Programa semelhante a um rootkit com números: numbers.exe

Question

Programa semelhante a um rootkit com números: numbers.exe

#1 resposta do (5 votos)
#2 resposta do (3 votos)
#3 resposta do (1 votos)

4

Existe um programa nocivo em um computador que parece ser iniciado como um fluxo de dados alternativo. Ele aparece no Gerenciador de Tarefas como número : número .exe e não pode ser eliminado. Eu posso deletar o arquivo principal, mas o programa ainda está rodando. Eu tentei deletar o programa no Linux também, mas o programa continua rodando. Alguma outra idéia para remoção?

Ele também parece ligar para o sistema operacional, e olhar para nomes de arquivos para excluir aqueles que não gosta, como Malwarebytes Anti-Malware (mbam.exe) e Microsoft Security Essentials

virus

por Canadian Luke 07.10.2011 / 01:55

3 respostas

Tags virus

Como o OSX executa binários de 64 bits durante a execução em um kernel de 32 bits? Como copiar um arquivo do unix para o Windows, da linha de comando

score 5 · Answer 1

Obrigado por postar todas essas pessoas de conhecimento, eu tenho trabalhado em uma loja de PC por alguns meses e tenho trabalhado em computadores desde que começaram e nunca encontrei um rootkit tão chato. Se você iniciar no modo de segurança, execute o TDSSkiller, o ComboFix, depois o TDSSkiller novamente após a reinicialização, e depois o Malwarebytes, algo convencional como o AVG, você deve poder limpá-lo de uma vez por todas. Ele realmente se anexa ao registro e continua recriando versões 0k falsas e invisíveis de si mesmo em seu diretório C: \ Windows, normalmente. Eu vi provavelmente 5 a 10 PCs entrarem em nossa loja nas últimas duas semanas e eu só consegui limpar um com sucesso; o outro precisava de janelas novas que o consertassem.

Parece que rodar o antivírus certo na ordem correta pode acabar com isso, mas pelo tempo e dificuldade, você pode reinstalar o Wind. De qualquer forma, obrigado novamente por suas informações sobre o número: number.exe dor na parte traseira. Eu vou voltar e responder se alguma vez encontrarmos uma solução definitiva! -Seldomane

score 3 · Answer 2

Eu também tentei com MSS e sem sorte. O arquivo ainda estava lá.

No entanto, consegui resolvê-lo com o ESET SysRescue CD. Encontrou o arquivo resultante ( number:number.exe ) e dois outros:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

Após excluir esses arquivos, o problema desapareceu. Eu ainda preciso fazer alguns testes, mas espero que continue assim.

score 1 · Answer 3

~~Tente inicializar no modo de segurança. Ainda está lá?~~ Analise o seu computador com uma cópia clean de um software antivírus. ~~(de preferência baixado da internet enquanto você está no modo de segurança).~~
Se ele detecta como um malware conhecido, então ele deve cuidar disso. Caso contrário, mesmo que não seja detectado, tente excluir novamente o arquivo e, em seguida, reinicie e veja se ele ainda está sendo executado.

EDIT: não importa, se ele ligar o sistema operacional, mesmo o modo de segurança não fará nada. A única coisa que resta a fazer é usar uma ferramenta de verificação de rootkit (como Vice ) ou recriar completamente a imagem com uma cópia limpa do Windows.

Outra coisa que você pode tentar é inicializar em um Live CD de uma das várias versões do Linux para deletar o arquivo, porque a razão pela qual você não pode deletá-lo agora é (muito provavelmente) por causa dos ganchos do sistema operacional, então ele pode detectar quando é excluído e se restaurar.