File bị xóa tự recovery

Thảo luận trong 'Hỏi đáp' bắt đầu bởi cracker, 16/04/20, 10:04 PM.

  1. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 27
    Đã được thích: 1
    Điểm thành tích:
    3
    Chào các bro,

    Máy em không biết bị làm sao mà trong ổ D có file ẩn tên Recycler.bin trong ổ D.

    Bên trong file đó e quét có 1 file .dll

    AV của em nó diệt được rồi nhưng ngay sau đó file đó lại tự khôi phục lại.

    Các bro giúp em case này với ạ, có tool nào quét được tiến trình nào đang gọi hoặc tạo ra file đó dùng tool gì để xem ạ.

    Em đã thử chạy Process monitor để xem có tiến trình gì khả nghi không nhưng không phát hiện gì ạ.

    Em cảm ơn ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 467
    Đã được thích: 214
    Điểm thành tích:
    43
    Bị virus khác sinh lại rồi bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 27
    Đã được thích: 1
    Điểm thành tích:
    3
    Anh ơi, cho em hỏi dùng tool gì có thể quét được virus đó không ạ?

    Theo như AV của e quét thì trong máy đang có file với hash như này "f331eb3d7f6789e48f2e3bfb1a87595561722f45aaec150df537488587024096"

    Em có check trên GG thì hash này liên quan đến nhóm APT Mustang Panda.

    Tiền bối cho em xin phương pháp diệt nó với ạ!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 351
    Đã được thích: 274
    Điểm thành tích:
    63
    Bạn nên cài các chương trình Antivirus và update bản mới nhất, sau đó đưa mã hash này vào blacklist
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 467
    Đã được thích: 214
    Điểm thành tích:
    43
    AV của bạn là gì vậy? Có bản quyền k bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 27
    Đã được thích: 1
    Điểm thành tích:
    3
    Có anh ơi, em dùng Kaspersky cho doanh nghiệp, bản quyền đầy đủ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 27
    Đã được thích: 1
    Điểm thành tích:
    3
    Mình đưa rồi bạn ạ, file đó cứ recovery lại phát là bị bắt ngay, nhưng hiện tại mình đang chưa rõ nó bị gọi lại từ chương trình nào ấy. Không biết dùng Process Monitor có bắt được không ạ, và dấu hiệu nhận biết như nào ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 351
    Đã được thích: 274
    Điểm thành tích:
    63
    Bạn thử dùng Process Explore của Windows xem, dấu hiệu là nó sẽ là chương trình child của 1 chương trình parent, hoặc bạn check trong phần startup thử xem nó có bị cài trong startup ko
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan