Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - luci

Halaman: [1]
1
Konsultasi Virus / CSRSS trojan miner folder WmiAppSrv
« pada: November 16, 2018, 09:17:41 AM »
Help, PC saya kok kena trojan csrss mining ya? cara bersihinnya gimana? ini file tiap dikill lalu dihapus filenya dia create ulang filenya
Lewat smadav ga kedeteksi apa2, tapi q scan divirustotal ternyata trojan

Link virustotal= https://www.virustotal.com/#/file/d92cfffbd3060aa141eab23a8792aa05a0494a6323f92d10d457a8f89eab62c2/detection


Screenshot 1:
Setelah q telusuri, kedetect dr aplikasi security task manager, dr aplikasi itu dikirim file ke virustotal discan, dan bener, itu file trojan. Dia bukan virus, ga ngerusak data, tapi trojan yg menguras cpu usage, dia dr coin miner, jd dia naruh file csrss palsu yg fungsinya untuk mining bitcoin si pembuat trojan. Nah aslinya file csrssku itu ada 2, kedua file csrss q scan ke virustotal aman, nah csrss ke3 ini yg trojan

Screenshot 2:
Q coba cek, sumber directory foldernya adalah C:\ProgramData\Microsoft\WmiAppSrv di dalam folder itu ada csrss palsu, aq coba rename tp setelah direname dia bikin file csrss palsu yg baru, aq coba end now itu proses dan masukin ke karantina dr aplikasi security task manager, memang setelah q karantina proses hilang dan cpu usage balik normal tapi hanya beberapa detik, dia merestore file csrss dan cpu usage balik naik.
Dr sini aq blm menemukan si pen-trigger yg create file csrss setelah q rename. Aq dul upenghalaman nangani virus, pasti ada file pelaku utama yg ngecreate file yg kalo dihapus muncul lg, tp disini q belum nemu, pasti ada suatu proses yg nyelip diantara proses dalam task manager yg merupakan pelaku utama script yg ngecreate ulang csrss

Screenshot 3:
Posisi setelah q restart pc (aq pake deep freeze jd balik normal), aq cek directory C:\ProgramData\Microsoft\WmiAppSrv
Itu directory ga ada, artinya itu folder muncul karena ada pemicu/triggernya. Pemicunya apa? q blm tau, tp dr beberapa kesimpulanku pemicunya saat q browsing, aq td buka2 beberapa web tentang macbook

Screenshot 4:
Ini detik2 sebelum masuknya trojan coin miner, aq lg main RO pakai NOX, tiba2 NOX ngefreeze, dan muncul popup tulisan "VIRTUALBOX HEADLESS FRONTEND HAS STOP WORKING"

Screenshot 5:
CARA ANTISIPASI:
Sebenernya ada cara, ini cara sudah q tes dulu saat q pernah kena virus tp blm q tes untuk yg trojan ini td keburu restart pc.
Caranya adalah membuat file csrss tipe notepad tp dg nama csrss, jadi setelah file csrss palsu aq delete, aq buru2 paste file notepad dg nama sama. Sama seperti screenshot 5 ini, di tiap drive, ini drive C, aq buat folder nama autorun.inf. Di C itu ada penangkal virus untuk menempatkan file autorun.inf ga akan bisa soalnya sudah q taruh folder dg nama sama. (virus ga akan bisa naruh file jika di tempat tersebut sudah ada file dg nama sama). Cara ini belum saya tes untuk trojan ini.

Screenshot 6:
Setelah q restart normalnya hanya ada 2 file csrss, ini kalo discan ke virustotal bukan trojan yg 2csrss lainnya.


Aq kena gini td 3 kali percobaan pas main nox setelah beberapa jam, tp kenanya tepat selalu di jam 8.49

2
Konsultasi Virus / ini virus ato false detect?
« pada: Juli 29, 2018, 05:31:34 AM »
Mau tanya ini virus bukan ya? atau hanya false detect?
Pas awal instal windows ga ada kaya gini
Saya lupa muncul ini setelah instal program apaan, cuma registry tapi virusnya ga ada

Satu lagi, itu registry untuk apa ya?

Halaman: [1]