Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - luci

Halaman: [1]
1
Konsultasi Virus / Tentang googlehosted.l.googleusercontent.com dan gtv1.com
« pada: September 09, 2019, 05:44:52 AM »
Mau nanya, ada 2 hal sih yg pingin q tanya, mengenai googlehosted.l.googleusercontent.com dan SVChost.exe connect to redirect to gtv1.com

Kondisi PC:
deep freeze, freeze C
OS win 7 64bit
Alat cek menggunakan GLASSWIRE, SECURITY TASK MANAGER
Antivirus menggunakan MALWAREBYTE PREMIUM, hasil scan tidak ada rootkit atau virus lain, status dianggap clean.


Pertanyaan pertama:
Jadi saya kan pakainya browser OPERA, saya ada chrome tapi jarang saya pakai. Saya lalu iseng buka chrome,  keanehannya disini, tiap awal buka chrome selalu muncul proses SVCHOST yg outbound ke gtv1.com host yg nyedot kuota data(download berjalan), saya ceknya dr GLASSWIRE, saya cek forum hasil didapat:
https://forums.malwarebytes.com/topic/189431-svchostexe-connect-to-redirector-gtv1com-host/
https://forums.malwarebytes.com/topic/198669-possible-infection-redirectorgvt1com/ <---- yg ini moderator forum bilang not infected alias bukan virus
https://forum.avast.com/index.php?topic=180720.0
https://www.bleepingcomputer.com/forums/t/604773/what-is-this-suspect-false-postive-but-would-like-certainty-regards-a-gvt1com/
https://hapusvirus.com/redirector-gvt1-com-virus-penghapusan/

"Redirector GVT1. Com adalah suatu jenis program yang mampu mengubah tiga web browser utama-Internet Explorer, Mozilla Firefox dan Google Chrome tanpa izin Anda. Dengan demikian, GVT1 Redirector. Com telah dikategorikan sebagai pembajak peramban."


https://howtoremove.guide/redirector-gvt1-com-virus-malware-chrome-removal/


Dr semua link diatas didapat kesimpulan cara fixnya dg remove add on yg ada di browser, udah q remove.

Nah setelah itu, aq uninstal chrome saya, lalu saya instal chrome baru yg masih fresh tanpa add-on2 lain.
Setelah pakai chrome baru tidak ada lagi proses svchost yg outbound ke gtv1.com.

OK sampai ini saya anggap masalah gtv1.com SELESEI, tapi saya masih penasaran, itu gtv1.com apaan sih?


Nah pertanyaan kedua:
Setelah ga ada lagi proses SVCHOST outbound ke gtv1.com, chrome saya masih nyedot kuota data atau melakukan download, tapi nama prosesnya adalah:
googlehosted.l.googleusercontent.com

Nah itu proses apaan?
Pertama buka chrome muncul proses itu dan makan 50MB kuota data. Kalo saya cek googlehosted.l.googleusercontent.com itu IPnya 172.217.24.161 milik Google LLC (google.com) cek di https://ipinfo.io/172.217.24.161
Lalu chrome saya tutup, saya buka lagi (ini kedua kali saya buka chrome), eh muncul lagi itu proses kena 50MB lagi tapi IPnya beda 217.58.196.33 saya cek di https://db-ip.com/217.58.196.33 milik:
Hostname   host33-196-static.58-217-b.business.telecomitalia.it
ASN   3269 - ASN-IBSNAZ
ASN AS3269 Telecom Italia S.p.A.
ISP   Interbusiness
Organization   Confesercenti Tapani

Saya tutup lagi, lalu saya tunggu bentar saya buka lagi chrome tidak ada lagi proses tersebut.
Total kuota data kesedot 50*2=100MB (bikin miskin kuota)


Semua saya cek menggunakan GLASSWIRE
Kalo discan malwarebyte semua bersih.


Nah itu googlehosted.l.googleusercontent.com apaan dan mengapa download 50MB?
Bagaimana menghentikannya?





2
Konsultasi Virus / CSRSS trojan miner folder WmiAppSrv
« pada: November 16, 2018, 09:17:41 AM »
Help, PC saya kok kena trojan csrss mining ya? cara bersihinnya gimana? ini file tiap dikill lalu dihapus filenya dia create ulang filenya
Lewat smadav ga kedeteksi apa2, tapi q scan divirustotal ternyata trojan

Link virustotal= https://www.virustotal.com/#/file/d92cfffbd3060aa141eab23a8792aa05a0494a6323f92d10d457a8f89eab62c2/detection


Screenshot 1:
Setelah q telusuri, kedetect dr aplikasi security task manager, dr aplikasi itu dikirim file ke virustotal discan, dan bener, itu file trojan. Dia bukan virus, ga ngerusak data, tapi trojan yg menguras cpu usage, dia dr coin miner, jd dia naruh file csrss palsu yg fungsinya untuk mining bitcoin si pembuat trojan. Nah aslinya file csrssku itu ada 2, kedua file csrss q scan ke virustotal aman, nah csrss ke3 ini yg trojan

Screenshot 2:
Q coba cek, sumber directory foldernya adalah C:\ProgramData\Microsoft\WmiAppSrv di dalam folder itu ada csrss palsu, aq coba rename tp setelah direname dia bikin file csrss palsu yg baru, aq coba end now itu proses dan masukin ke karantina dr aplikasi security task manager, memang setelah q karantina proses hilang dan cpu usage balik normal tapi hanya beberapa detik, dia merestore file csrss dan cpu usage balik naik.
Dr sini aq blm menemukan si pen-trigger yg create file csrss setelah q rename. Aq dul upenghalaman nangani virus, pasti ada file pelaku utama yg ngecreate file yg kalo dihapus muncul lg, tp disini q belum nemu, pasti ada suatu proses yg nyelip diantara proses dalam task manager yg merupakan pelaku utama script yg ngecreate ulang csrss

Screenshot 3:
Posisi setelah q restart pc (aq pake deep freeze jd balik normal), aq cek directory C:\ProgramData\Microsoft\WmiAppSrv
Itu directory ga ada, artinya itu folder muncul karena ada pemicu/triggernya. Pemicunya apa? q blm tau, tp dr beberapa kesimpulanku pemicunya saat q browsing, aq td buka2 beberapa web tentang macbook

Screenshot 4:
Ini detik2 sebelum masuknya trojan coin miner, aq lg main RO pakai NOX, tiba2 NOX ngefreeze, dan muncul popup tulisan "VIRTUALBOX HEADLESS FRONTEND HAS STOP WORKING"

Screenshot 5:
CARA ANTISIPASI:
Sebenernya ada cara, ini cara sudah q tes dulu saat q pernah kena virus tp blm q tes untuk yg trojan ini td keburu restart pc.
Caranya adalah membuat file csrss tipe notepad tp dg nama csrss, jadi setelah file csrss palsu aq delete, aq buru2 paste file notepad dg nama sama. Sama seperti screenshot 5 ini, di tiap drive, ini drive C, aq buat folder nama autorun.inf. Di C itu ada penangkal virus untuk menempatkan file autorun.inf ga akan bisa soalnya sudah q taruh folder dg nama sama. (virus ga akan bisa naruh file jika di tempat tersebut sudah ada file dg nama sama). Cara ini belum saya tes untuk trojan ini.

Screenshot 6:
Setelah q restart normalnya hanya ada 2 file csrss, ini kalo discan ke virustotal bukan trojan yg 2csrss lainnya.


Aq kena gini td 3 kali percobaan pas main nox setelah beberapa jam, tp kenanya tepat selalu di jam 8.49

3
Konsultasi Virus / ini virus ato false detect?
« pada: Juli 29, 2018, 05:31:34 AM »
Mau tanya ini virus bukan ya? atau hanya false detect?
Pas awal instal windows ga ada kaya gini
Saya lupa muncul ini setelah instal program apaan, cuma registry tapi virusnya ga ada

Satu lagi, itu registry untuk apa ya?

Halaman: [1]