File bị xóa tự recovery

cracker

Active Member
04/09/2019
4
35 bài viết
File bị xóa tự recovery
Chào các bro,

Máy em không biết bị làm sao mà trong ổ D có file ẩn tên Recycler.bin trong ổ D.

Bên trong file đó e quét có 1 file .dll

AV của em nó diệt được rồi nhưng ngay sau đó file đó lại tự khôi phục lại.

Các bro giúp em case này với ạ, có tool nào quét được tiến trình nào đang gọi hoặc tạo ra file đó dùng tool gì để xem ạ.

Em đã thử chạy Process monitor để xem có tiến trình gì khả nghi không nhưng không phát hiện gì ạ.

Em cảm ơn ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bị virus khác sinh lại rồi bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bị virus khác sinh lại rồi bạn

Anh ơi, cho em hỏi dùng tool gì có thể quét được virus đó không ạ?

Theo như AV của e quét thì trong máy đang có file với hash như này "f331eb3d7f6789e48f2e3bfb1a87595561722f45aaec150df537488587024096"

Em có check trên GG thì hash này liên quan đến nhóm APT Mustang Panda.

Tiền bối cho em xin phương pháp diệt nó với ạ!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Anh ơi, cho em hỏi dùng tool gì có thể quét được virus đó không ạ?

Theo như AV của e quét thì trong máy đang có file với hash như này "f331eb3d7f6789e48f2e3bfb1a87595561722f45aaec150df537488587024096"

Em có check trên GG thì hash này liên quan đến nhóm APT Mustang Panda.

Tiền bối cho em xin phương pháp diệt nó với ạ!
Bạn nên cài các chương trình Antivirus và update bản mới nhất, sau đó đưa mã hash này vào blacklist
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Anh ơi, cho em hỏi dùng tool gì có thể quét được virus đó không ạ?

Theo như AV của e quét thì trong máy đang có file với hash như này "f331eb3d7f6789e48f2e3bfb1a87595561722f45aaec150df537488587024096"

Em có check trên GG thì hash này liên quan đến nhóm APT Mustang Panda.

Tiền bối cho em xin phương pháp diệt nó với ạ!
AV của bạn là gì vậy? Có bản quyền k bạn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn nên cài các chương trình Antivirus và update bản mới nhất, sau đó đưa mã hash này vào blacklist

Mình đưa rồi bạn ạ, file đó cứ recovery lại phát là bị bắt ngay, nhưng hiện tại mình đang chưa rõ nó bị gọi lại từ chương trình nào ấy. Không biết dùng Process Monitor có bắt được không ạ, và dấu hiệu nhận biết như nào ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình đưa rồi bạn ạ, file đó cứ recovery lại phát là bị bắt ngay, nhưng hiện tại mình đang chưa rõ nó bị gọi lại từ chương trình nào ấy. Không biết dùng Process Monitor có bắt được không ạ, và dấu hiệu nhận biết như nào ạ
Bạn thử dùng Process Explore của Windows xem, dấu hiệu là nó sẽ là chương trình child của 1 chương trình parent, hoặc bạn check trong phần startup thử xem nó có bị cài trong startup ko
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên