Expoler tạo key lạ trong REGISTRY

newmen9x

New Member
28/11/2016
1
4 bài viết
Expoler tạo key lạ trong REGISTRY
Thưa các bạn hôm nay rảnh rổi ngồi nghịc procmon của microsoft liền thấy vài tư khóa lạ trong regedit liền up lên dây hỏi, mình cũng đã sữ dụng nhiều phần mềm như avast, kas và malwarebyte để quét mà máy luôn báo sạch, và cả upload lên virustotal
link: https://www.virustotal.com/#/file/6...926d83b49f78c42dbaeed8cdb6bbc57576a/detection

Trên virustotal có phần relations trong này có mấy file báo virus vậy cho mình hỏi hiện tại máy mình bị nhiễm virus gì ạ tại sao explore luôn tạo key
P:\Hfref\ZvD\Qrfxgbc\v_ivrj32 - Fubegphg.yax
"Q:\Tnzrf\Sbegavgr\SbegavgrTnzr\Ovanevrf\Jva64\SbegavgrPyvrag-Jva64-Fuvccvat.rkr"
"HRZR_PGYFRFFVBA" vvv
clipboard01-jpg.3692


Đây là file.zip gồm expoler và file export reg

mình có google nhưng không có giải pháp nào ngăn chặn và một số người bảo k có ảnh hưởng gì
trong số đó thì lại ra phân tích có tên là randomMalware, nhưng máy mình hiện không có file doc.bin như thế này!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Mình thấy trong ảnh có đường dẫn ổ đĩa Q thì phải. bạn thử check file trong đó xong up virustotal xem
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: newmen9x
Comment
Mình thấy trong ảnh có đường dẫn ổ đĩa Q thì phải. bạn thử check file trong đó xong up virustotal xem
Không phải bạn ơi nó là mã Rot13
https://cryptii.com/rot13
P:\Hfref\ZvD\Qrfxgbc\v_ivrj32 - Fubegphg.yax
"Q:\Tnzrf\Sbegavgr\SbegavgrTnzr\Ovanevrf\Jva64\SbegavgrPyvrag-Jva64-Fuvccvat.rkr"
"HRZR_PGYFRFFVBA" vvv



C:\Users\MiQ\Desktop\i_view32 - Shortcut.lnk
"D:\Games\Fortnite\FortniteGame\Binaries\Win64\FortniteClient-Win64-Shipping.exe"
"UEME_CTLSESSION"
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
1. File explorer.exe bạn up lên là file gốc từ Microsoft không phải virus.
2. Các mục lưu trữ trong key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist chứa thông tin về các file .exe được mở thường xuyên.
Các value trong key UserAssist mình đã decrypt bạn có thể xem thêm trong file đính kèm.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: newmen9x
Comment
1. File explorer.exe bạn up lên là file gốc từ Microsoft không phải virus.
2. Các mục lưu trữ trong key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist chứa thông tin về các file .exe được mở thường xuyên.
Các value trong key UserAssist mình đã decrypt bạn có thể xem thêm trong file đính kèm.
cảm ơn bạn thật sự là mình viết bài viết này, mình muốn biết mình đã bị nhiễm virus gì, có cách nào để khắc phục tình trạng này không ạ, mình upload file explorer vì trong quá trình mình endprossecc thì key trong reg không tạo nữa nên nghi vấn về explorer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn thử xóa mấy key đó đi xem có tạo lại không
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cảm ơn bạn thật sự là mình viết bài viết này, mình muốn biết mình đã bị nhiễm virus gì, có cách nào để khắc phục tình trạng này không ạ, mình upload file explorer vì trong quá trình mình endprossecc thì key trong reg không tạo nữa nên nghi vấn về explorer

Như mình đã giải thích ở trên, key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist chứa thông tin về các file .exe cũng như các liên kết đã được mở gần đó. Và đây là 1 tính năng của Windows.

Nếu muốn bạn có thể tắt tính năng này đi thì các value kia sẽ bị xóa và không còn tự ghi vào key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist nữa theo cách sau:

Click phải chuột vào Taskbar và chọn Properties > chọn tiếp tab Start Menu > Mục Privacy bỏ check như hình dưới rồi click tiếp OK.

upload_2018-6-28_10-24-6.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên