Programma simile a rootkit con numeri: numbers.exe

4

Esiste un programma canaglia su un computer che sembra avviarsi come flusso di dati alternativo. Viene visualizzato in Task Manager come numero : numero .exe e non può essere ucciso. Posso eliminare il file principale, ma il programma è ancora in esecuzione. Ho provato a cancellare il programma anche su Linux, ma il programma continua a funzionare. Altre idee per la rimozione?

Sembra anche agganciarsi al sistema operativo e guardare i nomi dei file per eliminarne quelli che non gli piacciono, come Malwarebytes Anti-Malware (mbam.exe) e Microsoft Security Essentials

virus 
Luke canadese
fonte
1
Vedi il mio post qui .... superuser.com/questions/100360/…
Moab,
@Moab Siamo spiacenti, ma MSS non ha funzionato. Andando a provare altre cose nel tuo post
Luke canadese,
Ha trovato 12 cose e sembrava averlo estratto ... Ma una volta riavviato, circa 30 secondi dopo ha ricominciato a funzionare :(
Canadian Luke,
Scusate tutti, ma è stato raggiunto il limite di tempo per il nostro negozio, quindi ho dovuto riformattarlo. Apprezzo tutto l'aiuto che hai dato e votato di conseguenza
Canadian Luke,
Qualcuno ha altri suggerimenti?
Luke canadese,

Risposte:

5

Grazie per aver pubblicato tutta questa conoscenza, ho lavorato in un negozio di PC per alcuni mesi e ho lavorato sui computer da quando hanno iniziato e non ho mai incontrato un rootkit così fastidioso. Se si avvia in modalità provvisoria, eseguire TDSSkiller, quindi ComboFix, quindi TDSSkiller al riavvio, quindi Malwarebytes, quindi qualcosa di convenzionale come AVG, si dovrebbe essere in grado di pulirlo una volta per tutte. Si collega davvero al registro e continua a ricreare false versioni invisibili 0k di se stesso nella directory C: \ Windows, in genere. Ho visto probabilmente 5-10 PC entrare nel nostro negozio nelle ultime due settimane e ne ho pulito solo con successo; l'altro è tutto necessario Windows fresco che lo ha riparato.

Sembra che eseguire l'antivirus giusto nell'ordine giusto possa finirlo, ma per il tempo e la difficoltà necessari, potresti anche reinstallare Wind. Comunque, grazie ancora per le tue informazioni sul numero: dolore number.exe nella parte posteriore. Tornerò e risponderò se mai rintracciamo una soluzione definitiva! -Seldomane

Seldomane
fonte
Grazie per il testa a testa. Ho incontrato questa brutta bestia su una macchina di amici e dopo diversi tentativi di estrarla fallito, TDSSkiller + ComboFix in modalità provvisoria e ComboFix di nuovo al riavvio sono riusciti a risolverlo.
Rob,
3

Ho anche provato con MSS e senza fortuna. Il file era lì.

Tuttavia sono riuscito a risolverlo con il CD ESET SysRescue. Ha trovato il file risultante ( number:number.exe) e altri due:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

Dopo aver eliminato questi file, il problema è scomparso. Devo ancora fare alcuni test, ma spero che rimanga così.

Marko
fonte
Sto scaricando eNod giusto per non provare a creare un CD di avvio, quindi eseguirò la scansione e proverò. Se funziona, ottieni la reputazione extra!
Luke canadese,
Ho provato questo, ha trovato il virus ma ora Windows non si avvia. BSOD con errore 0x0000007e
Canadian Luke,
In quale file ha trovato il virus? Ho dovuto rimettere il file mancante dal backup dalla console di ripristino. Come appositamente mrxsmb.sys.
Marko,
Il virus stesso e il file cdrom.sys. Ho provato a sostituire solo quel file, ma il 7e è ancora arrivato. Sto provando un'installazione di riparazione in questo momento e pubblicherò i risultati
Luke canadese,
1

Prova ad avviare in modalità provvisoria. È ancora lì? Scansiona il tuo computer con una copia pulita di un software antivirus. (preferibilmente scaricato da Internet mentre si è in modalità provvisoria).
Se lo rileva come malware noto, dovrebbe occuparsene. Altrimenti, anche se non lo rileva, prova a eliminare nuovamente il file, quindi riavvia e verifica se è ancora in esecuzione.

EDIT: non importa, se si aggancia il sistema operativo anche la modalità provvisoria non farà nulla. L'unica cosa che resta da fare è utilizzare uno strumento di scansione rootkit (come Vice ) o reimage completamente con una copia pulita di Windows.

Un'altra cosa che puoi provare è avviare un Live CD di una delle varie versioni di Linux per eliminare il file, perché il motivo per cui non puoi eliminarlo ora è (molto probabilmente) a causa di hook del sistema operativo, in modo che possa rilevare quando viene eliminato e ripristinato.

Nate Koppenhaver
fonte
Stessi effetti in modalità provvisoria. Ho creato un file di testo chiamato mbam.exe e immediatamente allegato. È sicuramente un rootkit e domani proverò Microsoft System Sweeper
canadese Luke il
@Luke Hai altri computer (preferibilmente Linux)? In tal caso, è possibile collegare l'HD in quel sistema ed eliminare i file da lì. Altrimenti, (se SystemSweeper non funziona) è possibile utilizzare un Live CD o un floppy per avviare un altro sistema operativo per cancellare il file. Se anche questo non funziona, è ora di reimmaginarsi con una nuova copia di Windows. Buona fortuna con lo scanner!
Nate Koppenhaver,
MSS non lo ha riparato :( Ha rimosso 12 elementi, ma il virus è tornato quasi subito. L'ho scannerizzato su altre due macchine che utilizziamo per la scansione dei virus, e rimuovono anche più cose, ma il virus è ancora lì da qualche parte
Luke canadese
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.