Penulis Topik: CSRSS trojan miner folder WmiAppSrv  (Dibaca 8609 kali)

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #100 pada: Desember 08, 2018, 12:44:39 PM »
Scan pakai ESET NOD32 Antivirus versi alat ini untuk sistem operasi Anda:
Download | 32-bit
Download | 64-bit

Lisensi ESET cek gudang ya! <=)

Pengaturan ESET Secara Optimal:
1. Buka aplikasi ESET. Tekan F5 untuk masuk ke advanced setup.
    Klik real-time system protection file, threatsense parameters, cleaning level, klik Strict cleaning.
2. Klik Malware Scan, threatsense parameters, cleaning level, klik Strict cleaning.
3. Klik Malware Scan, idle-state scans, threatsense parameters, cleaning level, klik Strict cleaning
4. Klik Malware Scan, startup scan, threatsense parameters, cleaning level, klik Strict cleaning.
5. Klik Malware Scan, document protection, geser ke arah kiri (Integrate into the system).
    threatsense parameters, cleaning level, klik Strict cleaning.
6. Klik Web And Email, email client protection, threatsense parameters, cleaning level, klik Strict cleaning.
7. Klik Web And Email, web access protection, threatsense parameters, cleaning level, klik Strict cleaning.
8. Selesai, klik Scan Your Computer

Note!!!:
Saat proses scanning komputer jangan di gunakan agar proses scanning tidak terganggu.

iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #101 pada: Desember 08, 2018, 12:59:41 PM »
Coba upload services.exe tsb kemari

ada dipages 5 pernah q upload di attachment, nih q upload lagi di attachment

Kalo cuma discan ya clean, scan virustotal aja clean kok, inget cara kerja dia gini min, dia cuma kedeteksi pas awal2, jd dia itu buka koneksi manfaatin file lsass.exe, nah pas buka koneksi ke ip korea kan kedeteksi malwarebyte notif muncul, nah pas kedeteksi itu service.exe kedeteksi sebagai malware backdoor.Bot.E.Generic

File service.exe kedeteksi malware backdoor.Bot.E.Generic pas timing waktu itu saja, setelah dia buka koneksi ip korea (walo gagal krn dicegah malwarebyte), lalu si service.exe melakukan delete code trojan backdoornya
Jadi aq ga bisa mendapatkan sampel trojan backdoor service.exe dalam keadaan itu file masih ada kode backdoor, karena prosesnya dia setelah dia melakukan koneksi, dia langsung delete source codenya, jd pas q scan ulang pake malwarebyte ya service.exenya clean.

Itu hanya terjadi di profile 1, sekarang aq lagi tes bikin profile 2 kayanya dia ga bisa menjangkiti profile 2. Profile 1 udah q delete.

Soalnya aq pernah tes kemarin 4 hari pakai profile 2 aman2 aja, ini q tes lagi pakai profile 2.
2 hari lalu aq sempet iseng pakai profile 1, beberapa jam langsung kena.
Feelingku ya profile 2 aman.

Coba cek ini file service.exe, apa ada kode yg memanfaatkan file lsass.exe??
Soalnya dia lewat file lsass.exe buat buka ip koreanya

Offline MiloMen™

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.319
  • Reputation: 65517
  • Jenis kelamin: Pria
    • Lihat Profil
    • Download Software Komputer Gratis
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #102 pada: Desember 08, 2018, 02:53:44 PM »
iya kalo muncul lg q coba cara itu, jd kemarin itu pas q tes 4 hari aq bikin tes profile baru min di profile 2, selama 4 hari it uga ada apa2 aman, lha pikirku ya udah aman ,q balik profile 1 baru brp jam muncul notif.

Tapi kalo sekarang aq dah bikin profile 2 permanen, yg profile 1 udah q delete, aq lg coba di profile 2 apa bener2 yakin beberapa hari aman, tapi kayanya di profile 2 ini aman min

Kesimpulannya apa ya? kok dia ga jangkiti profile 2? tapi hanya di profile1/profile lama? intinya cuma jalan di profile 1.

Apakah registry beda profile itu berbeda kah? soalnya dia nyamar jadi service windows
Apakah kalo beda profile itu beda daftar service windowsnya?

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.
Salam,
<=)

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.648
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #103 pada: Desember 08, 2018, 05:39:42 PM »
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #104 pada: Desember 09, 2018, 12:35:03 AM »
Uploadnya Yang dikarantina Malwarebytes, yang itu masih terdeteksi
malwarebyteku auto karantinanya q setting off, ya ga akan bisa min, kan dia pas execute code buat jalanin proses buka ip korea setelah berhasil buka dia langsung delete codenya sendiri walopun aq ga mengkarantinanya. Misal auto karantina q ON-kan, pasti hasilnya tetap sama clean.

Itu yg di attachment malah yg file asli q ambil langsung pas dia muncul, q ambil dr folder windows.
Beda kalo ama kasus cracknya acdsee, mau discan brp kalipun ya tetep kedetect, ini yg bikin aplikasi backdoor pinter, dia ga langsung infeksi PC, stage 1 dia naruh service.exe dulu, stage 2 dia nyambung ke ip korea untuk download trojan2 lainnya. Pertengahan antara stage 1 ama stage 2 dia hancurin code diri sendiri biar ga kedetect  :'(
Dia sembunyi di menu service windows, tp aq ga tau di windows 7 buat edit setting service dibagian mana.

Tp ini dah 2 hari aq di profile 2 (profile 1 dah q delete) aman2 aja  :-\

Kalo sampai hari 3-4 tetap aman q anggap clear aja casenya, ga bisa nular ke profile lain dia-nya.
Mungkin dg dihapusnya profile 1, service yg ada di profile 1 (yg ada kode buat naruh service.exe)pun mungkin ikut kedelete, mudah2an saja.  :o

Jangan nunggu muncul coba langsung eksekusi biar tau hasil scan ny.

Iya besok q coba instal pas udah mau offin pc
« Edit Terakhir: Desember 09, 2018, 12:46:47 AM oleh luci »

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #105 pada: Desember 13, 2018, 02:50:26 PM »
ketemu min, bootkit.Malmo.MBR
Dr dulu ga kedetect karena opsi scan rootkit di malwarebyte lupa saya centang, pas saya centang kedetect.

Ini malware gimana cara ilanginnya?
Dia ga nginfeksi profile 2/profile baru tp tetep kedeteksi

jadi kalo scan baisa tanpa centang scan rootkit ga kedeteksi, tp begitu q centang scan rootkit kedeteksi


Aq mau ngeclean tp takut error
Soalnya baca comment orang di: http://smadaver.com/konsultasi-virus/tanya-mbr-rootkit-apakah-berbahaya/

"Hal yang sama pernah aku alami seperti yang Agan tanyakan maka dari itu aku menduga kalau agan menggunakan Software tersebut. Tapi aku masih Ragu untuk memberikan solusinya sebab mungkin saja kondisinya berbeda. Sebab Virus MBR bila salah dalam penanganan nya akan berakibat fatal yaitu bisa hilangnya partisi yang ada. Untuk itu kalau tidak keberatan tolong Agan lampirkan :"
« Edit Terakhir: Desember 13, 2018, 02:55:04 PM oleh luci »

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #106 pada: Desember 13, 2018, 03:03:24 PM »
seperti ini kasusnya:
http://www.tomshardware.com/forum/id-3598301/removal-rootkit-mbr-malmoe.html

Cara remove yg aman bagaimana?

Aq lg download malwarebyte  anti rootkit tp blm berani clean takut HDD rusak

katanya di vol 0 dan 1 , vol 0 dan 1 itu kan drive 1 ama drive 2

screenshot attachment:
Disk 0= 1 terra itu disk keduaku drive i (hardisk kedua 1 partisi drive i)
Disk 1= 298GB itu drive C ama drive Dku (hardisk pertama dipartisi 2 bagian C dan D)

Gimana ya, itu bahaya ga si malmo? perlu diclean? tp windowsku baik2 aja, di profile 2 ini ga pernah muncul lagi proses notif ke ip korea

Kalo q scan malwarebyte tanpa centang opsi scan rootkit, clean, tp kalo centang scan rootkit ada ektemu si malmo 2 buah
« Edit Terakhir: Desember 13, 2018, 03:19:49 PM oleh luci »

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #107 pada: Desember 13, 2018, 03:26:27 PM »
Tapi min, pas q cek baca di link https://support.emsisoft.com/topic/26435-boot-virus-malmo-just-one-problem-out-of-many/

Katanya false positive

"This is an older MBR bootkit

\DosDevices\PhysicalDrive1     detected: Rootkit.MBR.Malmo.A (Boot image) (B) [krnl.xmd]
and is very likey a false positive based on what I can see in your logs.

Now, if it turned out to be a real false positive, the question of how I get rid of it by replacing the MBR raise tough questions for me:
"


Gimana ya, mau clean ga berani takut itu false positive

Dulu dipages belakang aq pernah kasih mimin log farbar, log gmer, katanya dicek mimin clean ga ada apa2 kan ya?
Bukannya harusnya kedetect dr gmer log kalo rootkit?








Nih q paste ulang log TDSSKiller dr page belakang, coba mimin cek clean ga??

log TDSSKiller di attachment

16:43:13.0906 0x0f10  Detected object count: 0
16:43:13.0906 0x0f10  Actual detected object count: 0
16:44:05.0240 0x09e0  Deinitialize success
« Edit Terakhir: Desember 13, 2018, 03:59:09 PM oleh luci »

Offline Ki@mhu

  • MoMod
  • Pro500
  • *****
  • Tulisan: 1.648
  • Reputation: 791
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #108 pada: Desember 13, 2018, 04:39:26 PM »
Silahkan upload log hasil scand alam bentuk txt

Offline luci

  • Pro100
  • ****
  • Tulisan: 103
  • Reputation: 2
    • Lihat Profil
Re:CSRSS trojan miner folder WmiAppSrv
« Jawab #109 pada: Desember 13, 2018, 05:48:37 PM »
Silahkan upload log hasil scand alam bentuk txt

tuh di attachment, di post atas td dah q edit q tambah lognya juga

Tuh q scan pakai malwarebyte antiroot juga clean

Menurut mimin apa? false alarm kah?