Program typu rootkit z numerami: numbers.exe

4

Na komputerze jest nieuczciwy program, który wydaje się uruchamiać jako alternatywny strumień danych. Pojawia się w Menedżerze zadań jako numer : liczba .exe i nie można go zabić. Mogę usunąć główny plik, ale program nadal działa. Próbowałem również usunąć program w systemie Linux, ale program nadal działa. Wszelkie inne pomysły na usunięcie?

Wydaje się również, że łączy się z systemem operacyjnym i sprawdza nazwy plików, aby usunąć te, których nie lubi, takie jak Malwarebytes Anti-Malware (mbam.exe) i Microsoft Security Essentials

virus Kanadyjczyk Luke
źródło
1
Zobacz mój post tutaj .... superuser.com/questions/100360/…
Moab
@Moab Przepraszamy, ale MSS nie działa. Idę wypróbować kilka innych rzeczy w swoim poście
Kanadyjczyk Łukasz
Znaleziono 12 rzeczy i wyglądało na to, że to wyciągnęło ... Ale kiedy zrestartowałem, około 30 sekund później znowu zaczął działać :(
Kanadyjczyk Łukasz
Przepraszam wszystkich, ale został przekroczony limit czasowy dla naszego sklepu, więc musiałem go sformatować. Doceniam wszelką pomoc, której udzieliłeś, i odpowiednio głosowałem
Kanadyjczyk Łukasz
Czy ktoś ma jeszcze jakieś wskazówki?
Kanadyjczyk Łukasz

Odpowiedzi:

5

Dzięki za opublikowanie całej wiedzy ludzi, pracuję w sklepie PC od kilku miesięcy i pracuję na komputerach od ich początku i nigdy nie spotkałem się z tak irytującym rootkitem. Jeśli zaczniesz w trybie awaryjnym, uruchom TDSSkiller, następnie ComboFix, następnie TDSSkiller ponownie po ponownym uruchomieniu, następnie Malwarebytes, a następnie coś konwencjonalnego, takiego jak AVG, powinieneś być w stanie wyczyścić go raz na zawsze. Naprawdę dołącza się do rejestru i zwykle odtwarza fałszywe niewidzialne wersje 0k w katalogu C: \ Windows. Widziałem prawdopodobnie 5-10 komputerów w naszym sklepie w ciągu ostatnich dwóch tygodni i tylko z powodzeniem wyczyściłem jeden; drugi potrzebował świeżego systemu Windows, który to naprawił.

Wydaje się, że uruchomienie odpowiedniego programu antywirusowego we właściwej kolejności może go zakończyć, ale z uwagi na czas i trudność równie dobrze możesz ponownie zainstalować program Wind. W każdym razie jeszcze raz dziękuję za informację o bólu numer: numer.exe z tyłu. Wrócę i odpowiem, jeśli kiedykolwiek uda nam się znaleźć ostateczną poprawkę! -Seldomane

Seldomane
źródło
Dzięki za heads-upy. Spotkałem tę paskudną bestię na maszynie przyjaciół i po kilku próbach jej usunięcia nie powiodło się, TDSSkiller + ComboFix w trybie awaryjnym i ComboFix ponownie przy ponownym uruchomieniu udało się go naprawić.
Rob
3

Próbowałem też z MSS i bez powodzenia. Plik nadal tam był.

Udało mi się to jednak rozwiązać za pomocą ESET SysRescue CD. Znaleziono plik wynikowy ( number:number.exe) i dwa inne:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

Po usunięciu tych plików problem zniknął. Nadal muszę przeprowadzić testy, ale mam nadzieję, że tak pozostanie.

Marko
źródło
Pobieram eNod, aby nie próbować tworzyć rozruchowej płyty CD, a następnie skanuję i próbuję. Jeśli to działa, zyskujesz dodatkową reputację!
Kanadyjczyk Łukasz
Próbowałem tego, znalazł wirusa, ale teraz system Windows nie uruchamia się. BSOD z błędem 0x0000007e
kanadyjski Łukasz Łukasz
W którym pliku znalazł wirusa? Musiałem przywrócić brakujący plik z kopii zapasowej z konsoli odzyskiwania. Jak specjalnie mrxsmb.sys.
Marko
Sam wirus i plik cdrom.sys. Próbowałem zastąpić tylko ten plik, ale 7e wciąż się pojawił. Próbuję teraz zainstalować Naprawę i opublikuję wyniki
Kanadyjczyk Łukasz
1

Spróbuj uruchomić komputer w trybie awaryjnym. Czy nadal tam jest? Przeskanuj komputer za pomocą czystej kopii oprogramowania antywirusowego. (najlepiej pobrane z Internetu, gdy jesteś w trybie awaryjnym).
Jeśli wykryje to jako znane złośliwe oprogramowanie, powinien się tym zająć. W przeciwnym razie, nawet jeśli go nie wykryje, spróbuj ponownie usunąć plik, a następnie uruchom ponownie i sprawdź, czy nadal działa.

EDYCJA: nieważne, jeśli zawiesi system operacyjny, nawet tryb awaryjny nic nie zrobi. Jedyne, co pozostało do zrobienia, to albo użyć narzędzia do skanowania w poszukiwaniu rootkitów (takiego jak Vice ), albo całkowicie odtworzyć obraz przy użyciu czystej kopii systemu Windows.

Inną rzeczą, którą możesz spróbować, jest uruchomienie Live CD jednej z różnych wersji Linuksa, aby usunąć plik, ponieważ przyczyną, dla której nie możesz go teraz usunąć, jest (najprawdopodobniej) z powodu przechwytywania systemu operacyjnego, aby mógł wykryć po usunięciu i przywróceniu się.

Nate Koppenhaver
źródło
Te same efekty w trybie awaryjnym. Utworzyłem plik tekstowy o nazwie mbam.exe i natychmiast do niego dołączyłem. To zdecydowanie rootkit i jutro wypróbuję Microsoft System Sweeper
Kanadyjczyk Luke
@Luke Czy masz jakieś inne komputery (najlepiej Linux)? Jeśli to zrobisz, możesz podłączyć HD do tego systemu i stamtąd usunąć pliki. W przeciwnym razie (jeśli SystemSweeper nie działa) możesz użyć Live CD lub dyskietki, aby uruchomić inny system operacyjny i usunąć plik. Jeśli nawet to nie zadziała, nadszedł czas na odświeżenie obrazu dzięki nowej kopii systemu Windows. Powodzenia ze skanerem!
Nate Koppenhaver,
MSS tego nie naprawił :( Usunął 12 elementów, ale wirus wrócił prawie od razu. Przeskanowałem go na dwóch innych komputerach, których używamy do skanowania w poszukiwaniu wirusów, i usuwają też wiele rzeczy, ale wirus nadal istnieje gdzieś
Kanadyjczyk Łukasz