iobitku, aq instal iobit+malwarebyte krn ada masalah notif yg muncul2 itu

2.  PUP.Optional.Legacy             C:\ProgramData\Tencent ----> ini emulator tencent pubg
3.  PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Users\Yoizuki\AppData\Roaming\Tencent ---> ini juga dr emulator tencent pubg

Kalo log bawahnya lagi ada:
PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\IOBIT\ASC --> ini iobit
PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
PUP.Optional.Legacy  ---> ini google chrome tp ga tau ini apa          HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}  ---> gak tau ini apa
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} ---> ini jg ga tau apaan
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D6FFCBE0-E971-4716-8149-BEFC014B0784} ---> ini firewallku
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CD3D9201-C165-4B24-90FA-B215DC976F14}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{263DBAEB-0113-4E69-8B69-42591E9E8111}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{E6D8E814-F95F-44B8-B866-2C9090A5B621}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{49FAF372-C694-47A7-99B5-203CC339FCC1}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{44A25657-1244-420A-9632-0EB118821A79}
PUP.Optional.Legacy             HKLM\Software\Classes\METNSD




PUP.Optional.Legacy             Ask           ---- ini katanya dr chome
PUP.Optional.Legacy             AOL Search  ---- ini katanya dr chome
PUP.Optional.Legacy             AOL ---- ini katanya dr chome


Nah jd aq ga berani clean, takut malah instalasi rusak







===================================================
LOG adwcleaner keseluruhan

***** [ Services ] *****

PUP.Optional.AdvancedSystemCare IMFservice

***** [ Folders ] *****

PUP.Optional.AdvancedSystemCare C:\Users\Yoizuki\AppData\LocalLow\IObit\Advanced SystemCare
PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Users\Yoizuki\AppData\Roaming\Tencent

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\IOBIT\ASC
PUP.Optional.AdvancedSystemCare HKLM\Software\Wow6432Node\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D6FFCBE0-E971-4716-8149-BEFC014B0784}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CD3D9201-C165-4B24-90FA-B215DC976F14}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{263DBAEB-0113-4E69-8B69-42591E9E8111}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{E6D8E814-F95F-44B8-B866-2C9090A5B621}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{49FAF372-C694-47A7-99B5-203CC339FCC1}
PUP.Optional.Legacy             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{44A25657-1244-420A-9632-0EB118821A79}
PUP.Optional.Legacy             HKLM\Software\Classes\METNSD

***** [ Chromium (and derivatives) ] *****

PUP.Optional.TouchVPN           Touch VPN --> ini plugin vpn di chrome

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             Ask           
PUP.Optional.Legacy             AOL Search 
PUP.Optional.Legacy             AOL

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [3072 octets] - [22/11/2018 16:36:52]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########


Screenshot hasil scan adwcleaner di attachment


Barusan coba q uninstal vpn plugin dichromenya, besok hari ke 4 pc on
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 24, 2018, 11:09:59 PM
(https://sites.google.com/site/cannedfixes/gmer/gmericon.png) Scan Dengan Gmer

Jangan melakukan pembersihan apapun dengan Tools ini karena banyak terjadi False Detect.

Download GMER (http://www.gmer.net/download.php) dan save ke Desktop.
Hasil Downloadnya berupa nama acak (seperti a6ge38b4.exe), itu normal.

Matikan sementara perlindungan AntiVirus and AntiSpyware petunjuk di sini (http://www.bleepingcomputer.com/forums/topic114351.html).
Jika Anda menggunakan program DVD Virtual (seperti Daemon Tools, UltraISO, PowerISO, Alcohol, dll), non aktifkan sementara dengan petunjuk ini (http://www.bleepingcomputer.com/forums/t/293569/why-we-request-you-disable-cd-emulation-when-receiving-malware-removal-advice/).

(https://sites.google.com/site/cannedfixes/home/hosted-images-tools/TDSSKiller_Kaspersky.png) Scan dengan TDSSKiller

Download TDSSKiller (http://www.bleepingcomputer.com/download/tdsskiller/dl/4/") dan save ke desktop

(https://sites.google.com/site/cannedfixes/home/hosted-images-tools/aswMBR.png) Scan Dengan aswMBR

Download aswMBR (http://www.bleepingcomputer.com/download/aswmbr/dl/1/) dan save ke desktop.
Matikan sementara perlindungan AntiVirus dan AntiSpyware, petunjuk di sini (http://www.bleepingcomputer.com/forums/topic114351.html).

Jangan klik tombol Fix atau FixMBR!
File MBR.dat yang di Desktop jangan dihapus dulu.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 24, 2018, 11:14:45 PM
Clean saja semua Proses Malwarebytes dan Adwcleaner di atas. Tidak ada yang bakal menyebabkan error.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 25, 2018, 03:02:17 AM
(https://sites.google.com/site/cannedfixes/gmer/gmericon.png) Scan Dengan Gmer

Jangan melakukan pembersihan apapun dengan Tools ini karena banyak terjadi False Detect.

Download GMER (http://www.gmer.net/download.php) dan save ke Desktop.
Hasil Downloadnya berupa nama acak (seperti a6ge38b4.exe), itu normal.

Matikan sementara perlindungan AntiVirus and AntiSpyware petunjuk di sini (http://www.bleepingcomputer.com/forums/topic114351.html).
Jika Anda menggunakan program DVD Virtual (seperti Daemon Tools, UltraISO, PowerISO, Alcohol, dll), non aktifkan sementara dengan petunjuk ini (http://www.bleepingcomputer.com/forums/t/293569/why-we-request-you-disable-cd-emulation-when-receiving-malware-removal-advice/).

  • Klik kanan pada ikon (https://sites.google.com/site/cannedfixes/gmer/gmericon.png) dan pilih (https://sites.google.com/site/cannedfixes/home/hosted-images-tools/RunAsAdmin.jpg) Run as Administrator.
  • Jangan melakukan aktivitas lain di komputer selama Scan berlangsung.
  • Gmer akan menunjukkan Tab Rootkit/Malware tab dan melakukan Scan awal.
  • Jika terdeteksi Rootkit dan ditawari melakukan Full Scan, pilih No.
  • Setelah Scan awal selesai, Klik tombol Save dan Save lognya ke Desktop.
  • Tidak perlu lagi menekan tombol Scan.
  • Upload lognya ke Send Space (https://www.sendspace.com/) dan kirim link hasil Uploadnya kemari.
(https://sites.google.com/site/cannedfixes/home/hosted-images-tools/TDSSKiller_Kaspersky.png) Scan dengan TDSSKiller

Download TDSSKiller (http://www.bleepingcomputer.com/download/tdsskiller/dl/4/") dan save ke desktop

  • Klik kanan pada (https://sites.google.com/site/cannedfixes/home/hosted-images-tools/TDSSKiller_Kaspersky.png) dan klik (https://sites.google.com/site/cannedfixes/home/hosted-images-tools/RunAsAdmin.jpg) Run as Administrator
  • Pilih Acccept.
  • Klik Change Parameters, centang dahulu Loaded modules, klik Reboot Now. Biarkan Restart.
  • Setelah Restart, TDSSKiller akan jalan lagi.
  • Klik Change Parameters, pastikan semuanya tercentang.
  • Klik Start Scan, tunggu sampai selesai.
  • Jika ada file yang terdeteksi, pilih opsi Cure jika ada. Jika tidak ada Cure, pilih Skip saja dulu (jangan delete) mana tahu false detect.
  • Klik Continue.
  • Reboot jika diminta, lampirkan log hasil scan dengan TDSS tadi ke Send Space (https://www.sendspace.com/") . Jika tidak muncul, cari lognya di C:/TDSSKiller.xxx.log.txt. Pastikan log yang dilampirkan itu log yang terbaru (Jika lebih dari satu).
(https://sites.google.com/site/cannedfixes/home/hosted-images-tools/aswMBR.png) Scan Dengan aswMBR

Download aswMBR (http://www.bleepingcomputer.com/download/aswmbr/dl/1/) dan save ke desktop.
Matikan sementara perlindungan AntiVirus dan AntiSpyware, petunjuk di sini (http://www.bleepingcomputer.com/forums/topic114351.html).

  • Klik kanan pada ikon (https://sites.google.com/site/cannedfixes/home/hosted-images-tools/aswMBR.png) dan pilih (https://sites.google.com/site/cannedfixes/home/hosted-images-tools/RunAsAdmin.jpg) Run as Administrator.
  • Ijinkan 'virtualisation' jika ditanya.
  • Jika ditanya untuk download Database terakhir dari Avast, pilih No.
  • Klik tombol Scan.
  • Ketika selesai, akan muncul tulisan Scan finished successfully, klik Save log.
  • Save ke Desktop.
  • Upload log ini Send Space (https://www.sendspace.com/") dan kirim link hasil Uploadnya kemari.
Jangan klik tombol Fix atau FixMBR!
File MBR.dat yang di Desktop jangan dihapus dulu.

iya, q coba satu2

Td scan pake adwcleaner pas fix only tanpa q centang tiba2 pc kerestart
Skrng q lagi lanjut percobaan langkah selanjutnya, abis restart pc q ga buka chrome sama sekali, sementara browsing pakai opera, buat tes, kalo ga buka chrome apa notif malwarebyte masih muncul
Mau main emulator+opera 1 hari ini, jika 1-2hari ga muncul artinya ada dichrome malware (chrome belum pernah q klik restore to default setting sih), tapi jika aq ga buka chrome + main emulator masih kedetect notifnya malwarebyte berarti bukan dari chrome.

Kalo masih kedetect pas ga pake chrome hanya pake opera, langkah selanjutnya aq mau percobaan lagi, mungkin 2-4hari, percobaan buka chrome selama 2-4 hari tapi tanpa main emulator sama sekali, mau lihat apa yg terjadi...

Kalo 2-4hari tanpa main emulator ga pernah ada notif artinya kesimpulan percobaan connect ke ip korea melalui backdoor jalur koneksi emulator

Tapi kalo 2-4 hari buka chrome tanpa main emulator masih ada notif, aq baru ikutin prosedurenya admin yg post diatas td

Bentar, harus satu2 q cek dulu, mungkin makan waktu beberapa hari....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 25, 2018, 03:22:06 AM
Clean saja semua Proses Malwarebytes dan Adwcleaner di atas. Tidak ada yang bakal menyebabkan error.

clean+repair di adwcleaner apa akan mendelete data ato hanya ngefix?

cek attachment dibawah yg q kasih tanda merah

Soalnya itu ada ini:
- service= IMF service ---> ini kan servicenya malwarebyte
- reg key= iobit  --> antivirus iobit
- folder = c:\program data\tencent --> emulator tencentku
- lalu berderet registry tentang firewallrule (aq pernah setting firewall buat hubungin pc ini ama pc kedua buat mindah2 data)

Aq agak ngeri2 kalo klik fix and clean, apa bakalan ngehapus itu registry ama folder data tencent(emulator game pubg)? takutnya false alarm

Soalnya kemarin2 pernah percobaan, aq 2 hari ga nyentuh emulator alhasil normal2 aja dalam 2 hari ga ada notif dr malwarebyte tentang ip korea yg td, dulu mau q terusin ke hari 3 ga buka emulator mau tau tetep ada notif ga, tp keburu mati lampu jd harus ngulang percobaannya yg tanpa buka emulator lagi...


Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 25, 2018, 05:50:53 AM
Ini sementara q kasih log gmer dulu 2 buah, yg pertama log pas q nyalain gmer sebelum q klik tombol scan, yg kedua log gmer setelah q klik tombol scan tapi yg quick scan.

Tp ini log pas setelah pc masih fresh abis restart pc ya, bukan sebelum muncul notif malwarebyte yg ip korea.

Ini ngeri juga ya GMERnya kalo scan?
modemku jd ga bisa nyala setelah proses scan setelah q klik tombol scan (quick scan), restart pc baru nyala modemku.

2 kali q tes scan pake GMER selalu modem ga mau nyala walo cabut pasang modem usb.
Jadi modemku mati setelah q klik tombol quick scan.

Ini cara scan pake GMER perlu quick scan ga min?
Apa cuma perlu pas awal2 aja tanpa nekan tombol scan?


Sementara ini dulu, skrng q masih tes main emulator tanpa buka chrome mau tau muncul notif apa ga, plugin2 chrome jg dah q ilangin yg ga perlu

**catatan aja keterangan di lognya:
- tulisan networx portable itu aplikasi aman, buat cek kuota, dah q scan di virustotal clean
- TxGameAssistant\AppMarket ini juga aman, itu file emulator tencent buat game PUBG


** ini registry apa ya min? kok tulisannya ada autologger? ada tulisan WMI (ada di attachment log)
- Reg      HKLM\SYSTEM\ControlSet003\Control\WDI\Config@ServerName                                                                                                                           \BaseNamedObjects\WDI_{1037b8df-8a7e-4659-a296-1e08d0c52dfa}
- Reg      HKLM\SYSTEM\ControlSet003\Control\WMI\Autologger\WdiContextLog@FileCounter


Lalu q juga mau nanya, di attachment ketiga yg screenshot lsass.exe itu, lsass.exe itu file windows yg fungsinya untuk apa?

Soalnya notif yg mau ke IP korea selalu mau lewat itu file, lsass.exe -nya sih kalo discan divirustotal clean, cuma tiap ada notif malwarebyte yg mau ke IP korea selalu ada keterangan file lsass.exe
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 25, 2018, 07:23:56 AM
Isaas.exe adalah Layanan Kewenangan Keamanan Lokal oleh Microsoft, inc, yang bertanggung jawab atas pelaksanaan kebijakan keamanan dan menangani Mekanisme Keamanan Windows. Lsass.exe juga memeriksa identifikasi pengguna saat dia sedang log on komputer dan mengeluarkan proses yang bertanggung jawab atas otentikasi ketika menggunakan layanan Winlogon. Proses Isass.exe terutama beroperasi di sistem melalui kemampuannya untuk membuat token akses.

Perhatikan bahwa Isass.exe adalah file sah yang sangat penting untuk sistem dan dibutuhkan untuk fungsi normal PC. Ia terletak di “C:\WINDOWS\SYSTEM32\” dan tidak bisa diakhiri menggunakan Task Manager.

Isass.exe adalah sebuah proses sistem, ia adalah file aman dan tidak menimbulkan ancaman apapun.


http://tanpavirus.web.id/lsass-exe/
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 25, 2018, 03:26:23 PM
Isaas.exe adalah Layanan Kewenangan Keamanan Lokal oleh Microsoft, inc, yang bertanggung jawab atas pelaksanaan kebijakan keamanan dan menangani Mekanisme Keamanan Windows. Lsass.exe juga memeriksa identifikasi pengguna saat dia sedang log on komputer dan mengeluarkan proses yang bertanggung jawab atas otentikasi ketika menggunakan layanan Winlogon. Proses Isass.exe terutama beroperasi di sistem melalui kemampuannya untuk membuat token akses.

Perhatikan bahwa Isass.exe adalah file sah yang sangat penting untuk sistem dan dibutuhkan untuk fungsi normal PC. Ia terletak di “C:\WINDOWS\SYSTEM32\” dan tidak bisa diakhiri menggunakan Task Manager.

Isass.exe adalah sebuah proses sistem, ia adalah file aman dan tidak menimbulkan ancaman apapun.


http://tanpavirus.web.id/lsass-exe/

oh, iya aman, tp yg mau bikin koneksi keluar ada tulisan pakai file lsass.exe
Ini lg q tes ga buka chrome, cuma pakai opera + main emulator, udah dr semalam ga ada notifikasi malwarebyte, aneh...
Apa jngn2 chromeku kena hijack ya..
Masih q tes sampai 3-4hari (mudah2an ga mati lampu), kalo 3-4 hari ga ada notif malwarebyte berarti yakin aq yg ga bener chromenya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 25, 2018, 07:43:32 PM
oh, iya aman, tp yg mau bikin koneksi keluar ada tulisan pakai file lsass.exe
Ini lg q tes ga buka chrome, cuma pakai opera + main emulator, udah dr semalam ga ada notifikasi malwarebyte, aneh...
Apa jngn2 chromeku kena hijack ya..
Masih q tes sampai 3-4hari (mudah2an ga mati lampu), kalo 3-4 hari ga ada notif malwarebyte berarti yakin aq yg ga bener chromenya

Sekalian log TDSSKiller dan ASWmbrnya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 25, 2018, 07:52:05 PM
Sekalian log TDSSKiller dan ASWmbrnya

iya besok, ini q lg tes dulu ga buka chrome

Hasil test:
Hari pertama tanggal 25 ga buka chrome tapi main emulator mumu:
- nyalain pc kemarin dini hari, sekarang jam 8 malem, ga ada notifikasi malwarebyte satupun, ga ada notifikasi yg percobaan ngebuka ip korea

Hari kedua tanggal 26:
soon

Hari ketiga tanggal 27:
soon


90% yakin dr chrome
Seharian q tungguin ga nongol2 notif malwarebyte, soalnya kalo aq ga salah inget, dulu di chrome di pojok kiri bawah kalo q lg buka web sering muncul tulisan indonesas.me cuma sekilas(pas web loading)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 26, 2018, 03:24:53 AM
min, registry autologger bahaya ga?

- Reg      HKLM\SYSTEM\ControlSet003\Control\WDI\Config@ServerName                                                                                                                           \BaseNamedObjects\WDI_{1037b8df-8a7e-4659-a296-1e08d0c52dfa}
- Reg      HKLM\SYSTEM\ControlSet003\Control\WMI\Autologger\WdiContextLog@FileCounter


**hari ke 2 ga buka chrome:
ga muncul notif malwarebyte....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 26, 2018, 04:03:41 PM
Baru mau masuk hari 2 malah mati lampu  :(

Btw ini log aswMBRnya di attachment

kalo satunya blm sempet soalnya harus matiin deep freeze+restart pc

Q lg tes lg, browsing cuma pake opera, ga buka chrome, besok kalo tetep ga kena notif mau restore to default settingnya chrome
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 27, 2018, 10:37:52 PM
Sisa TDSSkiller
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 02:41:36 PM
Sisa TDSSkiller

iya blm, td pas main mumu di hari 2 muncul error pc kerestart:

https://answers.microsoft.com/en-us/windows/forum/windows_7-performance/windows-has-encountered-a-critical-problem-and/85c25da8-eb27-4783-87eb-f82517f1ea30

https://www.kaskus.co.id/thread/51ee03d68327cf7a15000000/windows-has-encountered-a-critical-error-and-will-restart-in-one-minute/

Tp pas pc kerestart malwarebyte live protectionku ga ngedetect apa2

Ini murni error windows ato kena trojan ya?

"windows has encountered a critical error and will restart in one minute"

pas main mumu di hari ke2, sebelumnya ga pernah kaya gini
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 02:56:10 PM
min, kok td abis pc  tiba2 restart muncul lg ya notif malwarebyte?

padahal aq ga buka chrome lho, cuma buka opera

Cek attachcment

Sama tdskillernya ga bisa didownload broken link, ada link lain?


Ada 11 notif muncul lg barusan setelah pc restart:



-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 194.32.87.85
Port: [52123]
Type: Outbound
File: C:\Windows\System32\lsass.exe


-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 194.32.87.85
Port: [52130]
Type: Outbound
File: C:\Windows\System32\lsass.exe


-Website Data-
Category: Trojan
Domain: indonesias.me
IP Address: 194.32.87.85
Port: [52194]
Type: Outbound
File: C:\Windows\System32\lsass.exe

Beberapa yg q copy paste lognya, ipnya ganti ke 194.32.87.85

Tp abis muncul notif 11kali ke ip tersebut, q scan malwarebytenya clean


Q coba download tdss killer dr web lain di https://support.kaspersky.com/viruses/utility#TDSSKiller, q scan kedetect trojan ini false detect ato apa?
https://www.virustotal.com/#/file/5b715d2d2e320b99988a3063bce9470c03e5ada36725a707760e719a8b2896dc/detection

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 03:24:07 PM
Aq td scan pakai microsoft windows malicious software removal tool , hasilnya clean

Knp ya ini, kok tambah parah, setelah 2 hari bisa tiba2 pc kerestart sendiri yg td...
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 03:46:23 PM
Nih log tdskillernya, tp ini versi yg aq belum pakai loaded module atau belum reboot

Di attachment
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 03:57:40 PM
kalo scan tanpa loaded module hasilnya no threats found


Kemarin pikirku kalo ga buka chrome bakalan ga ada notif mau buka ip korea, tp td siang tiba2 pcku popup restart(cek post diatas), nah posisi kan deep freeze on, pas nyalain pc lagi, lalu connect internet pake opera (ga sentuh chrome) eh muncul lagi tiba2, pas terakhir q lg mau download link TDSS yg brokenlink dr admin muncul 11 notif dr malwarebyte

Kalo gitu berarti kan bukan dr chrome
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 04:04:03 PM
tp detik2 pas pc ngerestart itu, aq sempet ngelihat sesuatu, proses sandboxie muncul sendiri, kaya mau ada proses naruh file didalam sanboxienya, ga tau ya bener ga, aq cuma ngeliat sekilas karena lalu tiba2 pc restart. Jd kaya ada proses didalam sanboxie jalan, mau naruh file ke windows entah directory mana tp dicegat sandboxie, sandboxie itu kalo ada proses naruh file/edit file pasti ga akan bisa

Sandboxie itu box virtual buat jalanin software, aq biasa pake buat jalanin game sih biar bsia buka 2 game

Coba mulai skrng aq offin sanboxie kalo ga dipake, selama ini selalu ON
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 06:07:18 PM
Ini lognya TDSSkiller yg pakai boot module, cek di attachment
Kalo q cek td pas scan boot module dicentang, abis restart q scan seperti prosedure admin, ya clean ga ada apa2 hasilnya.

Kronolgi:
Jadi seperti yg q post diatas, td sekitar jam 3 sore tiba2 pc muncul popup restart dalam 1 menit, saya ga tau ini pure windows crash atau karena trojan. Tapi sekilas aq liat proses sandboxie kok kaya ada yg mau edit file/naruh file tp kena blok ama sandboxie (beberapa detik sebelum pc mati), posisi waktu itu aq ga buka chrome, cuma opera ama mumu emulator lagi main.

Setelah restart sendiri, aq mau download TDSSKiller link dr admin tp broken link, pas q mau klik klik link TDSSKillernya lagi, tiba2 muncul 11 notif malwarebyte mau connect ke ip korea yg kemarin tp ipnya beda (cek post atas)

Q juga dah usaha scan pake microsoft removal 64bit, clean juga


Langkah terakhir saya:
Posisi PC saya saat ini:
1. saya restore to default settingnya chrome
2. mematikan/meng-off-kan sandboxie (normalnya sandboxie autostart icon aktif ada di kanan bawah deket jam), kemarin2 selalu ON sih sandboxie, kali ini tiap nyalain pc aq langsung matikan. Saya buka saja jika mau dipakai.
3. Klik delete content sandboxie (seiring berjalan waktu, didalam box virtual sandboxie akan keisi folder2 content hasil proses2 yg pernah q buka di dalam sandboxie), selama ini aq ga pernah delete content, dg mikirnya kalo aq tutup sandboxie prosesnya bakalan ketutup juga. Pas q mau delete content, terlihat ada 92folder(di dalam sanboxie dan diantaranya berisi registry) numpuk yg sekarang dah saya clean. Kenapa dulu ga pernah saya clean saya mikirnya kalo pc kerestart pasti clean sendiri karena deep freeze on, saya blm tau apa content data didalam sanboxie kalo restart pc akan tetep ada, soalnya numpuk sampe 92folder+isi ada registry2 ga jelas.
Muncul pertanyaan dibenak saya, terakhir sebelum pc kena auto restart yg ada popup, sekilas kok aq kalo ga salah lihat ya ada proses sandboxie muncul yg mau edit file/naruh file tp keblock ama sanboxie. Apa gara2 trojan/registry yg numpuk di dalam content data sandboxie yg membuat popup autorestart pc dalam 1 menit? apa trojan sembunyi didalam data content box sandboxie sehingga pemicunya ga kedeteksi antivirus, entah berupa registry ato apa?

Saya sempet mikir, data content sandboxie ga akan hilang walopun PC direstart dalam keadaan deep freeze on, maka dari itu data content sandboxienya menumpuk sampai 92folder...., jadi harus di hapus manual..dr klik clear content di menu sanboxienya.

Karena aq kalo klik2 crack ya di dalam sanboxie agar kalo ada virus/trojan ga nular ke windows folder



Tapi saat ini aq dah delete content sandboxie, ga ada apa2 clean  bersih sandboxieku.
Udah restore chrome to default setting + disable+uninstal pluginnya.


Yg bisa aq lakukan skrng cuma ngecek, dalam posisi chrome udah di restore to default setting, clear data content sandboxie+matikan sandboxie jika ga dipakai, apa tar masih muncul notif malwarebytenya?

kalo notif malwarebyte muncul yg mau ke ip korea itu pasti ada pemicunya, tapi aq ga nemu pemicunya itu apa? soalnya setelah notif muncul q scan berkali2 pake malwarebyte ya clean.

Post sebelumnya dah q bilang kalo setelah pc restart yg popup td (entah crash bener ato ada faktor lain), sempet muncul notif 11buah padahal ga buka chrome, hanya opera....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 06:16:28 PM

1 lg q lupa bilang, aq dah tes pake smadav terbaru, q scan ya clean... kan aneh....

Dr mana ya ini kok bisa muncul proses mau ke ip korea itu, tp yg q tau min, itu mau ke ip korea lewat proses file lsass.exe

Apa ada hubungannya file lsass.exe ama proses ke ip tertentu?

lsass.exe itu bertindak sebagai apa(maksudku dalam kejadian ini)? soalnya ya pas mau ngebuka ip korea itu dia lewat file lsass.exe, yg kalo discan file lsass.exenya clean



Lalu aq ngeshare koneksi net  ke android dr pc , pc sebagai hotspot, apa anroid bisa mengirim trojan melalui koneksi hotspot? apa saya harus mematikan hotspot pc untuk sementara waktu ya....
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 08:26:33 PM
sepertinya saya menemukan pemicunya:

Pas saya buka Libraries\Documents ada file Default.rdp

Memang saya scan di virustotal clean, https://www.virustotal.com/#/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/community

Tapi coba baca salah satu komentarnya disana:
"
   
PurpleFireStarz

2018-10-17
It's pretending to be an empty file. Zip. file compressions can hide this way. This file is VERY malicious. Once unzipped, this file could turn your computer to toast! Also, it's an apk. file, it's an android app, though it's packed with viruses. Computers don't know how to fight off android viruses, therefore, your computer could not tell you. On the other hand, "empty file" likes to play with your system files. I found the people who made this virus, they are part of the "win zip" franchise. There are many infected .exe files in this program. All of the files have a connection to Sys32 or Win32. DON'T OPEN THAT FILE!!!

   
SomeCaviar

2018-10-02
This is an apk, pretending to be a special game with a mod, atleast in my case. It is just a renamed pack of viruses. Look at the detections, and its way of hiding its identity, trying to hide its checksum. Smh. The graph shows all the connections and all of the android viruses that you can and will get from unpacking and installing this apk.

unregistered42

2018-09-04
Be warned, looks un-safe:



The link in file goes to 'http://asanpsd.ir/For-Check-09-18' –> https://www.virustotal.com/en/url/fc336a697101e3330dd2af44835116a0d4ae18f37750c7263a891299ebc3a40d/analysis/

Profile Picture   
tienchien1

2018-09-02
this is trojan, sure. Not safe, very difficult to remove.

ex4kt

2018-07-19
Scanning a file and declaring it clean is not a reliable way of determining whether or not it is to be trusted. I left the file open and sure enough after a while Artemis Trojan was downloaded to the same folder which my AV then found and deleted. Infection is does not happen with a single download - it is a multi stage process so delete the file as soon as you know it exists to disrupt the process
"


Saya sertakan screenshot beserta file virus tersebut di attachment, date modifiednya bulan 7 (july)

Sekarang dah q hapus filenya

Apa benar itu bahaya? kata orang ga bisa discan/ga kedeteksi karena itu apk android, tp kalo dipikir2 bener juga ada hubungannya, aq selalu kena pas main emulator android entnah itu nox atau mumu.

Saya ga tau kapan itu file ada di my documentku


Tapi saya ga tau bener apa ga ya


Catatan= coba admin cek tab relation di virustotalnya, relasinya kok ke .virus ya?

2018-11-24
59/69
Win32 EXE
b1a5a2e130fe05900cf54e04b1d28fc7.virus
2018-11-10
56/66
Win32 EXE
afa35c5f77e3a153ae95e5f0f5a3d047.virus
2018-09-24
0/66
Win32 EXE
Fan Speed Control
2018-09-24
62/68
Win32 EXE
Rund32
2018-11-10
55/66
Win32 EXE
cbc759506a05a0a80ea7ec595c8a060c.virus
2018-11-10
61/66
Win32 EXE
Rund32
2018-11-10
62/66
Win32 EXE
a01650db6f9075c704e7ac1d6068c876.virus
2018-11-10
59/65
Win32 EXE
a08bec209f11f79ee1babb132090fe9f.virus
2018-11-10
61/66
Win32 EXE
Rund32
2018-11-10
56/63
Win32 EXE
a0272e93906c783aa72ab6bb2098deab.virus
2018-03-03
64/67
Win32 EXE
Rund32
2018-03-03
63/66
Win32 EXE
Rund32
2018-07-04
58/64
Win32 EXE
b272dee0751d4d7662d39db1cd465fea.virus
2018-03-03
64/67
Win32 EXE
Rund32
2018-09-10
62/67
Win32 EXE
Rund32
2018-06-06
52/67
Win32 EXE
ca0f6adf13815914e41bebd248c84664.virus
2018-09-27
55/68
Win32 EXE
a056fcf5e662e97850c6e20e3ca8e41a.virus
2018-09-24
62/68
Win32 EXE
Rund32
2018-03-03
64/67
Win32 EXE
Rund32
2018-06-03
61/66
Win32 EXE
Rund32
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 28, 2018, 08:49:40 PM
q cek yg file td date modified tanggal 12 bulan 7
itu kan tanggal aq pertama kali instal2 program setelah instal windows 7

Cek screenshot di attachment, daftar program yg q instal pada tanggal 12 bulan 7 aq lingkari merah

Btw td terakhir muncul 11 notif yg di post atas aq lg buka opera doank deh, ga buka emu @_@
Saya jadi bingung @_@

File td tulisan remote desktop (skrng dah q hapus filenya)...


Aq nemu komentar lagi yg berhubungan ama trojan mining yg pernah infeksi pcku:

"eagleeyez

2018-05-31
This is part of a crytominer! it create a lot of files and task schedules and autoruns! I am removing it manually since almost all antivirus just s*** at even detecting it! and it has made my computer as slow as my first purchased computer in the 90's!

"


Profile Picture   
Jetero

2018-05-24
unsafe its sthels miner delete this now

   
Philostratus

2018-05-22
It's bad, don't trust those who say its safe.. Never read so much nonsense ever - seriously try these files out!

   
MuseTD

2018-05-20
Expanded and it contains Win32.exe virus! Delete!

ChrisCleggett

2018-05-01
This is used to create .doc exploits, used to create malware

   
sl2va

2017-12-28
It's zero-size exploit! Create vaccum informational singularity in your PC!

   
Philostratus

2017-12-04
multisource remote malware loader - UNSAFE
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 29, 2018, 12:51:57 PM
Saya jadi bingung baca segitu banyak informasi
kalo pembersihan virus dilakukan saat deepfreeze aktif ya percuma, nanti setelah restart balik lagi
coba nonaktifkan dulu DF nya kemudian lakukan scan menyeluruh dengan MalwareBytes, Smadav, DrWebCureIt, Zemana, dkk nya. kalo udah clean baru DF nya diaktifkan kembali. Coba cara ini dulu ya biar tdk bingung2.

DrWebCureIt dan Zemana
5. Tool mantap untuk pembersihan komputer dan laptop yang sudah terinfeksi virus, adware, PUP, rootkit, dll. Download Dr Web Cure It disini https://s.id/2kxnv dan baca tutorialnya disini https://s.id/29hV-

7. Zemana Anti Malware adalah Tools yg berguna untuk pembersihan malware2 dari internet seperti Adware, dkk secara online, Download disini https://s.id/2kxsk
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 29, 2018, 12:52:35 PM
Kontak saya
http://www.konfirmasi.com/index.php?qa=user&qa_1=Pendik+Asyik
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 29, 2018, 12:55:07 PM
Tanya lagi
ada berapa drive di pc mu,
yg dikunci DF drive apa saja?
untuk antivirusnya diusahakan update saat DF kondisi Off.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 29, 2018, 02:37:20 PM
Tanya lagi
ada berapa drive di pc mu,
yg dikunci DF drive apa saja?
untuk antivirusnya diusahakan update saat DF kondisi Off.

momod yg kemarin minta log TDSSkiller mana ya?
Di post atas dah q kasih attachment log tdsskillernya

C saja yg di freeze (drive E ama drive I ga freeze), kalo malwarebyte walo df on dia tetep bisa bersihin virus min sudah q tes (pas kejadian crack acdsee masuk karantina malwarebyte pas deep freeze on, pc restart si deep freeze ga sanggup ngerestore itu file crack)
Virusnya yg mining sih udah ga ada min, dah clean, tinggal notif ke ip korea kadang muncul sendiri kena block malwarebyte.

Diclean pake smadav terbaru+malwarebyte itu clean min+aq udah ikuti semua prosedur momod yg profil picnya warna merah itu, walopun aq deep freeze OFF pas discan ya ga ada apa2, yg jd masalah skrng pemicu yg gerakin proses ke IP korea itu belum diketahui.
Terakhir aq nemu file kaya tipe remotedesktop di my document, ada di postingan atas terakhirku. Pas q scan safe tp aq baca comment orang2 di virustotal pd bilang itu sumber utamanya, walo bersize 0kb, ada yg bilang itu loader virusnya buat mining, ada yg bilang jg itu apk andro.

Nih di attachment dah q upload ulang log TDSSKiller yg pakai bootmodule

Kalo sekarang aq tinggal nunggu ini tes terakhir seperti yg q bilang di post2 atas, dah restore to default setting chrome, delete content sandboxie.

Di post atas dah q tulis ada kejaadian pc muncul popup akan shutdown dalam 1 menit, lalu sekilas aq liat proses sandboxie berupa proses editfile/naruh file/proses file tp keblokir sandboxie, 3-5detik sebelum pc mati. Jd mungkin aq beranggapan gara2 trojan yg ngumpul di content data didalam box sandboxie walo logikanya data didalam sandboxie ga akan bisa keluar ke windows folder.

Jd gini, tiap beberapa saat ini pc ada percobaan ngebuka IP korea, kalo ditracking itu IP ada di korea selatan, tp tiap mau buka ga bisa karena diblokir malwarebyte, sejauh ini dia mau menuju ke 2 IP yg berbeda dg berbagai port.

Dan kunci yg paling penting= tiap ada percobaan ngebuka ip korea, selalu lewat proses lsass.exe, tapi kalo q scan file lsass.exe ya clean.

Jd mungkin yg jd fokusku disini ke file lsass.exenya, kenapa suatu proses bisa memanfaatkan itu file untuk ngebuka ip korea selatan.

Nah balik lg ke yg td, skrng kondisi pcku kan dah delete content sandboxie (sebelumnya ada 92folder+registry ga jelas)+udah restore to default setting chrome+aq delete file remotedesktop yg di my document, coba lihat beberapa waktu/hari ini apa masih bisa muncul si proses yg mau ngebuka ip korea itu, karena tiap mau ngebuka ip korea pasti kedetect ama si malwarebyte, yg kedetect cuma percobaan proses ngebuka ip tersebut, tapi pemicu utamanya itu ga kedetect, mau discan brp kalipun ya hasilnya clean

Malah aq dah tes ngecoba ga buka chrome, tp buka opera, hasilnya notif mau ngebuka ip korea masih muncul, artinya bukan dr chrome, tp itu pas posisi data dontent sandboxieku masih penuh folder ga jelas, saat belum saya clean/delete sandboxie

Kalo mimin/momod pakai sandboxie (sebelum masuk windows mesti neken F8 buat disable signature driver), nah di icon sanboxie deket jam ada menu buat delete content sandboxie

Ini pendapat saya="sandboxie kan diperlukan misal untuk buka crack biar pc ga ketularan virus, tapi tiap pakai sandboxie data2 akan menumpuk didalam box sandboxienya, walopun PC deep freeze ON, saat pc restart data content sandboxie ga akan ikut hilang/kereset karena deep freeze, harus di clean manual"
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 29, 2018, 10:11:51 PM
Untuk masalah mencoba konek ke ip korea, coba instal glasswire berikut ini, jangan diupdate ke versi baru ya nanti fiturnya berubah
Glasswire versi free, Tools lawas mantap untuk monitoring penggunaan bandwith internet serta untuk memblok aplikasi yg tidak diinginkan terkoneksi ke internet, cocok banget untuk menghemat pemakaian kuota internet anda, semoga bermanfaat, download di https://s.id/2kxwN

kemudian nonaktifkan malwarebytesnya biarkan dia ngapain aja konek ke ip korea tinggal pantau dari glasswire, kalo diblok kan gak tahu mau ngapain sebenarmya, jadi nonaktifkan dulu dan pantau.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 30, 2018, 12:17:34 AM
Untuk masalah mencoba konek ke ip korea, coba instal glasswire berikut ini, jangan diupdate ke versi baru ya nanti fiturnya berubah
Glasswire versi free, Tools lawas mantap untuk monitoring penggunaan bandwith internet serta untuk memblok aplikasi yg tidak diinginkan terkoneksi ke internet, cocok banget untuk menghemat pemakaian kuota internet anda, semoga bermanfaat, download di https://s.id/2kxwN

kemudian nonaktifkan malwarebytesnya biarkan dia ngapain aja konek ke ip korea tinggal pantau dari glasswire, kalo diblok kan gak tahu mau ngapain sebenarmya, jadi nonaktifkan dulu dan pantau.

tar q tes pas notif muncul lagi, sampai skrng blm muncul2 , momod Ki@mhu kemana ya? itu udah q kasih lognya tdsskiller kemarin dia minta lognya @_@

Min, mau nanya, yg screenshot di attachment ini, ada file remote desktop bahaya ga? udah q hapus, dia keinstal pas awal2 aq instal win7 beserta software2 lainnya, aq punya feeling pcku diremote orang dr itu file, ada my document
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada November 30, 2018, 08:35:54 AM
Saya tidak menemukan adanya tanda atau gejala virus. Mengenai mengapa Malwarebytes melakukan blok IP, silahkan kontak lansung ke sini: https://forums.malwarebytes.com/
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada November 30, 2018, 08:10:21 PM
Untuk masalah mencoba konek ke ip korea, coba instal glasswire berikut ini, jangan diupdate ke versi baru ya nanti fiturnya berubah
Glasswire versi free, Tools lawas mantap untuk monitoring penggunaan bandwith internet serta untuk memblok aplikasi yg tidak diinginkan terkoneksi ke internet, cocok banget untuk menghemat pemakaian kuota internet anda, semoga bermanfaat, download di https://s.id/2kxwN

kemudian nonaktifkan malwarebytesnya biarkan dia ngapain aja konek ke ip korea tinggal pantau dari glasswire, kalo diblok kan gak tahu mau ngapain sebenarmya, jadi nonaktifkan dulu dan pantau.
Toolnya sangat membantu sekali, serial keynya ga ada ya min?
Bagus ini yg q butuhin dr dulu, pas ada koneksi pertama kali dia langsung notif apa programnya.
Semenjak aq restore to default setting chrome+ clean content sanboxie+delete remote desktop di my document, udah 2 hari ga muncul notif ke ip korea lg. Kalo muncul pasti kedetect ama glasswire.

Min, file remote desktop yg di screenshot attachment itu file apa ya? Aq padahal ga instal remote desktop.
Tp semenjak q delete itu file, skrng 2 hari ga muncul proses ke ip korea
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: 3ndiixz pada November 30, 2018, 10:24:53 PM
saya gak ngerti file itu.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 05, 2018, 08:06:33 PM
Toolnya sangat membantu sekali, serial keynya ga ada ya min?
Bagus ini yg q butuhin dr dulu, pas ada koneksi pertama kali dia langsung notif apa programnya.
Semenjak aq restore to default setting chrome+ clean content sanboxie+delete remote desktop di my document, udah 2 hari ga muncul notif ke ip korea lg. Kalo muncul pasti kedetect ama glasswire.

Min, file remote desktop yg di screenshot attachment itu file apa ya? Aq padahal ga instal remote desktop.
Tp semenjak q delete itu file, skrng 2 hari ga muncul proses ke ip korea
Gimana kompi Anda sudah aman dari virus?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 06, 2018, 08:43:58 AM
Gimana kompi Anda sudah aman dari virus?

Sudah, udah saya tes 4 hari non stop ga ada notif ke ip korea lagi setelah saya melakukan restore to default setting chrome + delete content sandboxie
Sepertinya memang dihijack dr chromenya, tp dah clean setelah restore to default setting.
Trojan minner juga udah ga ada setelah diclean memakai malwarebyte.
Untuk proses acdsee ga ada lg krn saya uninstal acdsee yg ada cracknya.

Case udah clear semua

Makasih yg udah bantu kasih beberapa softwarenya, terutama software terakhir glasswire bisa memantau segala aktifitas koneksi internet  :)

**catatan:
barusan nemu salah satu web address yg kemungkinan ada trojan miner, yaitu web indoxxi tapi pas bagian download movienya, nti didirect ke akubebas.com , diblock ama malwarebyte, pas q search google akubebas.com = trojan miner

https://greatis.com/blog/howto/remove-cdn-akubebas-com-forever.htm
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 06, 2018, 10:24:11 AM
Untuk masalah mencoba konek ke ip korea, coba instal glasswire berikut ini, jangan diupdate ke versi baru ya nanti fiturnya berubah
Glasswire versi free, Tools lawas mantap untuk monitoring penggunaan bandwith internet serta untuk memblok aplikasi yg tidak diinginkan terkoneksi ke internet, cocok banget untuk menghemat pemakaian kuota internet anda, semoga bermanfaat, download di https://s.id/2kxwN

kemudian nonaktifkan malwarebytesnya biarkan dia ngapain aja konek ke ip korea tinggal pantau dari glasswire, kalo diblok kan gak tahu mau ngapain sebenarmya, jadi nonaktifkan dulu dan pantau.

Saya tes 4 hari pakai profile baru aman2 aja, saya lalu tes balik ke profile 1 lagi (di windows profile buat log on) saya kira udah aman, ternyata muncul lagi notif ke ip 208.77.45.211 melalui file lsass.exe

Sepertinya memang saya harus pindah ke profile 2 saja lalu hapus profile 1.

Saya cek di GlassWire di jam yg sama saat notif muncul kedeteksi Local Security Authority Process itu filenya lsass.exe, tp q scan dr glasswire itu file lsass.exenya clean

Knp ya?

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 06, 2018, 10:27:26 AM
Gimana kompi Anda sudah aman dari virus?

Td q post q kira dah aman, tau2 muncul lg ga tau dr mana, q kira aman krn 4 hari q tes di profile baru (aq create profile buat log on baru) aman2 aja, hari ini q balik profile 1 eh muncul lg  :'(

Tp kedeteksi di glasswire, screenshot di atasnya post ini

Sepertinya saya mau pindah ke profile 2 saja, yg profile 1 saya hapus

Cek attachment:

Itu file service.exe apa sih ama darimana? udah berkali2 q hapus kok muncul lagi

Service.exe di folder windows kalo kedetect pas pertama kali scan malwarebyte sbg malware backdoor.Bot.E.Generic
Tapi kalo q scan divirustotal kok clean? lalu q pindah file service.exe ke sebuah folder lalu q scan di malwarebyte malah clean

Knp ya ini?


https://www.solvusoft.com/en/malware/trojans/generic-backdoor-bot/
Trojans like Generic BackDoor!bot are difficult to detect because they hide themselves by integrating into the operating system. Once it infects your computer, Generic BackDoor!bot executes each time your computer boots and attempts to download and install other malicious files. Upon successful execution, it deletes the source program, making it more difficult to detect.

Dia abis ngeksekusi mau ke ip luar, langsung delete source program, jadi pas q scan ulang clean file service.exenya

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 06, 2018, 12:12:22 PM
Kesimpulan saya:
- 4 hari lalu saya tes bikin profile baru sebut saja profile 2, lalu yg bermasalah di profile 1, nah selama 4 hari PC saya ON di profile tidak ditemukan masalah apa2. Saat itu status deep freeze saya ON pas melakukan pengetesan bikin profile baru selama 4 hari, jadi pas pc off lalu restart profile 2 hilang kereset deep freeze.
- hari ini tgl 6 desember saya coba login profile 1 karena pikir saya kemarin selama 4 hari di profile 2 aman2 aja,  saya sempet bales post mimin yg menyatakan udah celar, tp ternyata ga beberapa lama kemudian muncul lagi 18 notif ke ip korea, kedeteksi GlassWire sebagai Local Security Authority Process , beberapa menit kemudian muncul lg 2 notif, total 20notif malwarebyte ke ip korea, sang trojan tersebut sangat pintar, dia menaruh file service.exe di folder windows untuk melakukan aksinya ngebuka ip korea, tapi pintarnya dimana?
Begini, saat pertama kali terdeteksi malwarebyte adanya proses ke ip korea, service.exe tersebut kedetect sbg backdoor yg fungsinya ngebuka ip korea, tapi setelah melakukan proses ngebuka ip, backdoor tersebut melakukan penghilangan jejak, sepertinya dia langsung mendelete source code di file service.exe, knp saya bisa tau?
Saya tau karena setelah saya scan ulang service.exe yg terjadi adalah clean tidak terdeteksi!!



Jd saya sendiri tidak tau siapa pelaku yg menaruh file service.exe di dalam folder windows, ini file service.exe kalo dihapus manual, dia bisa balik lagi menaruh file service.exe di dalam folder windows

Pertanyaannya:
Kenapa pas saya percobaan bikin profile baru yaitu profile kedua dan memakai profile 2 selama 4 hari tidak terjadi apa2 alias aman2 aja??


Karena itu hari ini saya coba membuat profile baru pas posisi Deep Freeze off, lalu profile lama saya yaitu profile 1 saya delete. Seharusnya sekarang sudah aman, karena pas percobaan 4 hari kemarin di profile baru ga terjadi apa2.

Kita lihat beberapa hari kedepan, apa di profile yg baru ini masih muncul notif ke ip korea yg disebabkan oleh file service.exe?

Jadi ini trojan memang sangat pintar sekali, biasanya ya kalo trojan bikin file itu filenya tetep kedeteksi, yg ini ga, dia kedeteksi pas aksi pertama saja pas ngebuka ip korea mau download trojan baru, jd dia ga sekali serang, stage 1 dia naruh file service.exe di folder windows yg saat pada stage ini hanyalah sebuah jadwal proses untuk melakukan koneksi ke ip luar, jika dia berhasil connect dia akan mendownload file trojannya seperti trojan mining dll.
Gak tau siapa pelaku yg naruh file service.exe, tapi feeling saya hanya terjadi di profile lama, saat saya pindah ke profile baru itu aman semua ga ada apa-apa.

Seharusnya ya, kalo registry saya keinfeksi harusnya profile baru tetep kena, tp kok di profile baru aman2 aja..., aneh.

ya mudah2an aman2 aja, q mau coba beberapa hari kedepan di profile baru ini bener aman ato kembali kena..

Susah min, baru kali ini aq nemu trojan yg hidingnya dia bagus banget, setelah deteksi pertama dia langsung delete code jd file clean...

Saya mau nanya, aplikasi/software yg fungsinya biar ketauan siapa/proses apa yg naruh file ke suatu directory itu ada ga ya?

Contohnya gini:
Saya save file msword, nanti ketauan yg naruh file msword adalah aplikasi microsoft office, nah aq butuh software yg kaya gitu ada ga?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 08, 2018, 09:07:26 AM
Coba upload services.exe tsb kemari
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 08, 2018, 10:30:42 AM
Td q post q kira dah aman, tau2 muncul lg ga tau dr mana, q kira aman krn 4 hari q tes di profile baru (aq create profile buat log on baru) aman2 aja, hari ini q balik profile 1 eh muncul lg  :'(

Tp kedeteksi di glasswire, screenshot di atasnya post ini

Sepertinya saya mau pindah ke profile 2 saja, yg profile 1 saya hapus

Cek attachment:

Itu file service.exe apa sih ama darimana? udah berkali2 q hapus kok muncul lagi

Service.exe di folder windows kalo kedetect pas pertama kali scan malwarebyte sbg malware backdoor.Bot.E.Generic
Tapi kalo q scan divirustotal kok clean? lalu q pindah file service.exe ke sebuah folder lalu q scan di malwarebyte malah clean

Knp ya ini?


https://www.solvusoft.com/en/malware/trojans/generic-backdoor-bot/
Trojans like Generic BackDoor!bot are difficult to detect because they hide themselves by integrating into the operating system. Once it infects your computer, Generic BackDoor!bot executes each time your computer boots and attempts to download and install other malicious files. Upon successful execution, it deletes the source program, making it more difficult to detect.

Dia abis ngeksekusi mau ke ip luar, langsung delete source program, jadi pas q scan ulang clean file service.exenya

Scan pakai ESET NOD32 Antivirus versi alat ini untuk sistem operasi Anda:
Download (https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt32.exe) | 32-bit
Download (https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt64.exe) | 64-bit

Lisensi ESET cek gudang ya! <=)

Pengaturan ESET Secara Optimal:
1. Buka aplikasi ESET. Tekan F5 untuk masuk ke advanced setup.
    Klik real-time system protection file, threatsense parameters, cleaning level, klik Strict cleaning.
2. Klik Malware Scan, threatsense parameters, cleaning level, klik Strict cleaning.
3. Klik Malware Scan, idle-state scans, threatsense parameters, cleaning level, klik Strict cleaning
4. Klik Malware Scan, startup scan, threatsense parameters, cleaning level, klik Strict cleaning.
5. Klik Malware Scan, document protection, geser ke arah kiri (Integrate into the system).
    threatsense parameters, cleaning level, klik Strict cleaning.
6. Klik Web And Email, email client protection, threatsense parameters, cleaning level, klik Strict cleaning.
7. Klik Web And Email, web access protection, threatsense parameters, cleaning level, klik Strict cleaning.
8. Selesai, klik Scan Your Computer

Note!!!:
Saat proses scanning komputer jangan di gunakan agar proses scanning tidak terganggu.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 08, 2018, 12:44:39 PM
Scan pakai ESET NOD32 Antivirus versi alat ini untuk sistem operasi Anda:
Download (https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt32.exe) | 32-bit
Download (https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt64.exe) | 64-bit

Lisensi ESET cek gudang ya! <=)

Pengaturan ESET Secara Optimal:
1. Buka aplikasi ESET. Tekan F5 untuk masuk ke advanced setup.
    Klik real-time system protection file, threatsense parameters, cleaning level, klik Strict cleaning.
2. Klik Malware Scan, threatsense parameters, cleaning level, klik Strict cleaning.
3. Klik Malware Scan, idle-state scans, threatsense parameters, cleaning level, klik Strict cleaning
4. Klik Malware Scan, startup scan, threatsense parameters, cleaning level, klik Strict cleaning.
5. Klik Malware Scan, document protection, geser ke arah kiri (Integrate into the system).
    threatsense parameters, cleaning level, klik Strict cleaning.
6. Klik Web And Email, email client protection, threatsense parameters, cleaning level, klik Strict cleaning.
7. Klik Web And Email, web access protection, threatsense parameters, cleaning level, klik Strict cleaning.
8. Selesai, klik Scan Your Computer

Note!!!:
Saat proses scanning komputer jangan di gunakan agar proses scanning tidak terganggu.

iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 08, 2018, 12:59:41 PM
Coba upload services.exe tsb kemari

ada dipages 5 pernah q upload di attachment, nih q upload lagi di attachment

Kalo cuma discan ya clean, scan virustotal aja clean kok, inget cara kerja dia gini min, dia cuma kedeteksi pas awal2, jd dia itu buka koneksi manfaatin file lsass.exe, nah pas buka koneksi ke ip korea kan kedeteksi malwarebyte notif muncul, nah pas kedeteksi itu service.exe kedeteksi sebagai malware backdoor.Bot.E.Generic

File service.exe kedeteksi malware backdoor.Bot.E.Generic pas timing waktu itu saja, setelah dia buka koneksi ip korea (walo gagal krn dicegah malwarebyte), lalu si service.exe melakukan delete code trojan backdoornya
Jadi aq ga bisa mendapatkan sampel trojan backdoor service.exe dalam keadaan itu file masih ada kode backdoor, karena prosesnya dia setelah dia melakukan koneksi, dia langsung delete source codenya, jd pas q scan ulang pake malwarebyte ya service.exenya clean.

Itu hanya terjadi di profile 1, sekarang aq lagi tes bikin profile 2 kayanya dia ga bisa menjangkiti profile 2. Profile 1 udah q delete.

Soalnya aq pernah tes kemarin 4 hari pakai profile 2 aman2 aja, ini q tes lagi pakai profile 2.
2 hari lalu aq sempet iseng pakai profile 1, beberapa jam langsung kena.
Feelingku ya profile 2 aman.

Coba cek ini file service.exe, apa ada kode yg memanfaatkan file lsass.exe??
Soalnya dia lewat file lsass.exe buat buka ip koreanya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 08, 2018, 02:53:44 PM
iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 08, 2018, 05:39:42 PM
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 09, 2018, 12:35:03 AM
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi
malwarebyteku auto karantinanya q setting off, ya ga akan bisa min, kan dia pas execute code buat jalanin proses buka ip korea setelah berhasil buka dia langsung delete codenya sendiri walopun aq ga mengkarantinanya. Misal auto karantina q ON-kan, pasti hasilnya tetap sama clean.

Itu yg di attachment malah yg file asli q ambil langsung pas dia muncul, q ambil dr folder windows.
Beda kalo ama kasus cracknya acdsee, mau discan brp kalipun ya tetep kedetect, ini yg bikin aplikasi backdoor pinter, dia ga langsung infeksi PC, stage 1 dia naruh service.exe dulu, stage 2 dia nyambung ke ip korea untuk download trojan2 lainnya. Pertengahan antara stage 1 ama stage 2 dia hancurin code diri sendiri biar ga kedetect  :'(
Dia sembunyi di menu service windows, tp aq ga tau di windows 7 buat edit setting service dibagian mana.

Tp ini dah 2 hari aq di profile 2 (profile 1 dah q delete) aman2 aja  :-\

Kalo sampai hari 3-4 tetap aman q anggap clear aja casenya, ga bisa nular ke profile lain dia-nya.
Mungkin dg dihapusnya profile 1, service yg ada di profile 1 (yg ada kode buat naruh service.exe)pun mungkin ikut kedelete, mudah2an saja.  :o

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.

Iya besok q coba instal pas udah mau offin pc
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 13, 2018, 02:50:26 PM
ketemu min, bootkit.Malmo.MBR
Dr dulu ga kedetect karena opsi scan rootkit di malwarebyte lupa saya centang, pas saya centang kedetect.

Ini malware gimana cara ilanginnya?
Dia ga nginfeksi profile 2/profile baru tp tetep kedeteksi

jadi kalo scan baisa tanpa centang scan rootkit ga kedeteksi, tp begitu q centang scan rootkit kedeteksi


Aq mau ngeclean tp takut error
Soalnya baca comment orang di: http://smadaver.com/konsultasi-virus/tanya-mbr-rootkit-apakah-berbahaya/

"Hal yang sama pernah aku alami seperti yang Agan tanyakan maka dari itu aku menduga kalau agan menggunakan Software tersebut. Tapi aku masih Ragu untuk memberikan solusinya sebab mungkin saja kondisinya berbeda. Sebab Virus MBR bila salah dalam penanganan nya akan berakibat fatal yaitu bisa hilangnya partisi yang ada. Untuk itu kalau tidak keberatan tolong Agan lampirkan :"
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 13, 2018, 03:03:24 PM
seperti ini kasusnya:
http://www.tomshardware.com/forum/id-3598301/removal-rootkit-mbr-malmoe.html

Cara remove yg aman bagaimana?

Aq lg download malwarebyte  anti rootkit tp blm berani clean takut HDD rusak

katanya di vol 0 dan 1 , vol 0 dan 1 itu kan drive 1 ama drive 2

screenshot attachment:
Disk 0= 1 terra itu disk keduaku drive i (hardisk kedua 1 partisi drive i)
Disk 1= 298GB itu drive C ama drive Dku (hardisk pertama dipartisi 2 bagian C dan D)

Gimana ya, itu bahaya ga si malmo? perlu diclean? tp windowsku baik2 aja, di profile 2 ini ga pernah muncul lagi proses notif ke ip korea

Kalo q scan malwarebyte tanpa centang opsi scan rootkit, clean, tp kalo centang scan rootkit ada ektemu si malmo 2 buah
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 13, 2018, 03:26:27 PM
Tapi min, pas q cek baca di link https://support.emsisoft.com/topic/26435-boot-virus-malmo-just-one-problem-out-of-many/

Katanya false positive

"This is an older MBR bootkit

\DosDevices\PhysicalDrive1     detected: Rootkit.MBR.Malmo.A (Boot image) (B) [krnl.xmd]
and is very likey a false positive based on what I can see in your logs.

Now, if it turned out to be a real false positive, the question of how I get rid of it by replacing the MBR raise tough questions for me:
"


Gimana ya, mau clean ga berani takut itu false positive

Dulu dipages belakang aq pernah kasih mimin log farbar, log gmer, katanya dicek mimin clean ga ada apa2 kan ya?
Bukannya harusnya kedetect dr gmer log kalo rootkit?








Nih q paste ulang log TDSSKiller dr page belakang, coba mimin cek clean ga??

log TDSSKiller di attachment

16:43:13.0906 0x0f10  Detected object count: 0
16:43:13.0906 0x0f10  Actual detected object count: 0
16:44:05.0240 0x09e0  Deinitialize success
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 13, 2018, 04:39:26 PM
Silahkan upload log hasil scand alam bentuk txt
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 13, 2018, 05:48:37 PM
Silahkan upload log hasil scand alam bentuk txt

tuh di attachment, di post atas td dah q edit q tambah lognya juga

Tuh q scan pakai malwarebyte antiroot juga clean

Menurut mimin apa? false alarm kah?

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 13, 2018, 10:11:32 PM
Maaf, tapi saya belum menemukan log MBAM yang mendeteksi MBR tersebut.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 14, 2018, 12:19:48 PM
Maaf, tapi saya belum menemukan log MBAM yang mendeteksi MBR tersebut.

log tdsskillernya juga clean, aq scan pakai malwarebyte anti rootkit juga clean

Berarti kesimpulannya ini false alarm malwarebyte ya?

Malwarebyte ama malwarebyte anti rootkit beda aplikasi
Malwarebyte= kedetect
Malwarebyte anti rootkit= clean
Log TDSSKiller= clean

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 14, 2018, 02:04:07 PM
Bisa lampirkan log hasil Scan Malwarebytes Anti Malware yang mendeteksi Bootkit tersebut?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 14, 2018, 08:00:46 PM
Bisa lampirkan log hasil Scan Malwarebytes Anti Malware yang mendeteksi Bootkit tersebut?

Nih:

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 12/14/18
Scan Time: 7:51 PM
Log File: 06c5a37a-ff9f-11e8-82d0-00ff3820cd7a.json
Administrator: Yes

-Software Information-
Version: 3.5.1.2522
Components Version: 1.0.365
Update Package Version: 1.0.8055
License: Premium

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: AzurLanePC\Yuudachi

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 232927
Threats Detected: 2
Threats Quarantined: 0
(No malicious items detected)
Time Elapsed: 5 min, 0 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 0
(No malicious items detected)

Physical Sector: 2
Bootkit.Malmo.MBR, 0, No Action By User, [15174], [514093],0.0.0
Bootkit.Malmo.MBR, 1, No Action By User, [15174], [514093],0.0.0

WMI: 0
(No malicious items detected)


(end)


Itu kalo scan rootkitnya q centang ya, kalo ga q centang ga detect apa2 alias clean.
Lalu q scan pake malwarebyte antirootkit beta (beda aplikasi ama malwarebyte yg tadi) juga clean
Gimana, apakah false alarm?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 14, 2018, 09:56:06 PM
False alarm atau tidak, harus pihak mawlarebytes yang tahu.. Agan bisa bertanya melalui forum.

Atau ane cek versi ane sendiri apakah ada virus MBR di dalam. Kalo ake, bisa kita mulai nanti
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 17, 2018, 12:53:05 AM
False alarm atau tidak, harus pihak mawlarebytes yang tahu.. Agan bisa bertanya melalui forum.

Atau ane cek versi ane sendiri apakah ada virus MBR di dalam. Kalo ake, bisa kita mulai nanti

caranya cek bagaimana? tapi ga membahayakan resiko HDD error kan prosesnya?

Kalo dr log aplikasi aswMBR, tdsskiller, gmer, hasilnya clean semua

Saya barusan bikin thread juga di forum malwarebyte= https://forums.malwarebytes.com/topic/240588-bootkitmalmombr-is-false-positive-or-not/
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 17, 2018, 10:20:32 PM
caranya cek bagaimana? tapi ga membahayakan resiko HDD error kan prosesnya?

Kalo dr log aplikasi aswMBR, tdsskiller, gmer, hasilnya clean semua

Saya barusan bikin thread juga di forum malwarebyte= https://forums.malwarebytes.com/topic/240588-bootkitmalmombr-is-false-positive-or-not/

Tunggu respon pihak Malwarebytes saja. Saya tidak mau melangkahi mereka. Tim mereka dilatih secara khusus, sedangkan Saya otodidak.

Jika ada yang kruang dari sana, baru aen bantu lagi.

Nantinya pasti akan diminta Scan dengan Farbar juga.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: descrates pada Desember 18, 2018, 05:25:52 AM
1. harusnya pas setelah install os backup dulu mbr pake hdhacker
2. coba ke repair mode - command prompt, ketik

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

3. kalo pengen gampang pake ubuntu livecd (menurut gw)

ubuntuhandbook.org/index.php/2013/08/repair-windows-mbr-from-ubuntu/

btw coba pake pc hunter dari xuetr.com, deteksinya gimana?
cuman hati-hati pakenya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 18, 2018, 09:58:47 AM
Tunggu respon pihak Malwarebytes saja. Saya tidak mau melangkahi mereka. Tim mereka dilatih secara khusus, sedangkan Saya otodidak.

Jika ada yang kruang dari sana, baru aen bantu lagi.

Nantinya pasti akan diminta Scan dengan Farbar juga.

ok, lg reply2an disana, tunggu aja hasilnya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 18, 2018, 10:18:23 PM
ok, lg reply2an disana, tunggu aja hasilnya

Saya juga sedang ikuti itu.. Seru juga.. Memang False Detect katanya.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 07:33:22 AM
Saya juga sedang ikuti itu.. Seru juga.. Memang False Detect katanya.

coba scan ini mbr.dat q upload sendspace https://www.sendspace.com/file/q598cf

kalo q scan ini hasilnya https://www.virustotal.com/#/file/d5d8b71a583b38512c6ec7e8d7e1e8328bf61737539c04db3b337429817066fb/detection

Beberapa antivirus deteksi malmo, tp antivir lain deteksinya clean termasuk malwarebyte
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 01:04:57 PM
coba scan ini mbr.dat q upload sendspace https://www.sendspace.com/file/q598cf

kalo q scan ini hasilnya https://www.virustotal.com/#/file/d5d8b71a583b38512c6ec7e8d7e1e8328bf61737539c04db3b337429817066fb/detection

Beberapa antivirus deteksi malmo, tp antivir lain deteksinya clean termasuk malwarebyte

Gw bingung sama pengajuan ente bro :o ;D
Yang ente lampirin file di forum malwarebytes SHA-256 hash beda ;D

ane cek pengajuan ente dari forum malwarebytes dua file tersebut beda ukuran ny..
(http://smadaver.com/konsultasi-virus/csrss-trojan-miner-folder-wmiappsrv/?action=dlattach;attach=16199)

Pengajuan file pertama ente:
SHA256: 495fb1bc36ab1fd80ef2eb4009dca850b554e733bca8f3ff6d056ddc3e3f0603
File name: MBR.dat
Detection ratio: 0 / 57
Analysis date: 2018-12-18 08:42:57 UTC ( 21 hours, 7 minutes ago )

Pangajuan file yang ke dua:
SHA256:   d5d8b71a583b38512c6ec7e8d7e1e8328bf61737539c04db3b337429817066fb
File name:   MBR.dat
Detection ratio:   19 / 58
Analysis date:   2018-12-18 23:46:04 UTC ( 6 hours, 22 minutes ago )

Pasti ada kesalah dari ente dalam memberikan informasi atau kesalahan dalam menjalankan tools ny. :D
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 01:09:24 PM
coba scan ini mbr.dat q upload sendspace https://www.sendspace.com/file/q598cf

kalo q scan ini hasilnya https://www.virustotal.com/#/file/d5d8b71a583b38512c6ec7e8d7e1e8328bf61737539c04db3b337429817066fb/detection

Beberapa antivirus deteksi malmo, tp antivir lain deteksinya clean termasuk malwarebyte

Jadi ceritanya gini, saya sekarang ada sample 2 buah MBR.DAT
MBR.DAT hasil scan pas masih profile 1 yg sekarang profile 1 udah q delete.
MBR.DAT hasil scan tadi pagi profile 2.

Dulu pas awal q bikin thread ini, kan pernah scan MBR.DAT juga, q tadi tes scan ke virustotal MBR.DAT pas di profile 1 clean. Lalu q taruh ke forum malwarebyte MBR.DAT yg lama itu, discan ama admin/momod disana clean.

Masalahnya baru sadar aq, aq scan ulang kan td dapat MBR.DAT baru, MBR.DAT yg baru ini kalo q scan rootkit centang ON malwarebyte kedetect malmo, discan IOBIT juga kedetect malmo(bukan qucik scan, tapi scan file satuan), discan virustotal kedetect malmo. Tapi q scan pake malwarebyte antirootkit beta clean (beda aplikasi ya malwarebytenya)

Simplenya gini:

MBR.DAT lama:
- scan virustotal = clean

MBR.DAT baru:
- scan virustotal= kedetect malmo disebagian antivirus, tp antivirus malwarebyte di virustotal clean (cek screenshot atas post ini).
- scan malwarebyte premium centang antirootkit= kedetect malmo
- scan malwarebyte premium tidak centang antirootkit= clean.
- scan malwarebyte antirootkit beta= clean
- scan IOBIT pakai quick scan+rootkit scan= PC clean di windows system ga ada apa2.
- scan IOBIT file satuan yg mbr.dat= kedetect malmo file satuan yg mbr.dat tersebut

Ga tau kenapa, ada perubahan deteksi di virustotal pas q pakai profile 1 ama sesudah aq pakai profile 2 (mbr.datnya beda, karena yg profile 2 aq scan ulang tadi pagi)

Jd saya minta tolong cek-kan sample MBR.DAT saya yg baru td pagi saya scan diatas yg link sendspace, coba selidiki itu bener rootkit apa bukan?

Saya sempet salah kasih file mbr.dat yg lama di forum malwarebyte, tp udah saya ralat disana saya udah post ulang file mbr.dat yg baru


 
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 01:13:49 PM
Gw bingung sama pengajuan ente bro :o ;D
Yang ente lampirin file di forum malwarebytes SHA-256 hash beda ;D

ane cek pengajuan ente dari forum malwarebytes dua file tersebut beda ukuran ny..
(http://smadaver.com/konsultasi-virus/csrss-trojan-miner-folder-wmiappsrv/?action=dlattach;attach=16199)

Pengajuan file pertama ente:
SHA256: 495fb1bc36ab1fd80ef2eb4009dca850b554e733bca8f3ff6d056ddc3e3f0603
File name: MBR.dat
Detection ratio: 0 / 57
Analysis date: 2018-12-18 08:42:57 UTC ( 21 hours, 7 minutes ago )

Pangajuan file yang ke dua:
SHA256:   d5d8b71a583b38512c6ec7e8d7e1e8328bf61737539c04db3b337429817066fb
File name:   MBR.dat
Detection ratio:   19 / 58
Analysis date:   2018-12-18 23:46:04 UTC ( 6 hours, 22 minutes ago )

Pasti ada kesalah dari ente dari memberi informasi atau menjalankan tools ny. :D

memang benar, ada kesalahan upload, tp udah q ralat disana, pakai yg sendspace mohon diteliti itu file, yg baru hasil scan td pagi yg disendspace

Itu yg pertama memang mbr.dat hasil scan tapi pas saya pake profile 1, sekarang profile 1 udah q delete, q scan ulang entah kenapa mbr.datnya kalo discan jadi berbeda,  coba baca post saya diatas post ini udah q jelasin kronologinya..

Yg mbr.dat lama itu pas awal2 aq bikin thread di smadav ini, kan disuruh ama admin upload sampe mbr.dat, pas itu memang clean mbr.dat, pikirku sama aja ama yg sekarang jd td pagi q uplaod ke forum malwarebyte.
Tp td pagi q baru kaget, q scan ulang mbr.dat lalu q scan di virustotal kok beda hasil, yg skrng kedetect malmo divirustotal

Catatan: gunakan sample mbr.dat yg dr link sendspace
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 01:14:55 PM
Nah kalo gitu ente ikutan saran ane dari awal scan dulu pakai eset kalo mau masalahnya clear sampel ente itu sudah di kenali antivirus jadi biarkan antivirus itu sendiri yang menangani virus tersebut. :)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 01:20:33 PM
Nah kalo gitu ente ikutan saran ane dari awal scan dulu pakai eset kalo mau masalahnya clear sampel ente itu sudah di kenali antivirus jadi biarkan antivirus itu sendiri yang menangani virus tersebut. :)

tapi sebagian antivirus yg deteksi aja min, takutku itu salah detect, kalo salah detect q repair, resiko partisiku rusak dataku ilang.

Kalo pake IOBIT quick scan+malwarebyte antirootkit beta kedetect sih aq bisa yakin 100%
Masalahnya  malwarebyte antirootkit beta ama IOBIT quick scan itu clean. (catatan= dalam quickscan IOBIT sudah termasuk scan rootkit di system windows)

Ini ga ada perilaku aneh2 di profile 2, dari muncul ip korea itu juga udah ga, proses yg naruh service.exe juga dah ga ada.
Jd masih ragu antara bener false positive ato beneran rootkit

malwarebyte kan bikin aplikasi berbeda, namanya malwarebyte antirootkit beta, aplikasinya terpisah dr malwarebyte premium, lha itu aja q update database terbaru clean kok hasil scannya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 01:30:11 PM
tapi sebagian antivirus yg deteksi aja min, takutku itu salah detect, kalo salah detect q repair, resiko partisiku rusak dataku ilang.

Kalo pake IOBIT quick scan+malwarebyte antirootkit beta kedetect sih aq bisa yakin 100%
Masalahnya  malwarebyte antirootkit beta ama IOBIT quick scan itu clean. (catatan= dalam quickscan IOBIT sudah termasuk scan rootkit di system windows)

Ini ga ada perilaku aneh2 di profile 2, dari muncul ip korea itu juga udah ga, proses yg naruh service.exe juga dah ga ada.
Jd masih ragu antara bener false positive ato beneran rootkit

malwarebyte kan bikin aplikasi berbeda, namanya malwarebyte antirootkit beta, aplikasinya terpisah dr malwarebyte premium, lha itu aja q update database terbaru clean kok hasil scannya
Solusinya Anda harus membuat cadangan :)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 01:48:54 PM
Solusinya Anda harus membuat cadangan :)

tunggu  Ki@mhu cek mbr.dat-ku dulu yg baru

MBR.DAT yang baru= https://www.sendspace.com/file/q598cf (scan tadi pagi)  :(

Ki@mhu minta tolong lagi, cek-kan mbr.dat saya yg ini + log attachment yang baru dibawah
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 03:30:54 PM
Nah kalo gitu ente ikutan saran ane dari awal scan dulu pakai eset kalo mau masalahnya clear sampel ente itu sudah di kenali antivirus jadi biarkan antivirus itu sendiri yang menangani virus tersebut. :)

Nih hasil scan esed, aq masih setting no clean takut ada apa2 ama hddku, kalo strict cleaning auto clean dia

Aq masih nunggu kabar dr forum malwarebyte dulu, ama nunggu kabar Ki@mhu dulu

@Ki@mhu cek post sebelumnya, q kasih diatatchment log Addition_19-12-2018 06.59.25.txt
ama FRST_19-12-2018 06.59.25.txt ama link sendspace sample mbr.datnya , menurut Ki@mhu gimana hasilnya/kesimpulannya?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 03:58:14 PM
Nih hasil scan esed, aq masih setting no clean takut ada apa2 ama hddku, kalo strict cleaning auto clean dia

Aq masih nunggu kabar dr forum malwarebyte dulu, ama nunggu kabar Ki@mhu dulu

@Ki@mhu cek post sebelumnya, q kasih diatatchment log Addition_19-12-2018 06.59.25.txt
ama FRST_19-12-2018 06.59.25.txt ama link sendspace sample mbr.datnya , menurut Ki@mhu gimana hasilnya/kesimpulannya?

Tes clean pakai esed, sample mbr.dat aq pindahin ke folder lain, lalu q clean pakai esed, hasilnya filenya dihilangkan semua ama esed bukannya direpair....
Ini kalo q clean yg td pakai esed ada resiko partisiku rusak, lha tes clean aja 1 file dihapus semua ama esed  :(

Kalo backup semua data makan waktu.., soalnya yg kedetect 2 drive.
Aq agak kesulitan kalo harus backup 1 terra, mungkin kalo tar dah dijawab di forum malwarebyte, misalkan harus clean, aq cleannya yg drive C dulu buat tes partisi rusak ga

Tapi kok aneh.., 2 buah aplikasi malwarebyte, malwarebyte premium dan malwarebyte antirootkit beta, masa bisa beda hasil scan satunya yg premium deteksi, yg satunya si antirootkit beta malah anggap clean.

Ditambah lagi ada satu link forum yg adminnya bilang itu false deteksi, katanya itu cuma bootkit lama/old, coba baca post belakang2 aq dah kasih linknya yg bilang false detect..
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 04:33:17 PM
Tes clean pakai esed, sample mbr.dat aq pindahin ke folder lain, lalu q clean pakai esed, hasilnya filenya dihilangkan semua ama esed bukannya direpair....
Ini kalo q clean yg td pakai esed ada resiko partisiku rusak, lha tes clean aja 1 file dihapus semua ama esed  :(

Kalo backup semua data makan waktu.., soalnya yg kedetect 2 drive.
Aq agak kesulitan kalo harus backup 1 terra, mungkin kalo tar dah dijawab di forum malwarebyte, misalkan harus clean, aq cleannya yg drive C dulu buat tes partisi rusak ga

Tapi kok aneh.., 2 buah aplikasi malwarebyte, malwarebyte premium dan malwarebyte antirootkit beta, masa bisa beda hasil scan satunya yg premium deteksi, yg satunya si antirootkit beta malah anggap clean.

Ditambah lagi ada satu link forum yg adminnya bilang itu false deteksi, katanya itu cuma bootkit lama/old, coba baca post belakang2 aq dah kasih linknya yg bilang false detect..

Panduan memperbaiki mbr yg sudah di clean eset: LINK (https://neosmart.net/wiki/fix-mbr/)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 05:29:00 PM
Panduan memperbaiki mbr yg sudah di clean eset: LINK (https://neosmart.net/wiki/fix-mbr/)

orang di forum malwarebytenya aja ga bisa cek, cuma kasih jawaban ga bisa dibuka di pcnya krn kena flag malicious

Takutnya false positive, kalo mau repair MBR harus bikin dvd bootable dulu https://neosmart.net/wiki/fix-mbr/ pakai  Easy Recovery Essentials for Windows

If the above instructions did not work for you, you should give our Windows recovery disks a try.

Easy Recovery Essentials for Windows was developed as a one-click bootable repair CD that will automated all the above steps and more.

Download Easy Recovery Essentials

Easy Recovery Essentials (EasyRE) will:

Check for and correct partition configuration problems
Correct errors in the UEFI/EFI firmware configuration
Remove bootsector viruses prevent Windows from starting
Reinstall the MBR and bootsector
Recreate all bootloader files from scratch
Correctly configure NTLDR and BOOTMGR to boot into Windows
Configure Windows to work correctly with any partition/bootloader changes that were made
The entire EasyRE repair process is fully automated, and really is just point-and-click.

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 05:37:13 PM
https://neosmart.net/EasyRE/

ini kan dibikin iso dulu lalu diburn ke dvd tp yg bootable

Cara bikin iso jadi bootable gimana ya?

Aq baca di https://neosmart.net/wiki/recovering-windows-bootloader/ ga ada caranya cara burn dvd jadi bootable

Update:
Ternyata easy recovery essensial harus bayar, sad lah

Ga ada link easy recovery essensial yg free ya min?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 05:47:33 PM
Cara bikin iso jadi bootable gimana ya?
Pakai RUFUS (https://rufus.ie/id_ID.html) gan. :)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 06:00:55 PM
https://neosmart.net/EasyRE/

ini kan dibikin iso dulu lalu diburn ke dvd tp yg bootable

Cara bikin iso jadi bootable gimana ya?

Aq baca di https://neosmart.net/wiki/recovering-windows-bootloader/ ga ada caranya cara burn dvd jadi bootable

Update:
Ternyata easy recovery essensial harus bayar, sad lah

Ga ada link easy recovery essensial yg free ya min?
Perbaiki secara manual ya gan di link sudah di sertakan tutor ny secara lengkap. :)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 19, 2018, 06:05:45 PM
Pakai RUFUS (https://rufus.ie/id_ID.html) gan. :)

Rufus itu buat bikin bootablenya ato buat fix MBRnya?

kalo rufus aq ada softwarenya

Ini buat bikin bootablenya aja kayanya ya

ISOnya ga bisa didownload, td harus bayar....

Ada software buat fix MBR yg free ga?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 06:25:26 PM
Rufus itu buat bikin bootablenya ato buat fix MBRnya?
Buat bootable Windows dll untuk fix agan harus manual dan sudah di jelaskan secara lengkap disana.

Kutip
ISOnya ga bisa didownload, td harus bayar....

Ada software buat fix MBR yg free ga?
Buat apa anda download iso?  :o
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 19, 2018, 06:30:22 PM
Jangan lupa clean dulu virusnya selanjutnya baru agan perbaiki mbr ny. :)

FREE MBR Repair Tool: LINK (https://www.easeus.com/partition-manager-software/free-mbr-repair-tool.html)
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 19, 2018, 10:08:27 PM
Maaf sedang sibuk, akan saya balas secepatnya
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 19, 2018, 10:59:08 PM
(https://sites.google.com/site/cannedfixes/farbar-recovery-scan-tool/FRST.gif) Scan dengan Farbar Recovery Scan Tool (Pada Mode Recovery)

Anda butuh sebuah FlashDisk di sini. Copy pastekan FRST.exe/FRST64.exe yang di Desktop ke FlashDisk Anda. Jangan dimasukkan ke dalam folder lagi. Langsung persis di dalam FlashDisk itu. Pastikan FlashDisk tetap tercolok sebelum menuju langkah berikutnya.

Masuk ke Mode Command Prompt di Recovery Environment dengan cara ini:
Pada Command Prompt:
Kemudian boot ke mode normal. Upload FRST.txt yang ada di dalam FlashDisk ini ke Send Space (http://sendspace.com) dan kirim linknya kemari.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 20, 2018, 06:26:06 AM
(https://sites.google.com/site/cannedfixes/farbar-recovery-scan-tool/FRST.gif) Scan dengan Farbar Recovery Scan Tool (Pada Mode Recovery)

Anda butuh sebuah FlashDisk di sini. Copy pastekan FRST.exe/FRST64.exe yang di Desktop ke FlashDisk Anda. Jangan dimasukkan ke dalam folder lagi. Langsung persis di dalam FlashDisk itu. Pastikan FlashDisk tetap tercolok sebelum menuju langkah berikutnya.

Masuk ke Mode Command Prompt di Recovery Environment dengan cara ini:
  • Pada Windows 7, begitu nyalakan komputer, tekan f8 berulang-ulang sampai muncul BlackScreen, pilih Repair Your Computer, Command Prompt.
  • Pada Windows 8: http://www.bleepingcomputer.com/tutorials/windows-8-recovery-environment-command-prompt/ (http://www.bleepingcomputer.com/tutorials/windows-8-recovery-environment-command-prompt/)
  • Pada Windows 10: https://kask.us/ivd03 (https://kask.us/ivd03)
Pada Command Prompt:
  • Pada jendela Command Prompt, ketik notepad and tekan Enter.
  • Setelah Notepad terbuka, klik menu File, pilih Save.
  • Ubah Save as type menjadi All Files.

    (https://i62.servimg.com/u/f62/17/11/92/75/-2018-14.jpg)

  • Pilih "Computer/This PC" dan temukan huruf Drive FlashDisk Anda (E, F, G, dstnya). Tutup Notepad setelahnya.
  • Kembali pada jendela Command Prompt, ketik e:\frst (pada sistem 32 bit) atau e:\frst64 (pada sistem 64 bit) dan tekan Enter
    Note:
    Ganti huruf e dengan huruf Drive FlashDisk Anda.
  • Farbar akan mulai dijalankan.
  • Klik Yes.
  • Perhatikan bahwa pada Mode Recovery, tidak terdapat kolom centangan Addition.txt. Jika masih ada, berarti Anda belum menjalankan dari Mode Recovery, jadi masih salah.
  • Tekan tombol Scan.
  • Akan dihasilkan satu log saja (FRST.txt) pada FlashDisk, tidak ada Addition.txt.
Kemudian boot ke mode normal. Upload FRST.txt yang ada di dalam FlashDisk ini ke Send Space (http://sendspace.com) dan kirim linknya kemari.

itu proses masih tahap scan ya?

mau tanya, di post belakang saya kasih mbr.dat, yg ini https://www.sendspace.com/file/q598cf mbr.dat yg ini udah dicek? ini trojan apa false detect?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 20, 2018, 09:18:01 AM
Ane tidak dibekali kemampuan untuk mengecek MBR scr lgsg.

Yang ane lakukan adalah memastikan agan tidak kehilangan data, ketika MBR diperbaiki.

Lagipula, ada virus yang bisa memanipulasi MBR sehingga tetap aman ketika dicek. Baiknya cek MBR di saat windows tidak aktif.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 20, 2018, 01:55:18 PM
Ane tidak dibekali kemampuan untuk mengecek MBR scr lgsg.

Yang ane lakukan adalah memastikan agan tidak kehilangan data, ketika MBR diperbaiki.

Lagipula, ada virus yang bisa memanipulasi MBR sehingga tetap aman ketika dicek. Baiknya cek MBR di saat windows tidak aktif.
Ok, nti cari flashdisk dulu
First boot ga usah diganti dr flashdisk kan?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 20, 2018, 05:12:06 PM
Mau nambah perbedaan log antara malwarebyte premium sama malwarebyte antirootkit beta, beda aplikasi bisa beda hasil scan:

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2018.12.20.03
  rootkit: v2018.12.20.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Yuudachi :: AZURLANEPC [administrator]

12/20/2018 4:44:42 PM
mbar-log-2018-12-20 (16-44-42).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 178100
Time elapsed: 5 minute(s), 39 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

 

Log Malwarebyte premium:

LOG SCAN MALWAREBYTE PREMIUM 3.5.1

-Log Details-
Scan Date: 12/14/18
Scan Time: 7:51 PM
Log File: 06c5a37a-ff9f-11e8-82d0-00ff3820cd7a.json
Administrator: Yes

-Software Information-
Version: 3.5.1.2522
Components Version: 1.0.365
Update Package Version: 1.0.8055
License: Premium

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: AzurLanePC\Yuudachi

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 232927
Threats Detected: 2
Threats Quarantined: 0
(No malicious items detected)
Time Elapsed: 5 min, 0 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 0
(No malicious items detected)

Physical Sector: 2
Bootkit.Malmo.MBR, 0, No Action By User, [15174], [514093],0.0.0
Bootkit.Malmo.MBR, 1, No Action By User, [15174], [514093],0.0.0

WMI: 0
(No malicious items detected)


(end)


Ini yg scan recovery pakai farbar, flashdisk ada isi data lain gpp kan ya? bukan flashdisk kosong
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 20, 2018, 06:15:34 PM
Iya, isi data tidak apa2.
Btw, sistem Anda masih terinstall deep freeze?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 20, 2018, 07:10:39 PM
Iya, isi data tidak apa2.
Btw, sistem Anda masih terinstall deep freeze?

masih, q matiin kalo pas mulai proses fix, kan ini tar masih proses scan, ga perlu dimatikan dulu

Tp ini ga ada perilaku mencurigakan, aman2 aja, ini jg lg backup semua data ke hdd external 1 terra

Ini HDDku ada 2, kalo aq ikuti langkah2 diatas tadi pas recovery scan, dia scan kedua HDDku juga kan ya? ga hanya HDD pertama?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 10:19:59 AM
yg kemarin scan pakai aswMBR ga pakai download database avast, pagi ini q tes scan ulang pakai database avast:

Hasilnya:
aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2018-12-21 09:56:48
-----------------------------
09:56:48.951    OS Version: Windows x64 6.1.7601 Service Pack 1
09:56:48.951    Number of processors: 4 586 0x2A07
09:56:48.951    ComputerName: AZURLANEPC  UserName: Yuudachi
09:56:49.665    Initialize success
09:56:49.727    VM: initialized successfully
09:56:49.728    VM: Intel CPU supported
09:56:52.499    VM: supported disk I/O ataport.SYS
10:02:52.119    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
10:02:52.123    Disk 0 Vendor: ST1000DM010-2EP102 CC43 Size: 953869MB BusType: 3
10:02:52.126    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1
10:02:52.128    Disk 1 Vendor: ST3320310CS ES11 Size: 305245MB BusType: 3
10:02:52.251    VM: Disk 1 MBR read successfully
10:02:52.254    Disk 1 MBR scan
10:02:52.257    Disk 1 unknown MBR code
10:02:52.262    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
10:02:52.268    Disk 1 default boot code
10:02:52.272    Disk 1 Partition 2 00     07    HPFS/NTFS NTFS        72000 MB offset 206848
10:02:52.287    Disk 1 Partition 3 00     07    HPFS/NTFS NTFS       233143 MB offset 147662848
10:02:52.412    Disk 1 scanning C:\Windows\system32\drivers
10:03:00.649    Service scanning
10:03:27.738    Modules scanning
10:03:27.745    Disk 1 trace - called modules:
10:03:27.804    ntoskrnl.exe CLASSPNP.SYS disk.sys DfDiskLow.sys ACPI.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys
10:03:27.809    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8005ff5060]
10:03:27.813    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa8005e798e0]
10:03:27.818    5 DfDiskLow.sys[fffff880016371c9] -> nt!IofCallDriver -> [0xfffffa8005979580]
10:03:27.822    7 ACPI.sys[fffff88000d697a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa800597b060]
10:03:27.826    \Driver\atapi[0xfffffa80058dec10] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> DfDiskLow.sys[0xfffff88001631318]
10:03:27.831    Disk 1 statistics 101970/0/0 @ 9.31 MB/s
10:03:27.835    Scan finished successfully
10:04:40.099    Disk 1 MBR has been saved successfully to "C:\Users\Yuudachi\Downloads\MBR.dat"
10:04:40.104    The log file has been saved successfully to "C:\Users\Yuudachi\Downloads\aswMBR 21 december.txt"


Kalo fix mbr pake asw mbr bikin error HDD ga? ada tombol fix mbr tapi ga berani q klik

Yg proses scan recovery mode belum, habis ini q cek

Aq baca di forum ini https://forum.avast.com/index.php?topic=77385.0
"Actually this fixmbr button just replaces your mbr with a copy
You can press this button by default"



Dari https://www.techsupportalert.com/content/aswmbr.htm
"Normally one would have to boot to a Windows XP disc or Windows 7 recovery disc to perform this command but aswMBR has a built in ‘FixMBR’ button that with one click will write a new Master Boot Record which is often necessary in the removal of rootkits. This is very useful as you may not always have a Windows disc on hand in the field. I keep this on my USB drive at all times."

Misalnya besok2 aq kepaksa fix mbr, fixnya pakai tombol fix di aswmbr bisa ya?
Apakah tombol fix di aswMBR hanya akan memfix 1 HDD? sedangkan HDDku ada 2

Lalu itu hasil scan diattachment ada tulisan warna kuning gpp?

Tulisan kuning di "10:03:27.826    \Driver\atapi[0xfffffa80058dec10] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> DfDiskLow.sys[0xfffff88001631318]"

Tapi kalo q cek df sepertinya kepanjangan dr driver deep freeze

Td q cek videonya di https://www.youtube.com/watch?v=ZtBGz7YsRtI
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 11:54:51 AM
yg kemarin scan pakai aswMBR ga pakai download database avast, pagi ini q tes scan ulang pakai database avast:

Hasilnya:
aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2018-12-21 09:56:48
-----------------------------
09:56:48.951    OS Version: Windows x64 6.1.7601 Service Pack 1
09:56:48.951    Number of processors: 4 586 0x2A07
09:56:48.951    ComputerName: AZURLANEPC  UserName: Yuudachi
09:56:49.665    Initialize success
09:56:49.727    VM: initialized successfully
09:56:49.728    VM: Intel CPU supported
09:56:52.499    VM: supported disk I/O ataport.SYS
10:02:52.119    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
10:02:52.123    Disk 0 Vendor: ST1000DM010-2EP102 CC43 Size: 953869MB BusType: 3
10:02:52.126    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1
10:02:52.128    Disk 1 Vendor: ST3320310CS ES11 Size: 305245MB BusType: 3
10:02:52.251    VM: Disk 1 MBR read successfully
10:02:52.254    Disk 1 MBR scan
10:02:52.257    Disk 1 unknown MBR code
10:02:52.262    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
10:02:52.268    Disk 1 default boot code
10:02:52.272    Disk 1 Partition 2 00     07    HPFS/NTFS NTFS        72000 MB offset 206848
10:02:52.287    Disk 1 Partition 3 00     07    HPFS/NTFS NTFS       233143 MB offset 147662848
10:02:52.412    Disk 1 scanning C:\Windows\system32\drivers
10:03:00.649    Service scanning
10:03:27.738    Modules scanning
10:03:27.745    Disk 1 trace - called modules:
10:03:27.804    ntoskrnl.exe CLASSPNP.SYS disk.sys DfDiskLow.sys ACPI.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys
10:03:27.809    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8005ff5060]
10:03:27.813    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa8005e798e0]
10:03:27.818    5 DfDiskLow.sys[fffff880016371c9] -> nt!IofCallDriver -> [0xfffffa8005979580]
10:03:27.822    7 ACPI.sys[fffff88000d697a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa800597b060]
10:03:27.826    \Driver\atapi[0xfffffa80058dec10] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> DfDiskLow.sys[0xfffff88001631318]
10:03:27.831    Disk 1 statistics 101970/0/0 @ 9.31 MB/s
10:03:27.835    Scan finished successfully
10:04:40.099    Disk 1 MBR has been saved successfully to "C:\Users\Yuudachi\Downloads\MBR.dat"
10:04:40.104    The log file has been saved successfully to "C:\Users\Yuudachi\Downloads\aswMBR 21 december.txt"


Kalo fix mbr pake asw mbr bikin error HDD ga? ada tombol fix mbr tapi ga berani q klik

Yg proses scan recovery mode belum, habis ini q cek

Aq baca di forum ini https://forum.avast.com/index.php?topic=77385.0
"Actually this fixmbr button just replaces your mbr with a copy
You can press this button by default"



Dari https://www.techsupportalert.com/content/aswmbr.htm
"Normally one would have to boot to a Windows XP disc or Windows 7 recovery disc to perform this command but aswMBR has a built in ‘FixMBR’ button that with one click will write a new Master Boot Record which is often necessary in the removal of rootkits. This is very useful as you may not always have a Windows disc on hand in the field. I keep this on my USB drive at all times."

Misalnya besok2 aq kepaksa fix mbr, fixnya pakai tombol fix di aswmbr bisa ya?
Apakah tombol fix di aswMBR hanya akan memfix 1 HDD? sedangkan HDDku ada 2

Lalu itu hasil scan diattachment ada tulisan warna kuning gpp?

Tulisan kuning di "10:03:27.826    \Driver\atapi[0xfffffa80058dec10] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> DfDiskLow.sys[0xfffff88001631318]"

Tapi kalo q cek df sepertinya kepanjangan dr driver deep freeze

Td q cek videonya di https://www.youtube.com/watch?v=ZtBGz7YsRtI

Dah nih, barusan q scan di recovery mode
Penjelasan screenshot attachment:

1. hurup drivenya berubah.jpg

Ini kenapa hurup urutan driveku padaberubah ya?
C: drive 2 yg 1 terra (HDD 2)
D: system reserved
E: 41GB ini harusnya drive C di my computer  (ini harusnya drive system windows/HDD1)
F: 227GB ini harusnya drive D di my computer (bagian partisi dari HDD1)

Normalnya di my computer:
C: drive system folder windows HDD 1
D: 227GB partisi dari HDD1
I: 1 terra HDD 2 tanpa partisi

Pas q cek dr recovery mode urutan drive pada berubah

2. diskmanagementluci.jpg
Biar ga bingung aja. ini screenshot disk managementku
Disk 0 itu yg HDD 2 1 terra, drive i
Disk 1 itu malah yg sistem windows, q partisi jadi drive C dan drive D



3. save ke flash disk.jpg
Pas buka notepad save ke flashdisk, flashdiskku berubah bukan di drive E tapi drive H

4. ga ada addition.jpg
Ini screenshot ga ada pilihan addition, berarti dah benar.

5. error apaan ni.jpg
Ini pas scan awal2 error, tulisannya "There is no disk in the drive. Please insert a disk into drive \Device\Harddisk3\DR3."
Nah pas error itu q tekan continue2 aja, lalu proses scan berlanjut sendiri.

6. sukses scan.jpg
Scan selesei, lalu q save FRST.txt ke flashdisk

FRSTnya ada di attachment

Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 11:55:42 AM
copas log frst recovery mode:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15.11.2018
Ran by SYSTEM on MININT-61E902C (21-12-2018 11:08:11)
Running from h:\
Platform: Windows 7 Ultimate Service Pack 1 (X64) Language: English (United States)
Internet Explorer Version 8
Boot Mode: Recovery
Default: ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.

Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Whitelisted) ===========================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13662936 2013-10-23] (Realtek Semiconductor)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [446392 2012-04-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SMΔRT-Protection] => C:\Program Files (x86)\Smadav\SMΔRTP.exe [1814528 2017-05-16] (Smadsoft)
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-01-21] (Microsoft Corporation)
HKLM-x32\...\Run: [SwitchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-18] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS6ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe [1073312 2012-03-09] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [676608 2013-08-29] (Advanced Micro Devices, Inc.)
Winlogon\Notify\DfLogon: LogonDll.dll [X]
HKU\Yuudachi\...\Run: [OPENVPN-GUI] => C:\Program Files\OpenVPN\bin\openvpn-gui.exe [638592 2017-07-14] ()
HKU\Yuudachi\...\Run: [SandboxieControl] => C:\Program Files\Sandboxie\SbieCtrl.exe [3682968 2018-03-08] (Sandboxie Holdings, LLC)
HKU\Yuudachi\...\Policies\Explorer: [DisallowRun] 1
HKU\Yuudachi\...\Policies\Explorer\DisallowRun: [1] Mshta.exe
HKU\Yuudachi\...\Policies\Explorer\DisallowRun: [2] powershell.exe
HKU\Yuudachi\...\Policies\Explorer\DisallowRun: [3] bitsadmin.exe
BootExecute: autocheck autochk /k:C /k:D /k:I *
GroupPolicy\User: Restriction ? <==== ATTENTION

==================== Services (Whitelisted) ====================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S2 CDROM_Detect; C:\Program Files\4G LTE Wingle\4G_Server.exe [327680 2016-09-23] ()
S2 DFServ; C:\Program Files (x86)\Faronics\Deep Freeze\Install C-0\DFServ.exe [1096704 2012-07-16] (Faronics Corporation)
S2 GlassWire; C:\Program Files (x86)\GlassWire\GWCtlSrv.exe [4420048 2017-08-29] (SecureMix LLC)
S2 IMFservice; C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFsrv.exe [2346256 2018-08-19] (IObit)
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [828376 2013-08-26] (Intel(R) Corporation)
S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-09-15] (Intel Corporation)
S3 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6541008 2018-05-02] (Malwarebytes)
S2 MyPublicWiFiService; C:\Program Files (x86)\MyPublicWiFi\PublicWiFiService.exe [756224 2013-04-02] ()
S3 OpenVPNService; C:\Program Files\OpenVPN\bin\openvpnserv2.exe [15872 2016-11-24] ( )
S2 OpenVPNServiceInteractive; C:\Program Files\OpenVPN\bin\openvpnserv.exe [72832 2017-07-14] (The OpenVPN Project)
S3 OpenVPNServiceLegacy; C:\Program Files\OpenVPN\bin\openvpnserv.exe [72832 2017-07-14] (The OpenVPN Project)
S2 SbieSvc; C:\Program Files\Sandboxie\SbieSvc.exe [328344 2018-03-09] (Sandboxie Holdings, LLC)
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-13] (Microsoft Corporation)
S2 QMEmulatorService; "D:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe" [X]

===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S3 CT_QUALCOMM_U_drv; C:\Windows\System32\DRIVERS\CT_QUALCOMM_U_drv.sys [118016 2009-04-27] (QUALCOMM Incorporated)
S3 ddmdrv; C:\Windows\system32\ddmdrv.sys [15288 2011-06-15] ()
S3 ddmdrv; C:\Windows\SysWOW64\ddmdrv.sys [12728 2011-06-15] ()
S0 DeepFrz; C:\Windows\System32\Drivers\DeepFrz.sys [214744 2012-07-16] (Faronics Corporation)
S0 DfDiskLow; C:\Windows\System32\Drivers\DfDiskLow.sys [38232 2012-07-16] (Faronics Corporation)
S1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [152184 2018-04-25] (Malwarebytes)
S1 gwdrv; C:\Windows\System32\DRIVERS\gwdrv.sys [33248 2015-05-28] (SecureMix LLC)
S2 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [185448 2018-05-01] (BitDefender LLC)
S1 IMFCameraProtect; C:\Windows\system32\drivers\IMFCameraProtect.sys [26272 2018-03-20] (IObit.com)
S3 IMFDownProtect; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFDownProtect.sys [21360 2018-08-14] (IObit.com)
S4 IMFFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [22440 2018-03-20] (IObit)
S3 IMFForceDelete; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFForceDelete.sys [16216 2018-03-20] (IObit.com)
S1 IMFMBRProtect; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFMBRProtect.sys [23976 2018-08-12] (IObit.com)
S1 IMFSafeBox; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFSafeBox.sys [33240 2018-07-09] (IObit.com)
S3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [112864 2018-12-16] (Malwarebytes)
S3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [44768 2018-12-16] (Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253664 2018-12-16] (Malwarebytes)
S3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [94328 2018-12-16] (Malwarebytes)
S3 MEIx64; C:\Windows\System32\DRIVERS\TeeDriverx64.sys [99288 2013-09-15] (Intel Corporation)
S1 ndiskhaz; C:\Windows\System32\DRIVERS\ndiskhaz.sys [30536 2012-12-06] (Khalil Azzouzi)
S3 netr28ux; C:\Windows\System32\DRIVERS\netr28ux.sys [2212496 2015-10-09] (MediaTek Inc.)
S3 RegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [34752 2018-03-20] (IObit.com)
S3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [228208 2018-03-08] (Sandboxie Holdings, LLC)
S3 Trufos; C:\Windows\System32\DRIVERS\TRUFOS.sys [464808 2018-04-22] (BitDefender S.R.L.)
S1 YSDrv; C:\Program Files (x86)\Bignox\BigNoxVM\RT\YSDrv.sys [310536 2018-07-16] (BigNox Corporation)
S2 aow_drv; \??\D:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [X]
S1 NemuDrv; \??\I:\mumu ro\emulator\nemu\Hypervisor\NemuDrv.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== One Month Created files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2018-12-21 11:07 - 2018-12-21 11:08 - 000000000 ____D C:\FRST
2018-12-16 19:16 - 2018-12-16 19:16 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\Google
2018-12-16 10:14 - 2018-11-26 00:22 - 000001594 _____ C:\aswMBR luci.txt
2018-12-16 09:30 - 2018-12-16 09:30 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\GlassWire
2018-12-16 09:28 - 2018-12-16 09:28 - 000000000 ____D C:\Users\Yuudachi\Documents\MuMu shared folder
2018-12-16 09:28 - 2018-12-16 09:28 - 000000000 ____D C:\Users\Yuudachi\.android
2018-12-16 09:27 - 2018-12-16 19:28 - 000000000 ____D C:\Users\Yuudachi\.NEMU
2018-12-16 09:27 - 2018-12-16 09:27 - 000000911 _____ C:\Users\Public\Desktop\MuMu模拟器.lnk
2018-12-16 09:27 - 2018-07-12 02:11 - 000000896 _____ C:\Users\Yuudachi\Desktop\Sandboxed Web Browser.lnk
2018-12-16 09:26 - 2018-12-16 19:28 - 000000000 ____D C:\Users\Public\Documents\MuMu Files
2018-12-16 09:26 - 2018-12-16 09:26 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\CrashRpt
2018-12-16 09:24 - 2018-12-16 09:24 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\Opera Software
2018-12-16 09:24 - 2018-12-16 09:24 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\Opera Software
2018-12-16 09:23 - 2018-12-16 15:31 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\4G LTE Wingle
2018-12-16 09:23 - 2018-12-16 09:23 - 000253664 _____ (Malwarebytes) C:\Windows\System32\Drivers\mbamswissarmy.sys
2018-12-16 09:23 - 2018-12-16 09:23 - 000112864 _____ (Malwarebytes) C:\Windows\System32\Drivers\farflt.sys
2018-12-16 09:23 - 2018-12-16 09:23 - 000094328 _____ (Malwarebytes) C:\Windows\System32\Drivers\mwac.sys
2018-12-16 09:23 - 2018-12-16 09:23 - 000044768 _____ (Malwarebytes) C:\Windows\System32\Drivers\mbam.sys
2018-12-15 11:36 - 2018-12-15 11:36 - 000001364 _____ C:\Users\Yuudachi\Desktop\NemuPlayer.lnk
2018-12-05 21:22 - 2018-12-05 21:22 - 000001055 _____ C:\Users\Yuudachi\Desktop\Closers Online.lnk
2018-12-05 21:22 - 2018-12-05 21:22 - 000000741 _____ C:\Users\Yuudachi\Desktop\Game Online.lnk
2018-12-05 20:20 - 2018-12-05 20:20 - 000001055 _____ C:\Users\Yuudachi\Desktop\networx.lnk
2018-12-05 20:18 - 2018-12-05 20:18 - 000000000 ____D C:\ProgramData\ATI
2018-12-05 20:16 - 2018-12-05 20:16 - 000001005 _____ C:\Users\Yuudachi\Desktop\MyPublicWiFi.lnk
2018-12-05 20:16 - 2018-12-05 20:16 - 000000915 _____ C:\Users\Yuudachi\Desktop\Sandboxie Control.lnk
2018-12-05 20:16 - 2018-12-05 20:16 - 000000896 _____ C:\Users\Yuudachi\Desktop\Sandboxie.lnk
2018-12-05 20:15 - 2018-12-05 20:15 - 000001094 _____ C:\Users\Yuudachi\Desktop\SMADAV.lnk
2018-12-05 20:15 - 2018-12-05 20:15 - 000000846 _____ C:\Users\Yuudachi\Desktop\Tencent Gaming Buddy.lnk
2018-12-05 20:14 - 2018-12-05 20:14 - 000001033 _____ C:\Users\Yuudachi\Desktop\Lost Saga.lnk
2018-12-05 20:14 - 2018-12-05 20:14 - 000001016 _____ C:\Users\Yuudachi\Desktop\Crossfire.lnk
2018-12-05 20:14 - 2018-12-05 20:14 - 000001011 _____ C:\Users\Yuudachi\Desktop\Dragon Nest.lnk
2018-12-05 20:14 - 2018-12-05 20:14 - 000000972 _____ C:\Users\Yuudachi\Desktop\WoW.lnk
2018-12-05 20:14 - 2018-12-05 20:14 - 000000934 _____ C:\Users\Yuudachi\Desktop\WoT.lnk
2018-12-05 20:13 - 2018-12-05 20:13 - 000000000 ____D C:\Program Files (x86)\AMD AVT
2018-12-05 20:11 - 2018-12-05 20:11 - 000000000 ____D C:\Program Files (x86)\ATI Technologies
2018-12-05 20:10 - 2018-12-05 20:13 - 000000000 ____D C:\Program Files\ATI Technologies
2018-12-05 19:59 - 2018-12-05 19:59 - 000158672 _____ C:\Users\Yuudachi\AppData\Local\GDIPFONTCACHEV1.DAT
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\OpenVPN
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\TP-LINK
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\Smadav
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\ATI
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\Adobe
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\Google
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\ATI
2018-12-05 19:58 - 2018-12-05 19:58 - 000000000 ____D C:\Users\Yuudachi\AppData\Local\Adobe
2018-12-05 19:57 - 2018-12-16 15:17 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\IObit
2018-12-05 19:57 - 2018-12-16 09:28 - 000000000 ____D C:\users\Yuudachi
2018-12-05 19:57 - 2018-12-05 19:57 - 000000436 __RSH C:\Users\Yuudachi\ntuser.pol
2018-12-05 19:57 - 2018-12-05 19:57 - 000000020 ___SH C:\Users\Yuudachi\ntuser.ini
2018-12-05 19:57 - 2018-12-05 19:57 - 000000000 ____D C:\Users\Yuudachi\AppData\LocalLow\IObit
2018-12-05 19:57 - 2010-11-20 23:16 - 000000000 ____D C:\Users\Yuudachi\AppData\Roaming\Media Center Programs
2018-12-05 06:54 - 2018-12-05 06:54 - 000001905 _____ C:\Users\Public\Desktop\GlassWire.lnk
2018-12-05 06:54 - 2018-12-05 06:54 - 000000000 ____D C:\ProgramData\GlassWire
2018-12-05 06:54 - 2018-12-05 06:54 - 000000000 ____D C:\Program Files (x86)\GlassWire
2018-12-05 06:54 - 2015-05-28 20:30 - 000008657 _____ C:\Windows\System32\Drivers\gwdrv.cat
2018-12-05 06:54 - 2015-05-28 20:15 - 000033248 _____ (SecureMix LLC) C:\Windows\System32\Drivers\gwdrv.sys
2018-11-28 01:45 - 2018-11-28 01:45 - 000000000 ____D C:\Windows\System32\appmgmt
2018-11-28 01:42 - 2018-11-28 01:44 - 000609882 _____ C:\TDSSKiller.3.1.0.20_28.11.2018_16.42.07_log.txt
2018-11-28 01:40 - 2018-11-28 01:41 - 000005908 _____ C:\TDSSKiller.3.1.0.20_28.11.2018_16.40.28_log.txt
2018-11-28 01:40 - 2018-11-28 00:12 - 005064592 _____ (AO Kaspersky Lab) C:\tdsskiller.exe

==================== One Month Modified files and folders ========

(If an entry is included in the fixlist, the file/folder will be moved.)

2018-12-16 15:17 - 2018-11-16 01:34 - 000000000 ____D C:\ProgramData\IObit
2018-12-16 10:32 - 2018-07-22 08:44 - 000000520 _____ C:\Windows\System32\Drivers\etc\hosts.ics
2018-12-16 09:27 - 2018-07-12 02:11 - 000002564 _____ C:\Windows\Sandboxie.ini
2018-12-16 09:27 - 2009-07-13 21:13 - 000778150 _____ C:\Windows\System32\PerfStringBackup.INI
2018-12-16 09:27 - 2009-07-13 19:20 - 000000000 ____D C:\Windows\inf
2018-12-16 09:22 - 2009-07-13 21:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2018-12-15 12:33 - 2009-07-13 20:45 - 000020832 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-12-15 12:33 - 2009-07-13 20:45 - 000020832 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-12-15 11:37 - 2018-11-16 01:34 - 000000000 ____D C:\ProgramData\ProductData
2018-12-15 11:35 - 2018-09-17 11:12 - 637233398 _____ C:\Windows\MEMORY.DMP
2018-12-15 11:35 - 2018-09-17 11:12 - 000000000 ____D C:\Windows\Minidump
2018-12-05 20:13 - 2018-07-11 13:53 - 000000000 ____D C:\ProgramData\AMD
2018-11-28 01:36 - 2018-07-14 09:04 - 000003846 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1531587869

==================== Known DLLs (Whitelisted) =========================


==================== Bamital & volsnap ======================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll
[2010-11-20 19:24] - [2018-07-11 13:37] - 001008640 _____ (Microsoft Corporation) 2C353B6CE0C8D03225CAA2AF33B68D79

C:\Windows\SysWOW64\User32.dll
[2010-11-20 19:24] - [2018-07-11 13:37] - 000833024 _____ (Microsoft Corporation) 861C4346F9281DC0380DE72C8D55D6BE

C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\dnsapi.dll => MD5 is legit
C:\Windows\SysWOW64\dnsapi.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Association (Whitelisted) =============


==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 6095.11 MB
Available physical RAM: 5400.25 MB
Total Virtual: 6093.31 MB
Available Virtual: 5398.97 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:70.31 GB) (Free:41.53 GB) NTFS
Drive d: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from drive)]
Drive f: () (Fixed) (Total:227.68 GB) (Free:12.92 GB) NTFS
Drive h: (ANDY) (Removable) (Total:1.86 GB) (Free:1.83 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (New Volume) (Fixed) (Total:931.51 GB) (Free:256.4 GB) NTFS


==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 931.5 GB) (Disk ID: 0CEBF4E6)
Partition 1: (Not Active) - (Size=931.5 GB) - (Type=06)

========================================================
Disk: 1 (Size: 298.1 GB) (Disk ID: 9504E9AF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=70.3 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=227.7 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 1.9 GB) (Disk ID: C0831E06)
Partition 1: (Not Active) - (Size=1.9 GB) - (Type=0B)

LastRegBack: 2018-12-16 16:07

==================== End of FRST.txt ============================
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 02:12:47 PM
https://forums.malwarebytes.com/topic/240588-bootkitmalmombr-is-false-positive-or-not/?page=2

di forum sana halaman 2, katanya bener trojan

Misal gagal nti resikonya apa saja? cuma gagal boot?

Misal gagal boot yg harus saya lakukan apa untuk merepairnya?

Aq nti mau bikin  windows rescue disk dulu buat jaga2 buat booting

Apa trojan di MBR bisa hilang dg cara memformat HDD? ato dg instal ulang windows tanpa format??
Soalnya di HDD kedua yg 1 terra juga ada kedetect

Apa yg terjadi jika MBR HDD kedua hilang? sedangkan HDD kedua itu bukan untuk booting, jika MBR HDD kedua hilang, apakah data akan hilang? apa HDD kedua tersebut tetap bisa diakses?
Cara repair MBR di HDD kedua??
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 21, 2018, 02:40:11 PM
https://forums.malwarebytes.com/topic/240588-bootkitmalmombr-is-false-positive-or-not/?page=2

di forum sana halaman 2, katanya bener trojan

Misal gagal nti resikonya apa saja? cuma gagal boot?

Misal gagal boot yg harus saya lakukan apa untuk merepairnya?

Aq nti mau bikin  windows rescue disk dulu buat jaga2 buat booting

Apa trojan di MBR bisa hilang dg cara memformat HDD? ato dg instal ulang windows tanpa format??
Soalnya di HDD kedua yg 1 terra juga ada kedetect

Apa yg terjadi jika MBR HDD kedua hilang? sedangkan HDD kedua itu bukan untuk booting, jika MBR HDD kedua hilang, apakah data akan hilang? apa HDD kedua tersebut tetap bisa diakses?
Cara repair MBR di HDD kedua??
Jangan lupa clean dulu virusnya selanjutnya baru agan perbaiki mbr ny. :)

FREE MBR Repair Tool: LINK (https://www.easeus.com/partition-manager-software/free-mbr-repair-tool.html)
Kalo agan ngk mau ribet repair mbr dengan cara manual silakan gunakan alat di atas ini. jadi ngk perlu manual repair ny dan data agan aman. ;>
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 04:18:24 PM
Kalo agan ngk mau ribet repair mbr dengan cara manual silakan gunakan alat di atas ini. jadi ngk perlu manual repair ny dan data agan aman. ;>

nah yg ini bisa repair MBR drive lain, makasih2, q tes dulu bikin bootablenya

1. Download and launch EaseUS Partition Master on a new PC which runs the same system as yours.

2. Click "WinPE Creator" on the toolbar. And select to create the bootable disk on a USB drive. If your computer has a CD/DVD drive, you can also create the bootable disk to CD/DVD.


Btw knp bikin bootablenya harus pakai PC lain?

PC lain ya ga ada....

Oh, itu bilang pc lain dg anggapan pcnya ga bisa boot ya?
PCku masih bisa boot berarti q bikin bootablenya pakai pc ini aja kan ya?


Ki@mhu mana?
Cek halaman belakang, udah q scan mode recovery, lalu MiloMen kasih itu software, gimana selanjutnya?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 04:47:27 PM
Kalo agan ngk mau ribet repair mbr dengan cara manual silakan gunakan alat di atas ini. jadi ngk perlu manual repair ny dan data agan aman. ;>

aq pas mau bikin bootable cd kok muncul notif malmo ya? aq pakai pc sendiri ga ada pc lain

Pas awal2 buka aplikasinya, ada notif malmo

Sama ini gimana pakenya? malah disuruh bayar pas klik "WinPE Creator" on the toolbar

Edit: dah nemu cracknya, jadi full version

Ini aq pakai pc sendiri pas bikin bootable gpp? soalnya td muncul notif malmo dipost atasnya ini screenshot di attachment, ga ada pc lain
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 21, 2018, 05:44:18 PM
aq pas mau bikin bootable cd kok muncul notif malmo ya? aq pakai pc sendiri ga ada pc lain

Pas awal2 buka aplikasinya, ada notif malmo

Sama ini gimana pakenya? malah disuruh bayar pas klik "WinPE Creator" on the toolbar

Edit: dah nemu cracknya, jadi full version

Ini aq pakai pc sendiri pas bikin bootable gpp? soalnya td muncul notif malmo dipost atasnya ini screenshot di attachment, ga ada pc lain
Clean dulu pakai eset virusnya jangan di bikin bootable dulu percuma kalo masih ada virusnya. kalo udh bersih scan lagi pakai iobit malware fighter.
Kalo sudah clean baru di buat bootable WinPE Creatornya.

Note: Saat selesai pembersihan virus jangan sekali-sekali di restart sebelum proses pembuat bootable WinPE-nya!!
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 06:17:41 PM
Clean dulu pakai eset virusnya jangan di bikin bootable dulu percuma kalo masih ada virusnya. kalo udh bersih scan lagi pakai iobit malware fighter.
Kalo sudah clean baru di buat bootable WinPE Creatornya.

Note: Saat selesai pembersihan virus jangan sekali-sekali di restart sebelum proses pembuat bootable WinPE-nya!!

kalo bikin cd recovery apa harus clean juga dulu? yg cd buat jaga2 buat booting windows

Mau bikin 2 cd bootable easyus, yg pertama sebelum virus diclean, yg kedua setelah virus diclean.


Sama nunggu Ki@mhu kemarin dia minta log hasil scan farbar pas di recovery mode

https://www.youtube.com/watch?v=XRXChzR4Y4M
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 21, 2018, 06:28:46 PM
kalo bikin cd recovery apa harus clean juga dulu? yg cd buat jaga2 buat booting windows

Mau bikin 2 cd bootable easyus, yg pertama sebelum virus diclean, yg kedua setelah virus diclean.


Sama nunggu Ki@mhu kemarin dia minta log hasil scan farbar pas di recovery mode

https://www.youtube.com/watch?v=XRXChzR4Y4M
ngk usah bikin dua intinya harus clean dulu, percuma kalo bootable masih terinfeksi virus.
Sini gan ane bantu teamviewer aja biar cepat selesai.
Kirim id & pw teamviewer lewat pesan pribadi.
Oiya lupa ada 2 antivirus, tolong yang IObit Malware Fighter di uninstall biar ngk bentrok deteksi!!
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 09:39:30 PM
ngk usah bikin dua intinya harus clean dulu, percuma kalo bootable masih terinfeksi virus.
Sini gan ane bantu teamviewer aja biar cepat selesai.
Kirim id & pw teamviewer lewat pesan pribadi.
Oiya lupa ada 2 antivirus, tolong yang IObit Malware Fighter di uninstall biar ngk bentrok deteksi!!

Udah clean min, akhirnya  :'(
Btw, pas posisi masih keinfeksi gpp min bikin bootable easyusanya, dia cd bootablenya ga ngebawa virusnya kok, dia ngefix mbr bukan dr copyan mbr-ku

Besok q post caranya, badan pegel semua ^:)^
Mau istirahat dulu, q jg tau itu infeksi drmana, next post q ceritain semua

Tinggal 1 tugasku, kalo fix mbr hdd external gimana caranya? Pas pilihan di easyusa mbrmya pilih OS apa?

Q ada feeling hdd externalku kena yg 1terra, blm berani colokin, gimana kalo hdd external pilih os apa?

Screenshotnya besok ya,
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 21, 2018, 10:47:14 PM
Udah clean min, akhirnya  :'(
Btw, pas posisi masih keinfeksi gpp min bikin bootable easyusanya, dia cd bootablenya ga ngebawa virusnya kok, dia ngefix mbr bukan dr copyan mbr-ku
Sip, jgn lupa scan lg pakai ESET dan HitmanPro (https://www.mirrored.to/files/VBGTY32O/) di pastikan aman dari virus.

Tinggal 1 tugasku, kalo fix mbr hdd external gimana caranya? Pas pilihan di easyusa mbrmya pilih OS apa?

Q ada feeling hdd externalku kena yg 1terra, blm berani colokin, gimana kalo hdd external pilih os apa?
Tinggal pasang hdd external sebelum masuk bootable trs sesuaikan dengan os di gunakan. Dari pada agan feeling sebaiknya di pastikan scan dengan antivirus (saran).
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 21, 2018, 11:38:38 PM
Sip, jgn lupa scan lg pakai ESET dan HitmanPro (https://www.mirrored.to/files/VBGTY32O/) di pastikan aman dari virus.
Tinggal pasang hdd external sebelum masuk bootable trs sesuaikan dengan os di gunakan. Dari pada agan feeling sebaiknya di pastikan scan dengan antivirus (saran).
Btw q td nge-fix ga pakai clean bisa kok, langsung timpa aja sama mbr yg baru. Tp logikanya kalo nimpa mbr jangan satu-satu hdd, misal hdd 1 difix, restart pc, hdd 1 kena lg soalnya ketularan dr hdd 2. Jadi langsung fix timpa mbr kedua buah hdd langsung. Baru ga balik virusnya di mbr

Iya besok q scan, berarti hdd external usb q pilih os windows 7 aja. Ga akan detect kalo scan pake antivir, kalo malwarebyte itu deteksi rootkit ga bisa yg usb, bisanya yg sata, td uda q tes, hdd externalku ga kescan rootkit.

Kalo IOBIT itu aslinya scan rootkit juga ga bisa detect, kecuali diambil sample mbr.dat baru kedetect ama IOBIT

Jd kalo scan yg pake easyus sebelum masuk windows. Kalo scan in windows bisa nular.

Clean virus pke amwMBR in windows sebenernya bisa, aq td sukses clean drive 1 pake tombol fix mbrnya aswmbr, kelemahan aswmbr itu cuma bisa fix 1buah drive, yaitu drive system/bootnya saja
Aq ga bisa clean drive 2 pake aswMBR

Mau nanya, cara biar aplikasi aswMBR bisa fix+scan drive lain ato usb drive gimana caranya?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: MiloMen™ pada Desember 22, 2018, 02:53:58 PM
Btw q td nge-fix ga pakai clean bisa kok, langsung timpa aja sama mbr yg baru. Tp logikanya kalo nimpa mbr jangan satu-satu hdd, misal hdd 1 difix, restart pc, hdd 1 kena lg soalnya ketularan dr hdd 2. Jadi langsung fix timpa mbr kedua buah hdd langsung. Baru ga balik virusnya di mbr

Iya besok q scan, berarti hdd external usb q pilih os windows 7 aja. Ga akan detect kalo scan pake antivir, kalo malwarebyte itu deteksi rootkit ga bisa yg usb, bisanya yg sata, td uda q tes, hdd externalku ga kescan rootkit.

Kalo IOBIT itu aslinya scan rootkit juga ga bisa detect, kecuali diambil sample mbr.dat baru kedetect ama IOBIT

Jd kalo scan yg pake easyus sebelum masuk windows. Kalo scan in windows bisa nular.

Clean virus pke amwMBR in windows sebenernya bisa, aq td sukses clean drive 1 pake tombol fix mbrnya aswmbr, kelemahan aswmbr itu cuma bisa fix 1buah drive, yaitu drive system/bootnya saja
Aq ga bisa clean drive 2 pake aswMBR

Mau nanya, cara biar aplikasi aswMBR bisa fix+scan drive lain ato usb drive gimana caranya?
ngk mau ribet, pakai EaseUS Partition Master semua drive bisa di perbaiki dengan cepat. ;>
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 22, 2018, 04:39:30 PM
ngk mau ribet, pakai EaseUS Partition Master semua drive bisa di perbaiki dengan cepat. ;>
Drive ada 2:
Drive 0= drive i 1 terra / HDD 2
Drive 1= drive c + d / HDD 1

iya, tp kalo easyus harus dr boot,kemarin q tes easyus q clean in windows ga bisa tetep ada, padahal aq clean drive 0 pakai aswMBR bisa ke clean.

Pas awal q tes aswMBR dulu kemarin, pas q klik fix MBR scan ulang log unknown code berubah jadi windows 7 default code, lalu q scan pakai malwarebyte premium, ada harapan karena kedetectnya sisa 1 yg drive 0, drive 1nya dah ilang virus.

Lalu q restart pc, setelah restart pc itu virus balik nginfeksi drive 1 lagi, mikir kenapa bisa gitu, berarti masih kena yg dr drive 0
Cari cara gimana cara agar aswMBR bisa fix drive 0/HDD 2, kelemahan aswMBR cuma bisa fix drive HDD 1 aja.

Karena sebelumnya aq fix in windows pake aswMBR bisa clean (walo setelah restart kena lagi gara2 keinfeksi HDD 2), q coba clean pake easyus tp mode in windows bukan bootable.
Hasilnya gagal, setelah difix tetep kena ga ilang.

Dr situ aq coba copy bootable easyus tapi dalam keadaan masih keinfeksi, q restart pc q boot, mauk menu easyus, q repair dr sana, lalu masuk windows seperti biasa.
Scan pakai malwarebyte, clean semua  ^_^ ^_^ ^_^

Ini kemungkinan kena pas aq matiin deep freeze pas pindah ke profile 2,keinfeksi dr HDD 2, HDD 2 dulu hasil pindahan dr pc lain, kayanya pcku satunya yg jarang dipakai kena juga, tp dah tau cara repairnya.

Tinggal HDD external gampanglah besok pas matiin pc q scan dr bootable


Ini thread dr awal memang virusnya dateng bergantian, ato q ga sadar udah kena dr lama karena baru instal malwarebyte 1bulan terakhir ini tapi untungnya ga nginfeksi data.

Dr awal virus WMI yg makan CPU usage, dah berhasil di clean pakai malwarebyte, lalu muncul lagi trojan crack ACDSEE, acdsee q uninstal muncul lagi yg tiba2 buka IP korea

Pindah profile yg IP Korea dah ga muncul lagi, malah kena lagi gantian yg malware MBR.....

Threadnya udah saya anggap cllear casenya, dah aman semua, rootkit dah ga ada.

Makasih yg dah bantu + kasih software buat scan :-bd :-bd



Pertanyaan terakhir, kalo flashdisk apa bisa kena MBR? apa master boot record juga ada di flashdisk?
Soalnya agak susah kan kalo mau nancepin flashdisk biar tau ada virus MBRnya apa ga.
Sedangkan yg bisa deteksi rootkit hanya malwarebyte, nah malwarebyte ga bisa scan rootkit  selain HDD yg dipasang pakai kabel SATA.

Kalo untuk case flashdisk cek rootkit gimana ya?


Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 30, 2018, 09:16:32 PM
Hello, maaf baru sempat balas lagi.. Sampai mana ya kemarin?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 30, 2018, 10:06:01 PM
Hello, maaf baru sempat balas lagi.. Sampai mana ya kemarin?

udah clear semua  :D

Q fix MBR kemarin pakai easyus, 2 HDD internal+1 hdd external yg kena rootkit udah q fix, skrng dah ga ada masalah

Cuma mau tanya, kalo flashdisk apa ada MBRnya? apa bisa kejangkit MBR kalo flashdisk?

Cara scan flashdisk dr virus rootkit gimana ya?

Malwarebyte ga bisa scan rootkit untuk flashdisk
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 31, 2018, 04:02:15 PM
udah clear semua  :D

Q fix MBR kemarin pakai easyus, 2 HDD internal+1 hdd external yg kena rootkit udah q fix, skrng dah ga ada masalah

Cuma mau tanya, kalo flashdisk apa ada MBRnya? apa bisa kejangkit MBR kalo flashdisk?

Cara scan flashdisk dr virus rootkit gimana ya?

Malwarebyte ga bisa scan rootkit untuk flashdisk

Belum pernah dengar kalo untuk Flashdisk.

FD ya tinggal format saja, semuanya juga kembali seperti semula.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Desember 31, 2018, 04:07:23 PM
Belum pernah dengar kalo untuk Flashdisk.

FD ya tinggal format saja, semuanya juga kembali seperti semula.

Oh, ya da berarti dah clear semua. Uda bikin dvd cd buat fix mbr dr software aplikasi easyus kalo sewaktu2 kena lg.

Sampai sekarang kalo q scan rootkit udah clean semua ga kedetect lagi.

Threadnya kalo mau di unpin gpp.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Desember 31, 2018, 04:10:33 PM
Oh, ya da berarti dah clear semua. Uda bikin dvd cd buat fix mbr dr software aplikasi easyus kalo sewaktu2 kena lg.

Sampai sekarang kalo q scan rootkit udah clean semua ga kedetect lagi.

Threadnya kalo mau di unpin gpp.

Kalo pake EaseUS versi install, bukan boot.. Bisa gak?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Januari 02, 2019, 12:45:10 AM
Kalo pake EaseUS versi install, bukan boot.. Bisa gak?

Easyus itu buat bikin boot cd harus bayar, aq dpt easy us dr miloman. Awal q bingung kok buat boot dvd harus bayar, tp q nemu crack serialnya, crack serial uda q upload di attachment di post belakang.

Harus boot, kalo ga boot/fix in windows proses fix bisa tapi virus ga ilang tetep kena uda q tes.

Jd harus boot sebelum masuk windows, proses ga ngerusak data. Abis fix mbr windows jalan normal.

Buat bikin boot dvd easyus pake crackku dibelakang, bikin boot dvd pas pc keinfeksi ga masalah, gpp.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Januari 02, 2019, 12:53:36 AM
Kalo pke aswmbr sebenernya bisa, tp kasusku pke aswmbr percuma. Knp percuma?
Aswmbr bisanya fix 1hdd yg C / system aja, hddku kan 2, nah pas in windows q fix ya normal ilang virus yg hdd 1 doank. Hdd 2 ga ilang, restart pc yg hdd 1 ketularan lg dr hdd 2 lol

Jd harus pke easyus+crack uda q kasih, fixnya dr boot cd. Di dalam easyus ada menu buat bikin boot cd
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Januari 02, 2019, 10:43:37 AM
Easyus itu buat bikin boot cd harus bayar, aq dpt easy us dr miloman. Awal q bingung kok buat boot dvd harus bayar, tp q nemu crack serialnya, crack serial uda q upload di attachment di post belakang.

Harus boot, kalo ga boot/fix in windows proses fix bisa tapi virus ga ilang tetep kena uda q tes.

Jd harus boot sebelum masuk windows, proses ga ngerusak data. Abis fix mbr windows jalan normal.

Buat bikin boot dvd easyus pake crackku dibelakang, bikin boot dvd pas pc keinfeksi ga masalah, gpp.

Oke, bertambah lagi ilmu ane.. Setelah MBR diperbaiki, apa saja gejala virus yang sudah hilang? Selain dari pendeteksian MBAR?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Januari 02, 2019, 03:32:34 PM
Oke, bertambah lagi ilmu ane.. Setelah MBR diperbaiki, apa saja gejala virus yang sudah hilang? Selain dari pendeteksian MBAR?

Ilang semua, 100% clean.
Kalo dulu yg suka kebuka ip korea ga tau drmana, kalo yg itu ilangnya setelah pindah ke profile baru.

Skrng kalo di scan uda clean semua, ga ada virus/gejala virus satupun.
Ip korea jg uda ga ada, proses yg naruh file service.exe jg uda ga ada.

Enak kok easyus, proses fix ga perlu nulis2 kode manual, tinggal klik tombol aja. Ga bikin rusak hdd/data. Dia jg bisa fix mbr hdd external, tp colokin hdd external sebelum masuk windows, pas dia boot cd easyus.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Januari 02, 2019, 09:54:39 PM
Easyus itu buat bikin boot cd harus bayar, aq dpt easy us dr miloman. Awal q bingung kok buat boot dvd harus bayar, tp q nemu crack serialnya, crack serial uda q upload di attachment di post belakang.

Harus boot, kalo ga boot/fix in windows proses fix bisa tapi virus ga ilang tetep kena uda q tes.

Jd harus boot sebelum masuk windows, proses ga ngerusak data. Abis fix mbr windows jalan normal.

Buat bikin boot dvd easyus pake crackku dibelakang, bikin boot dvd pas pc keinfeksi ga masalah, gpp.

Btw, pas fix MBR di Windows Normal (bukan mode Boot). Apakah agan melakukan fix keduanya sekaligus?

Seandainya agan fix langsung dengan MBAR, ane yakin bisa juga. Cuman kemarin terkendala karena belum backup kedua MBR Drive kan?
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Januari 02, 2019, 10:36:40 PM
Btw, pas fix MBR di Windows Normal (bukan mode Boot). Apakah agan melakukan fix keduanya sekaligus?

Seandainya agan fix langsung dengan MBAR, ane yakin bisa juga. Cuman kemarin terkendala karena belum backup kedua MBR Drive kan?

Mbar malah ga detect rootkitnya min, kalo mbam kedetect tp q ga berani clean pke mbam (mbar ama mbam beda aplikasi)

Aq dah tanya ke forum.malwarebyte, kata staff disana engine mbar memang blm update jd ga detect.

Kalo Mbam setauku cuma clean ga pakai fix, resiko hdd error ga berani tes.

Q clean fix hdd 1 pakai aswmbr pas di windows.
Kalo hdd 2 dari cd boot easyus.

Tp kalo mau sekaligus dua-duanya hdd1 ama hdd2 pake boot easyus ya gpp sama aja bisa.

Mbam= malwarebyte premium
Mbar= malwarebyte anti rootkit


Windows normal pas fix ga bisa kedua sekaligus min, aswmbr kan bisanya fix drive 1 doank, drive 2 ga bisa diproses ama aswmbr

Kalo fix hdd1+hdd2 pake easyus tp keadaan windows on tetep ga bisa, q dah tes fix hdd2 pas windows on ga ilang itu virus.

Kalo windows on yg bisa ilang cuma hdd 1, itupun kalo  restart pc ya kena lg ketular dr hdd 2. Makanya q pas windows on q fix hdd 1, restart pc buru2 boot dr cd buat fix hdd2. Kalo ga boot ya hdd 1 kena lg dr hdd 2. Dia nginfeksi hdd lain tu pas windows startup.

Mau berapapun jumlah hdd, kalo ada salah satu hdd yg uda kena bakalan nular langsung ke yg lain.

Kesimpulannya kalo mau fix virus ini, serentak bersamaan fixnya.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Januari 03, 2019, 09:23:49 AM
Oh ya, berarti MBAM yaa..

Clean dan fix tetap utk MBR tetap sama prosedurnya. Clean dan fix cuma beda istilah saja untuk setiap antivirus. Kan tidak tidak mgkn MBAM menghilangkan MBR, so pasti antara repair atau rebuild.

Masalahnya adalah membuat backup MBR sebelum mulai diperbaiki. Biar kalo ada kesalahan, bisa dikembalikan lagi ke MBR lama.

Karena ada kasus virus tertentu yang menginfeksi MBR, ketika di rebuild malah data hilang. Bukan salah toolnya, tapi kena virusnya mmg demikian. Contohnya Petya.

Jadi, menurut ane lebih ke virusnya. Rebuild/Repair MBR bukanlah hal yang sulit bagi AntiVirus ternama.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Januari 03, 2019, 03:26:01 PM
Oh ya, berarti MBAM yaa..

Clean dan fix tetap utk MBR tetap sama prosedurnya. Clean dan fix cuma beda istilah saja untuk setiap antivirus. Kan tidak tidak mgkn MBAM menghilangkan MBR, so pasti antara repair atau rebuild.

Masalahnya adalah membuat backup MBR sebelum mulai diperbaiki. Biar kalo ada kesalahan, bisa dikembalikan lagi ke MBR lama.

Karena ada kasus virus tertentu yang menginfeksi MBR, ketika di rebuild malah data hilang. Bukan salah toolnya, tapi kena virusnya mmg demikian. Contohnya Petya.

Jadi, menurut ane lebih ke virusnya. Rebuild/Repair MBR bukanlah hal yang sulit bagi AntiVirus ternama.

Cara backup mbr gmn? Buat 2hdd
Mbrku blm dibackup
Ada tutor cara backupnya?

Mbam pernah clean file acdsee.exe, q klik clean hasilnya file acdsee.exe bukan difix tp diilangin beserta file acdsee.exenya.
Untung ada backup acdsee.exe yg ori, q paste lalu baru bisa q uninstal. Sejak saat itu ga berani auto clean on.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: Ki@mhu pada Januari 03, 2019, 10:12:28 PM
Cara backup mbr gmn? Buat 2hdd
Mbrku blm dibackup
Ada tutor cara backupnya?

Mbam pernah clean file acdsee.exe, q klik clean hasilnya file acdsee.exe bukan difix tp diilangin beserta file acdsee.exenya.
Untung ada backup acdsee.exe yg ori, q paste lalu baru bisa q uninstal. Sejak saat itu ga berani auto clean on.

Backup MBR bisa dengan cara ini: https://www.raymond.cc/blog/5-free-tools-to-backup-and-restore-master-boot-record-mbr/

Ya kalo delete file memang wajar karena prinssip dasar menghilangkan virus ya dengan delete. Tapi tidak bisa disamakan dengan MBR. Delete MBR itu tidak wajar lagi gan.. Rata-rata tool kalo memperbaiki ya dengan mengembalikan ke bentuk semula.
Judul: Re:CSRSS trojan miner folder WmiAppSrv
Ditulis oleh: luci pada Februari 07, 2019, 03:43:22 AM
Semenjak instal iobit, usb flashdisk tiap cabut pasang error, stuck di memory pas mau pasang lg. Pas q uninstal iobit eh normal lg, ampir ja q instal ulang windiws.

Jngn pake iobit, dia bikin usb storage error 38 yg stuck di memory.

Antivir iobit menang bagus, tp ada kelemahannya bikin usb storage error kalo cabut pasang.