Penulis Topik: CSRSS trojan miner folder WmiAppSrv  (Dibaca 2571 kali)

Offline luci

  • Pro10
  • ***
  • Tulisan: 63
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #100 pada: Desember 08, 2018, 12:44:39 PM »
Scan pakai ESET NOD32 Antivirus versi alat ini untuk sistem operasi Anda:
Download | 32-bit
Download | 64-bit

Lisensi ESET cek gudang ya! <=)

Pengaturan ESET Secara Optimal:
1. Buka aplikasi ESET. Tekan F5 untuk masuk ke advanced setup.
    Klik real-time system protection file, threatsense parameters, cleaning level, klik Strict cleaning.
2. Klik Malware Scan, threatsense parameters, cleaning level, klik Strict cleaning.
3. Klik Malware Scan, idle-state scans, threatsense parameters, cleaning level, klik Strict cleaning
4. Klik Malware Scan, startup scan, threatsense parameters, cleaning level, klik Strict cleaning.
5. Klik Malware Scan, document protection, geser ke arah kiri (Integrate into the system).
    threatsense parameters, cleaning level, klik Strict cleaning.
6. Klik Web And Email, email client protection, threatsense parameters, cleaning level, klik Strict cleaning.
7. Klik Web And Email, web access protection, threatsense parameters, cleaning level, klik Strict cleaning.
8. Selesai, klik Scan Your Computer

Note!!!:
Saat proses scanning komputer jangan di gunakan agar proses scanning tidak terganggu.

iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?

Offline luci

  • Pro10
  • ***
  • Tulisan: 63
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #101 pada: Desember 08, 2018, 12:59:41 PM »
Coba upload services.exe tsb kemari

ada dipages 5 pernah q upload di attachment, nih q upload lagi di attachment

Kalo cuma discan ya clean, scan virustotal aja clean kok, inget cara kerja dia gini min, dia cuma kedeteksi pas awal2, jd dia itu buka koneksi manfaatin file lsass.exe, nah pas buka koneksi ke ip korea kan kedeteksi malwarebyte notif muncul, nah pas kedeteksi itu service.exe kedeteksi sebagai malware backdoor.Bot.E.Generic

File service.exe kedeteksi malware backdoor.Bot.E.Generic pas timing waktu itu saja, setelah dia buka koneksi ip korea (walo gagal krn dicegah malwarebyte), lalu si service.exe melakukan delete code trojan backdoornya
Jadi aq ga bisa mendapatkan sampel trojan backdoor service.exe dalam keadaan itu file masih ada kode backdoor, karena prosesnya dia setelah dia melakukan koneksi, dia langsung delete source codenya, jd pas q scan ulang pake malwarebyte ya service.exenya clean.

Itu hanya terjadi di profile 1, sekarang aq lagi tes bikin profile 2 kayanya dia ga bisa menjangkiti profile 2. Profile 1 udah q delete.

Soalnya aq pernah tes kemarin 4 hari pakai profile 2 aman2 aja, ini q tes lagi pakai profile 2.
2 hari lalu aq sempet iseng pakai profile 1, beberapa jam langsung kena.
Feelingku ya profile 2 aman.

Coba cek ini file service.exe, apa ada kode yg memanfaatkan file lsass.exe??
Soalnya dia lewat file lsass.exe buat buka ip koreanya

Offline MiloMen™

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.305
  • Reputation: 65517
  • Jenis kelamin: Pria
    • Lihat Profil
    • Dugaan Infeksi
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #102 pada: Desember 08, 2018, 02:53:44 PM »
iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.
Salam,
<=)

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.616
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #103 pada: Desember 08, 2018, 05:39:42 PM »
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi

Offline luci

  • Pro10
  • ***
  • Tulisan: 63
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #104 pada: Desember 09, 2018, 12:35:03 AM »
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi
malwarebyteku auto karantinanya q setting off, ya ga akan bisa min, kan dia pas execute code buat jalanin proses buka ip korea setelah berhasil buka dia langsung delete codenya sendiri walopun aq ga mengkarantinanya. Misal auto karantina q ON-kan, pasti hasilnya tetap sama clean.

Itu yg di attachment malah yg file asli q ambil langsung pas dia muncul, q ambil dr folder windows.
Beda kalo ama kasus cracknya acdsee, mau discan brp kalipun ya tetep kedetect, ini yg bikin aplikasi backdoor pinter, dia ga langsung infeksi PC, stage 1 dia naruh service.exe dulu, stage 2 dia nyambung ke ip korea untuk download trojan2 lainnya. Pertengahan antara stage 1 ama stage 2 dia hancurin code diri sendiri biar ga kedetect  :'(
Dia sembunyi di menu service windows, tp aq ga tau di windows 7 buat edit setting service dibagian mana.

Tp ini dah 2 hari aq di profile 2 (profile 1 dah q delete) aman2 aja  :-\

Kalo sampai hari 3-4 tetap aman q anggap clear aja casenya, ga bisa nular ke profile lain dia-nya.
Mungkin dg dihapusnya profile 1, service yg ada di profile 1 (yg ada kode buat naruh service.exe)pun mungkin ikut kedelete, mudah2an saja.  :o

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.

Iya besok q coba instal pas udah mau offin pc
« Edit Terakhir: Desember 09, 2018, 12:46:47 AM oleh luci »