Penulis Topik: Mohon bantuan, Adware bandel "LIVEADEXCHANGER" [SOLVED]  (Dibaca 7404 kali)

Offline 1sh

  • Pro10
  • ***
  • Tulisan: 19
  • Reputation: 0
    • Lihat Profil
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #20 pada: Agustus 04, 2017, 12:54:10 PM »
Kenal file/folder ini?
Kode: [Pilih]
C:\Windows\KJ.exe
C:\Windows\KJ
C:\XOFNW
wah iya ini mencurigakan, coba buka folder KJ langsung detect virus dari Smadav, dan scan 1 folder dapat 1 virus lagi. Isi folder KJ sangat2x mencurigakan karena banyak folder program2 aneh, ini cukup saya DELETE 1 folder atau uninstall? sebab di control panel - uninstall program tidak ada. Dan kalau di foldernya sendiri ada file uninstall.vbs dan uninstall.cmd, namun blom saya coba klik keduanya takut salah langkah

untuk C:\XOFNW ini tidak terlihat di explorer saya, dari susunan hurufnya sepertinya asing dan mencurigrakan

Aneh ya, AdwCleaner bisa otomatis mengaktifkan Firewall. Saran Saya, jangan matikan permanen. Matikan saja pada saat dibutuhkan dan ingat dinyalakan kembali.
karena saya centang semua di optionnya, dan firewall yang semula tidak aktif (saya set off memang), direset menjadi ON lagi seperti sshot sebagai berikut



Untuk ekstensi, nanti coba kita install ulang Chromenya, tapi nanti yaa stlah ini..

Untuk langkah2 selanjutnya coba nanti malam saya lanjutkan, sepertinya ada yang bermasalah di folder WINDOWS saya..
 dan sejauh ini antivirus saya cuma Smadav karena supaya ringan dan memang tidak sembarangan download biasanya di inet dan tidak main torrent2 dan semacamnya


Terima kasih, ditunggu updatenya  :-bd

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.477
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #21 pada: Agustus 04, 2017, 08:17:07 PM »
Wow, setelah diakuisisi MalwareBytes, AdwCleaner jadi sangat inovatif.

Setelah ane cek, rupanya KJ itu jamu mikocok agan.. ;D
Ini bukan virus, karena log farbar agan yang pertama kali tidak ada file ini. Untuk lebih meyakinkan, mungkin Anda bisa coba kompres kj.exe dan seluruh file di dalam folder KJ ini dan Upload ke SendSpace lagi biar Saya cek.

Untuk melihat folder ini: C:\XOFNW
Anda harus setting Folder Options seperti ini dulu: https://www.bleepingcomputer.com/tutorials/how-to-see-hidden-files-in-windows/
Kabari lagi ada apa di dalam, jika mencurigakan, kompres dan upload juga, digabung sama yang diatas.

Selain ketiga log di atas, ingat juga lampirkan foto pop up iklan yang muncul dari Chrome (jika terjadi) setelah MBAM di-non aktifkan. Apakah dia muncul sendiri bahkan tidak dalam keadaan Browsing juga?
Dugaan ane, ini bukan berasal dari Extension di Chrome karena svchost.exe sendiri juga konek ke situ. Tetapi ya aga boleh coba install Browser lain (yang ringan ya Moziila) dan tes Browsing lagi, apakah terjadi di Mozilla juga?
« Edit Terakhir: Agustus 04, 2017, 08:20:38 PM oleh Ki@mhu »

Offline 1sh

  • Pro10
  • ***
  • Tulisan: 19
  • Reputation: 0
    • Lihat Profil
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #22 pada: Agustus 05, 2017, 01:59:09 PM »
LAPORAN TERBARU  :)
1. Iya benar KJ adalah jamu Win, kemarin lupa sewaktu windows script disabled, sempat install KJ namun gagal, lalu enabled dari Smadav, dan akhirnya pake WinLoader untuk jamunya.. Sepertinya di KJ ini ada terinstall juga paketan lain-lain, seperti driver, app tune-up, dsb. Note: Smadav menemukan 2 virus di dalam folder ini, yakni
C:\Windows\KJ\UI\SDW\sdw.exe
C:\Windows\KJ\KMService.exe

Berikut link untuk 1 FOLDER KJ & file KJ.exe.
https://www.sendspace.com/filegroup/2yEPdxChI4SqpnbJ7APEXg

2.XOFNW ternyata adalah file (system file) bukan folder.. tapi saya asing dengan file ini

3.Scan TDSSKILLER Done
4.Scan aswMBR Done
5.Scan GMER Done

Berikut file LOG'nya ketiganya
https://www.sendspace.com/filegroup/S46HxcjXZXV1CCxDu6rA6Va5Src5Fmb1

PERTANYAAN LAIN
Sampai saat ini saya cuma ada Smadav versi terbaru + MBAW.. adakah rekomendasi AV lain untuk dikawinkan ke Smadav yang ringan dan pamungkas? Dulu pakai BitDefender full vers. promo license, tapi cukup berat, setelah license habis saya uninstall. Rencana MBAW setelah case closed mau saya uninstall, ataukah... biarkan saja meski yang FREE?

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.477
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #23 pada: Agustus 05, 2017, 07:36:59 PM »
KJ.exe aman, namun kita hapus saja karena Anda sudah pakai jamu yang lain.

Sesuai dugaan, sistem Anda terkena virus Rootkit.
Oke, langsung saja kita bersihkan:

The Avenger by Swandog46

  • Download The Avenger dan Avenger Script.txt, Save ke Desktop.
  • Klik kanan pada ikon dan klik Run as Administrator.
  • Klik tombol OK.
  • Buang centangan Scan for rootkit.
  • Klik menu Load Script, pilih From File...
  • Arahkan ke Avenger Script.txt di Desktop tadi.
  • Klik Execute dan biarkan Restart.
  • Setelah selesai, akan menghasilkan log pada C:\avenger.txt
  • Upload log ini ke Send Space dan kirim linknya kemari.
Setelah ini, coba bersihkan Browser Cache dari Chrome, gampangnya pakai CCleaner aja, kebetulan Anda punya programnya.

Laporkan lagi perkembangan lagi setelah ini, masih ada pop-up?

Btw, cek PM ya gan..
« Edit Terakhir: Agustus 05, 2017, 08:20:15 PM oleh Ki@mhu »

Offline 1sh

  • Pro10
  • ***
  • Tulisan: 19
  • Reputation: 0
    • Lihat Profil
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #24 pada: Agustus 06, 2017, 02:00:30 AM »
UPDATE TERAKHIR

Wahh.. jadi nambah ilmu saya, rootkit masih asing di pengalaman.. berarti ini virus menyaru dengan nama random menjadi semacam driver dan bekerja secara tersembunyi kira2 begitu ya? saya coba googling "wvhdqsgr.sys" kok tidak ada data di hasil pencarian/pengalaman orang lain. Makanya kok susah sekali bersihkannya  :o

Berikut yang sudah saya lakukan:
1. UNINSTALL KJ (setelah uninstall foldernya langsung hilang beserta isi-isinya)
2. Execute Avenger dengan hasil log sebagai berikut https://www.sendspace.com/file/iydf17
3. Saya bersihkan cache/history2 Chrome via CCleaner
4. Saya analyze + fix registry (udah backup) via CCleaner
5. Saya RESET setting Chrome
6. Saya buang  Adblock Plus dan Re-Install
7. Saya restart.

Sejauh ini tidak ada tanda-tanda redirect atau pop-up blocked dari MBAM  :-X :-X :-X

Semoga lancar jaya dan sembuh total.. terima kasih so far, saya coba update lebih lanjut dalam beberapa hari ke depan gan  :-bd

PERTANYAAN LAIN
Sampai saat ini saya cuma ada Smadav versi terbaru (PRO) + MBAW.. adakah rekomendasi AV lain untuk dikawinkan ke Smadav yang ringan dan pamungkas? Dulu pakai BitDefender full vers. promo license, tapi cukup berat, setelah license habis saya uninstall. Rencana MBAW setelah case closed mau saya uninstall, ataukah... biarkan saja meski yang FREE?

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.477
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #25 pada: Agustus 06, 2017, 02:22:15 AM »
Alhamdulillah, semoga pop-up itu memang kerjaan Rootkit yaa..
Ini bukan tipe Rootkit yang ganas, dia menyembunyikan diri dari Windows. Tidak bisa dideteksi dari Process Explorer, Autoruns, dan sejenisnya. Harus yang tipe Scan Rootkit baru bisa. Itu pun tidak semua bisa deteksi, makanya ane butuh 3 Tools di sini. Aswmbr gak detek, GMER yang quick scan detek kejanggalan tapi gak bs langsung ke intinya (wvhdqsgr.sys) tapi kalo full scan sih Saya yakin bisa, cuman lama sekali. TDSSkillerlah yang berhasil ngasi informasi berguna. :D


Kabari lagi nanti apakah masih ada pop-up?

Oh iya, Saya lupa jawab pertanyaan Anda yang sebelumnya..

MBAM yang free tidak ada RTP (proteksi Real Time), dia hanya Scanner saja. Boleh saja dipertahankan untuk keperluan Scan nanti mana tahu butuh. Yang versi premium baru ada RTP dan bisa melindungi sistem.

Jika mau yang free saja, Startupnya dimatikan saja. Toh RTP tidak aktif, tidak berguna jika Startup otomatis.

Jika tidak mau MBAM premium, pakai saja Avast/Eset/Avira.

Btw, boleh uploadkan file hasil hapusan oleh Avenger? Dia ada di dalam folder C:\Avenger.
Jika agan berkenan, tolong Upload ke SendSpace. backup.zip dan backup.reg di dalam folder ini. Adakah file lain di dalam folder ini lagi?

Sekalian ulangi proses TDSSkiller, aswMBR, dan GMER sekaligus upload lagi ketiga lognya untuk memastikan tidak ada lagi Rootkit.
« Edit Terakhir: Agustus 06, 2017, 02:23:49 AM oleh Ki@mhu »

Offline 1sh

  • Pro10
  • ***
  • Tulisan: 19
  • Reputation: 0
    • Lihat Profil
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #26 pada: Agustus 06, 2017, 03:32:40 AM »
Siap...  :-bd
Sepertinya saya prefer Kaspersky melihat dari program yang dipakai TDSSKiller dia yang berhasil kasih informasi paling menohok. Berikut link yang saya lakukan terakhir gan  :-bd

https://www.sendspace.com/filegroup/neJjwFVezIO5SvNbwKaRXq%2FYmn6nO7f3

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.477
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #27 pada: Agustus 06, 2017, 03:46:36 AM »
Tapi Kaspersky agak berat untuk spek kompie Anda. Kecuali Kasperksy free yang cuma ada fitur AV saja, sangat ringan.

Mengenai TDSS bisa Detect, pernah juga kejadian ketemu Rootkit yang bisa dideteksi GMER tapi TDSS gak Detect juga. Untuk kasus Anda ini, pas TDSS bisa Detect.

Btw, Log Gmer yang Anda lampirkan itu log lama
Kutip
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2017-08-05 13:22:03

Bisa Scan ulang, Save dan Upload log barunya?
Sempat terkejut Saya tadi, kenapa setelah dibersihkan, GMER masih Detect Rootkit sedangkan TDSS menyatakan sudah bersih? Ternyata GMERnya masih yang lama.. ;D

Offline 1sh

  • Pro10
  • ***
  • Tulisan: 19
  • Reputation: 0
    • Lihat Profil
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #28 pada: Agustus 06, 2017, 01:00:04 PM »
Tapi Kaspersky agak berat untuk spek kompie Anda. Kecuali Kasperksy free yang cuma ada fitur AV saja, sangat ringan.

Mengenai TDSS bisa Detect, pernah juga kejadian ketemu Rootkit yang bisa dideteksi GMER tapi TDSS gak Detect juga. Untuk kasus Anda ini, pas TDSS bisa Detect.

Btw, Log Gmer yang Anda lampirkan itu log lama
Bisa Scan ulang, Save dan Upload log barunya?
Sempat terkejut Saya tadi, kenapa setelah dibersihkan, GMER masih Detect Rootkit sedangkan TDSS menyatakan sudah bersih? Ternyata GMERnya masih yang lama.. ;D

Ooow, saya coba cek system req di webnya memang yang KIS disarankan 2Gb (pc yang ini cuma usable 3,5 dari 5Gb sebab dulu awal install 32bit nda skalian 64bit). Tapi gpp saya coba dulu trial 30hari, klo nda berat2 amat baru beli license. MBAM mau saya uninstall saja rencananya..

Oh iya mungkin ngantuk gan wkwkwkw, ini yang terbaru lognya  :D
https://www.sendspace.com/file/3gx6l8

Offline Ki@mhu

  • Pro500
  • ******
  • Tulisan: 1.477
  • Reputation: 788
  • Jenis kelamin: Pria
  • Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh
    • Lihat Profil
    • My Blog
Re:Mohon bantuan, Adware bandel "LIVEADEXCHANGER"
« Jawab #29 pada: Agustus 06, 2017, 01:07:17 PM »
Jika tidak ada Pop-up lagi, karena sistem Anda sudah bersih, mari kita bersihkan Disinfection Tools dan folder karantina yang telah kita gunakan, membuat Checkpoint System Restore sehat yang baru dan menghapus sistem restore yang lama pada saat terkena virus.

Download DelFix and save ke desktop.

  • Jalankan dengan klik kanan pada logo dan pilih Run as administrator.
  • Centang pada pilihan: Remove disinfection tools, Purge system restore, dan Reset system settings



  • Klik Run tunggu sampai selesai
  • Setelah selesai, akan muncul log pada (C:\DelFix.txt). Log ini tidak perlu dilampirkan lagi
Btw, sewaktu Anda scan dengan MalwareBytes, apakah ada dicentang Scan for Rootkit?



Secara Default, dia tidak dicentang karena proses Scan jadi lama. Jika tercentang, mungkin bakal ketahuan Rootkitnya.
« Edit Terakhir: Agustus 06, 2017, 01:08:55 PM oleh Ki@mhu »