Tulisan Terbaru

Halaman: 1 2 [3] 4 5 ... 10
21
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh MiloMen™ pada Desember 08, 2018, 10:30:42 AM »
Td q post q kira dah aman, tau2 muncul lg ga tau dr mana, q kira aman krn 4 hari q tes di profile baru (aq create profile buat log on baru) aman2 aja, hari ini q balik profile 1 eh muncul lg  :'(

Tp kedeteksi di glasswire, screenshot di atasnya post ini

Sepertinya saya mau pindah ke profile 2 saja, yg profile 1 saya hapus

Cek attachment:

Itu file service.exe apa sih ama darimana? udah berkali2 q hapus kok muncul lagi

Service.exe di folder windows kalo kedetect pas pertama kali scan malwarebyte sbg malware backdoor.Bot.E.Generic
Tapi kalo q scan divirustotal kok clean? lalu q pindah file service.exe ke sebuah folder lalu q scan di malwarebyte malah clean

Knp ya ini?


https://www.solvusoft.com/en/malware/trojans/generic-backdoor-bot/
Trojans like Generic BackDoor!bot are difficult to detect because they hide themselves by integrating into the operating system. Once it infects your computer, Generic BackDoor!bot executes each time your computer boots and attempts to download and install other malicious files. Upon successful execution, it deletes the source program, making it more difficult to detect.

Dia abis ngeksekusi mau ke ip luar, langsung delete source program, jadi pas q scan ulang clean file service.exenya

Scan pakai ESET NOD32 Antivirus versi alat ini untuk sistem operasi Anda:
Download | 32-bit
Download | 64-bit

Lisensi ESET cek gudang ya! <=)

Pengaturan ESET Secara Optimal:
1. Buka aplikasi ESET. Tekan F5 untuk masuk ke advanced setup.
    Klik real-time system protection file, threatsense parameters, cleaning level, klik Strict cleaning.
2. Klik Malware Scan, threatsense parameters, cleaning level, klik Strict cleaning.
3. Klik Malware Scan, idle-state scans, threatsense parameters, cleaning level, klik Strict cleaning
4. Klik Malware Scan, startup scan, threatsense parameters, cleaning level, klik Strict cleaning.
5. Klik Malware Scan, document protection, geser ke arah kiri (Integrate into the system).
    threatsense parameters, cleaning level, klik Strict cleaning.
6. Klik Web And Email, email client protection, threatsense parameters, cleaning level, klik Strict cleaning.
7. Klik Web And Email, web access protection, threatsense parameters, cleaning level, klik Strict cleaning.
8. Selesai, klik Scan Your Computer

Note!!!:
Saat proses scanning komputer jangan di gunakan agar proses scanning tidak terganggu.
22
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh Ki@mhu pada Desember 08, 2018, 09:07:26 AM »
Coba upload services.exe tsb kemari
23
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh luci pada Desember 06, 2018, 12:12:22 PM »
Kesimpulan saya:
- 4 hari lalu saya tes bikin profile baru sebut saja profile 2, lalu yg bermasalah di profile 1, nah selama 4 hari PC saya ON di profile tidak ditemukan masalah apa2. Saat itu status deep freeze saya ON pas melakukan pengetesan bikin profile baru selama 4 hari, jadi pas pc off lalu restart profile 2 hilang kereset deep freeze.
- hari ini tgl 6 desember saya coba login profile 1 karena pikir saya kemarin selama 4 hari di profile 2 aman2 aja,  saya sempet bales post mimin yg menyatakan udah celar, tp ternyata ga beberapa lama kemudian muncul lagi 18 notif ke ip korea, kedeteksi GlassWire sebagai Local Security Authority Process , beberapa menit kemudian muncul lg 2 notif, total 20notif malwarebyte ke ip korea, sang trojan tersebut sangat pintar, dia menaruh file service.exe di folder windows untuk melakukan aksinya ngebuka ip korea, tapi pintarnya dimana?
Begini, saat pertama kali terdeteksi malwarebyte adanya proses ke ip korea, service.exe tersebut kedetect sbg backdoor yg fungsinya ngebuka ip korea, tapi setelah melakukan proses ngebuka ip, backdoor tersebut melakukan penghilangan jejak, sepertinya dia langsung mendelete source code di file service.exe, knp saya bisa tau?
Saya tau karena setelah saya scan ulang service.exe yg terjadi adalah clean tidak terdeteksi!!



Jd saya sendiri tidak tau siapa pelaku yg menaruh file service.exe di dalam folder windows, ini file service.exe kalo dihapus manual, dia bisa balik lagi menaruh file service.exe di dalam folder windows

Pertanyaannya:
Kenapa pas saya percobaan bikin profile baru yaitu profile kedua dan memakai profile 2 selama 4 hari tidak terjadi apa2 alias aman2 aja??


Karena itu hari ini saya coba membuat profile baru pas posisi Deep Freeze off, lalu profile lama saya yaitu profile 1 saya delete. Seharusnya sekarang sudah aman, karena pas percobaan 4 hari kemarin di profile baru ga terjadi apa2.

Kita lihat beberapa hari kedepan, apa di profile yg baru ini masih muncul notif ke ip korea yg disebabkan oleh file service.exe?

Jadi ini trojan memang sangat pintar sekali, biasanya ya kalo trojan bikin file itu filenya tetep kedeteksi, yg ini ga, dia kedeteksi pas aksi pertama saja pas ngebuka ip korea mau download trojan baru, jd dia ga sekali serang, stage 1 dia naruh file service.exe di folder windows yg saat pada stage ini hanyalah sebuah jadwal proses untuk melakukan koneksi ke ip luar, jika dia berhasil connect dia akan mendownload file trojannya seperti trojan mining dll.
Gak tau siapa pelaku yg naruh file service.exe, tapi feeling saya hanya terjadi di profile lama, saat saya pindah ke profile baru itu aman semua ga ada apa-apa.

Seharusnya ya, kalo registry saya keinfeksi harusnya profile baru tetep kena, tp kok di profile baru aman2 aja..., aneh.

ya mudah2an aman2 aja, q mau coba beberapa hari kedepan di profile baru ini bener aman ato kembali kena..

Susah min, baru kali ini aq nemu trojan yg hidingnya dia bagus banget, setelah deteksi pertama dia langsung delete code jd file clean...

Saya mau nanya, aplikasi/software yg fungsinya biar ketauan siapa/proses apa yg naruh file ke suatu directory itu ada ga ya?

Contohnya gini:
Saya save file msword, nanti ketauan yg naruh file msword adalah aplikasi microsoft office, nah aq butuh software yg kaya gitu ada ga?
24
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh luci pada Desember 06, 2018, 10:27:26 AM »
Gimana kompi Anda sudah aman dari virus?

Td q post q kira dah aman, tau2 muncul lg ga tau dr mana, q kira aman krn 4 hari q tes di profile baru (aq create profile buat log on baru) aman2 aja, hari ini q balik profile 1 eh muncul lg  :'(

Tp kedeteksi di glasswire, screenshot di atasnya post ini

Sepertinya saya mau pindah ke profile 2 saja, yg profile 1 saya hapus

Cek attachment:

Itu file service.exe apa sih ama darimana? udah berkali2 q hapus kok muncul lagi

Service.exe di folder windows kalo kedetect pas pertama kali scan malwarebyte sbg malware backdoor.Bot.E.Generic
Tapi kalo q scan divirustotal kok clean? lalu q pindah file service.exe ke sebuah folder lalu q scan di malwarebyte malah clean

Knp ya ini?


https://www.solvusoft.com/en/malware/trojans/generic-backdoor-bot/
Trojans like Generic BackDoor!bot are difficult to detect because they hide themselves by integrating into the operating system. Once it infects your computer, Generic BackDoor!bot executes each time your computer boots and attempts to download and install other malicious files. Upon successful execution, it deletes the source program, making it more difficult to detect.

Dia abis ngeksekusi mau ke ip luar, langsung delete source program, jadi pas q scan ulang clean file service.exenya

25
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh luci pada Desember 06, 2018, 10:24:11 AM »
Untuk masalah mencoba konek ke ip korea, coba instal glasswire berikut ini, jangan diupdate ke versi baru ya nanti fiturnya berubah
Glasswire versi free, Tools lawas mantap untuk monitoring penggunaan bandwith internet serta untuk memblok aplikasi yg tidak diinginkan terkoneksi ke internet, cocok banget untuk menghemat pemakaian kuota internet anda, semoga bermanfaat, download di https://s.id/2kxwN

kemudian nonaktifkan malwarebytesnya biarkan dia ngapain aja konek ke ip korea tinggal pantau dari glasswire, kalo diblok kan gak tahu mau ngapain sebenarmya, jadi nonaktifkan dulu dan pantau.

Saya tes 4 hari pakai profile baru aman2 aja, saya lalu tes balik ke profile 1 lagi (di windows profile buat log on) saya kira udah aman, ternyata muncul lagi notif ke ip 208.77.45.211 melalui file lsass.exe

Sepertinya memang saya harus pindah ke profile 2 saja lalu hapus profile 1.

Saya cek di GlassWire di jam yg sama saat notif muncul kedeteksi Local Security Authority Process itu filenya lsass.exe, tp q scan dr glasswire itu file lsass.exenya clean

Knp ya?

26
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh luci pada Desember 06, 2018, 08:43:58 AM »
Gimana kompi Anda sudah aman dari virus?

Sudah, udah saya tes 4 hari non stop ga ada notif ke ip korea lagi setelah saya melakukan restore to default setting chrome + delete content sandboxie
Sepertinya memang dihijack dr chromenya, tp dah clean setelah restore to default setting.
Trojan minner juga udah ga ada setelah diclean memakai malwarebyte.
Untuk proses acdsee ga ada lg krn saya uninstal acdsee yg ada cracknya.

Case udah clear semua

Makasih yg udah bantu kasih beberapa softwarenya, terutama software terakhir glasswire bisa memantau segala aktifitas koneksi internet  :)

**catatan:
barusan nemu salah satu web address yg kemungkinan ada trojan miner, yaitu web indoxxi tapi pas bagian download movienya, nti didirect ke akubebas.com , diblock ama malwarebyte, pas q search google akubebas.com = trojan miner

https://greatis.com/blog/howto/remove-cdn-akubebas-com-forever.htm
27
Kantor Smadav / beli smadav pro
« Tulisan terakhir oleh Sugen Abas pada Desember 05, 2018, 09:50:29 PM »
bagaimana saya membeli key smadav pro? :)
28
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« Tulisan terakhir oleh MiloMen™ pada Desember 05, 2018, 08:06:33 PM »
Toolnya sangat membantu sekali, serial keynya ga ada ya min?
Bagus ini yg q butuhin dr dulu, pas ada koneksi pertama kali dia langsung notif apa programnya.
Semenjak aq restore to default setting chrome+ clean content sanboxie+delete remote desktop di my document, udah 2 hari ga muncul notif ke ip korea lg. Kalo muncul pasti kedetect ama glasswire.

Min, file remote desktop yg di screenshot attachment itu file apa ya? Aq padahal ga instal remote desktop.
Tp semenjak q delete itu file, skrng 2 hari ga muncul proses ke ip korea
Gimana kompi Anda sudah aman dari virus?
29
Kantor Smadav / Re:Key smadav
« Tulisan terakhir oleh 3ndiixz pada Desember 05, 2018, 05:39:19 PM »
Setelah melakukan transfer. silahkan lakukan konfirmasi pembelian, petunjuknya ada disini http://s.id/10gc
30
Kantor Smadav / Key smadav
« Tulisan terakhir oleh Rahmatunnida pada Desember 05, 2018, 10:42:39 AM »
Saya sudah transfer untuk mendapat key nya bagaimana?
Halaman: 1 2 [3] 4 5 ... 10