Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Pesan - luci

Halaman: [1] 2 3 4 ... 11
1
NAH INI PAS POSISI PC MASIH FRESH SETELAH RESTART KARENA DEEPFREEZE ON KE DRIVE C

pas masih fresh, dxdiag masih normal, aq scan registrynya
Dan bener berbeda, ga ada registry RKR

Bisa dicek di attachment screenshotnya kalo ga ada registry RKR
Cuma feeling saya registry RKR muncul setelah pergantian info DXDIAG

Saya memakai perbandingan registry sebelum dan sesudah memakai aplikasi RegistryChangesView.exe

2
TAMBAHAN SCREENSHOT REGISTRY EXTENSI RKR ada banyak, herannya ini ga kedeteksi ama malwarebyte update database terbaru dan smadav

3
EDIT:
Barusan saya cek scan registry change pake aplikasi registrychangesview-x64 dan terdeteksi ada registri mencurigakan:
cek attachment screenshhotnya
registry aneh extensi .rkr yaitu rkcybere.rkr

Ini apa ya?


q cek tentang rkr nemu https://www.trendmicro.com/vinfo/us/threat-encyclopedia/archive/malware/troj_small.ljf katanya trojan

"This Trojan creates the following registry key(s)/entry(ies):

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Explorer\
UserAssist\
{75048700-EF1F-11D0-9888-006097DEACF9}\Count\
HRZR_EHACNGU:P:\Cebtenz Svyrf\Vagrearg Rkcybere\vrkcyber.rkr" ----> info di web tersebut

4
Mau bertanya, ini virus atau bukan?

Jika PC bangun dr mode sleep info DXDIAG berubah menjadi:
------------------
System Information
------------------
System Manufacturer: ALASKA
System Model: A_M_I

dan bagian Processor: Intel(R) Core(TM) i5-2500 CPU @ 3.30GHz (4 CPUs), ~3.3GHz
akan berubah menjadi Processor: n/a

Normalnya itu:
System Manufacturer: ECS
System Model: H64 mobo

Keterangan:
1. Saat info berubah menjadi Processor: n/a, saya scan dr cpuz dan procie terdeteksi normal
2. Saat System Manufacturer dan system model berubah info saya sudah scan dr 2 antivirus, pertama malwarebyte premium database terbaru dan smadav, hasil:
- malwarebyte premium= clean tidak terdeteksi, root juga tidak terdeteksi
- smadav= clean tidak terdeteksi
3. saya udah tanya ke group fb dan ECS mobo FB pagesm kata ECS fb pages hal itu aman dan normal, kata orang group FB jg hal itu wajar
4. saya cek scan pake ASWMBR dan MBR normal
5. screenshot, hasil log ada di attachment
6. bagian  Processor: n/a  jika diklik tombol "RUN DXDIAG 64BIT" akan balik normal jadi Intel(R) Core(TM) i5-2500 CPU @ 3.30GHz (4 CPUs), ~3.3GHz tapi yg ALASKA sama A_M_I tidak berubah normal

Nah saya mau tanya disini, kenapa hal itu bisa terjadi perubahan info pd DXDIAG??
Apa hal ini wajar?

Saya menggunakan deepfreeze dan saya freeze C, jd kalo PC direstart info dxdiag balik normal tapi setelah sekian lama, kalo yg baru saya tes triggernya setelah sleep lama baru beribah info
Sekedar info, antivir malwarebyte saya termasuk bagus dlm pendeteksian virus, live protectnya juga ON, heran aja di malwarebyte ga kedeteksi apa2, tp info DXDIAG bisa berubah

Mohon bantuannya

             

5
Konsultasi Virus / Re:Tentang googlehosted.l.googleusercontent.com dan gtv1.com
« pada: September 09, 2019, 10:50:58 AM »
bisa jadi update dari Google Chrome nya

Tp pas instal terbaru udah versi paling baru, semua update sudah aq matikan dr menu schedule, file update.exe juga udah q rename biar ga jalan proses updatenya

6
Konsultasi Virus / Tentang googlehosted.l.googleusercontent.com dan gtv1.com
« pada: September 09, 2019, 05:44:52 AM »
Mau nanya, ada 2 hal sih yg pingin q tanya, mengenai googlehosted.l.googleusercontent.com dan SVChost.exe connect to redirect to gtv1.com

Kondisi PC:
deep freeze, freeze C
OS win 7 64bit
Alat cek menggunakan GLASSWIRE, SECURITY TASK MANAGER
Antivirus menggunakan MALWAREBYTE PREMIUM, hasil scan tidak ada rootkit atau virus lain, status dianggap clean.


Pertanyaan pertama:
Jadi saya kan pakainya browser OPERA, saya ada chrome tapi jarang saya pakai. Saya lalu iseng buka chrome,  keanehannya disini, tiap awal buka chrome selalu muncul proses SVCHOST yg outbound ke gtv1.com host yg nyedot kuota data(download berjalan), saya ceknya dr GLASSWIRE, saya cek forum hasil didapat:
https://forums.malwarebytes.com/topic/189431-svchostexe-connect-to-redirector-gtv1com-host/
https://forums.malwarebytes.com/topic/198669-possible-infection-redirectorgvt1com/ <---- yg ini moderator forum bilang not infected alias bukan virus
https://forum.avast.com/index.php?topic=180720.0
https://www.bleepingcomputer.com/forums/t/604773/what-is-this-suspect-false-postive-but-would-like-certainty-regards-a-gvt1com/
https://hapusvirus.com/redirector-gvt1-com-virus-penghapusan/

"Redirector GVT1. Com adalah suatu jenis program yang mampu mengubah tiga web browser utama-Internet Explorer, Mozilla Firefox dan Google Chrome tanpa izin Anda. Dengan demikian, GVT1 Redirector. Com telah dikategorikan sebagai pembajak peramban."


https://howtoremove.guide/redirector-gvt1-com-virus-malware-chrome-removal/


Dr semua link diatas didapat kesimpulan cara fixnya dg remove add on yg ada di browser, udah q remove.

Nah setelah itu, aq uninstal chrome saya, lalu saya instal chrome baru yg masih fresh tanpa add-on2 lain.
Setelah pakai chrome baru tidak ada lagi proses svchost yg outbound ke gtv1.com.

OK sampai ini saya anggap masalah gtv1.com SELESEI, tapi saya masih penasaran, itu gtv1.com apaan sih?


Nah pertanyaan kedua:
Setelah ga ada lagi proses SVCHOST outbound ke gtv1.com, chrome saya masih nyedot kuota data atau melakukan download, tapi nama prosesnya adalah:
googlehosted.l.googleusercontent.com

Nah itu proses apaan?
Pertama buka chrome muncul proses itu dan makan 50MB kuota data. Kalo saya cek googlehosted.l.googleusercontent.com itu IPnya 172.217.24.161 milik Google LLC (google.com) cek di https://ipinfo.io/172.217.24.161
Lalu chrome saya tutup, saya buka lagi (ini kedua kali saya buka chrome), eh muncul lagi itu proses kena 50MB lagi tapi IPnya beda 217.58.196.33 saya cek di https://db-ip.com/217.58.196.33 milik:
Hostname   host33-196-static.58-217-b.business.telecomitalia.it
ASN   3269 - ASN-IBSNAZ
ASN AS3269 Telecom Italia S.p.A.
ISP   Interbusiness
Organization   Confesercenti Tapani

Saya tutup lagi, lalu saya tunggu bentar saya buka lagi chrome tidak ada lagi proses tersebut.
Total kuota data kesedot 50*2=100MB (bikin miskin kuota)


Semua saya cek menggunakan GLASSWIRE
Kalo discan malwarebyte semua bersih.


Nah itu googlehosted.l.googleusercontent.com apaan dan mengapa download 50MB?
Bagaimana menghentikannya?





7
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« pada: Februari 07, 2019, 03:43:22 AM »
Semenjak instal iobit, usb flashdisk tiap cabut pasang error, stuck di memory pas mau pasang lg. Pas q uninstal iobit eh normal lg, ampir ja q instal ulang windiws.

Jngn pake iobit, dia bikin usb storage error 38 yg stuck di memory.

Antivir iobit menang bagus, tp ada kelemahannya bikin usb storage error kalo cabut pasang.

8
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« pada: Januari 03, 2019, 03:26:01 PM »
Oh ya, berarti MBAM yaa..

Clean dan fix tetap utk MBR tetap sama prosedurnya. Clean dan fix cuma beda istilah saja untuk setiap antivirus. Kan tidak tidak mgkn MBAM menghilangkan MBR, so pasti antara repair atau rebuild.

Masalahnya adalah membuat backup MBR sebelum mulai diperbaiki. Biar kalo ada kesalahan, bisa dikembalikan lagi ke MBR lama.

Karena ada kasus virus tertentu yang menginfeksi MBR, ketika di rebuild malah data hilang. Bukan salah toolnya, tapi kena virusnya mmg demikian. Contohnya Petya.

Jadi, menurut ane lebih ke virusnya. Rebuild/Repair MBR bukanlah hal yang sulit bagi AntiVirus ternama.

Cara backup mbr gmn? Buat 2hdd
Mbrku blm dibackup
Ada tutor cara backupnya?

Mbam pernah clean file acdsee.exe, q klik clean hasilnya file acdsee.exe bukan difix tp diilangin beserta file acdsee.exenya.
Untung ada backup acdsee.exe yg ori, q paste lalu baru bisa q uninstal. Sejak saat itu ga berani auto clean on.

9
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« pada: Januari 02, 2019, 10:36:40 PM »
Btw, pas fix MBR di Windows Normal (bukan mode Boot). Apakah agan melakukan fix keduanya sekaligus?

Seandainya agan fix langsung dengan MBAR, ane yakin bisa juga. Cuman kemarin terkendala karena belum backup kedua MBR Drive kan?

Mbar malah ga detect rootkitnya min, kalo mbam kedetect tp q ga berani clean pke mbam (mbar ama mbam beda aplikasi)

Aq dah tanya ke forum.malwarebyte, kata staff disana engine mbar memang blm update jd ga detect.

Kalo Mbam setauku cuma clean ga pakai fix, resiko hdd error ga berani tes.

Q clean fix hdd 1 pakai aswmbr pas di windows.
Kalo hdd 2 dari cd boot easyus.

Tp kalo mau sekaligus dua-duanya hdd1 ama hdd2 pake boot easyus ya gpp sama aja bisa.

Mbam= malwarebyte premium
Mbar= malwarebyte anti rootkit


Windows normal pas fix ga bisa kedua sekaligus min, aswmbr kan bisanya fix drive 1 doank, drive 2 ga bisa diproses ama aswmbr

Kalo fix hdd1+hdd2 pake easyus tp keadaan windows on tetep ga bisa, q dah tes fix hdd2 pas windows on ga ilang itu virus.

Kalo windows on yg bisa ilang cuma hdd 1, itupun kalo  restart pc ya kena lg ketular dr hdd 2. Makanya q pas windows on q fix hdd 1, restart pc buru2 boot dr cd buat fix hdd2. Kalo ga boot ya hdd 1 kena lg dr hdd 2. Dia nginfeksi hdd lain tu pas windows startup.

Mau berapapun jumlah hdd, kalo ada salah satu hdd yg uda kena bakalan nular langsung ke yg lain.

Kesimpulannya kalo mau fix virus ini, serentak bersamaan fixnya.

10
Konsultasi Virus / Re:CSRSS trojan miner folder WmiAppSrv
« pada: Januari 02, 2019, 03:32:34 PM »
Oke, bertambah lagi ilmu ane.. Setelah MBR diperbaiki, apa saja gejala virus yang sudah hilang? Selain dari pendeteksian MBAR?

Ilang semua, 100% clean.
Kalo dulu yg suka kebuka ip korea ga tau drmana, kalo yg itu ilangnya setelah pindah ke profile baru.

Skrng kalo di scan uda clean semua, ga ada virus/gejala virus satupun.
Ip korea jg uda ga ada, proses yg naruh file service.exe jg uda ga ada.

Enak kok easyus, proses fix ga perlu nulis2 kode manual, tinggal klik tombol aja. Ga bikin rusak hdd/data. Dia jg bisa fix mbr hdd external, tp colokin hdd external sebelum masuk windows, pas dia boot cd easyus.

Halaman: [1] 2 3 4 ... 11