Programa semelhante a um rootkit com números: numbers.exe

4

Existe um programa nocivo em um computador que parece ser iniciado como um fluxo de dados alternativo. Ele aparece no Gerenciador de Tarefas como número : número .exe e não pode ser eliminado. Eu posso deletar o arquivo principal, mas o programa ainda está rodando. Eu tentei deletar o programa no Linux também, mas o programa continua rodando. Alguma outra idéia para remoção?

Ele também parece ligar para o sistema operacional, e olhar para nomes de arquivos para excluir aqueles que não gosta, como Malwarebytes Anti-Malware (mbam.exe) e Microsoft Security Essentials

    
por Canadian Luke 07.10.2011 / 01:55

3 respostas

5

Obrigado por postar todas essas pessoas de conhecimento, eu tenho trabalhado em uma loja de PC por alguns meses e tenho trabalhado em computadores desde que começaram e nunca encontrei um rootkit tão chato. Se você iniciar no modo de segurança, execute o TDSSkiller, o ComboFix, depois o TDSSkiller novamente após a reinicialização, e depois o Malwarebytes, algo convencional como o AVG, você deve poder limpá-lo de uma vez por todas. Ele realmente se anexa ao registro e continua recriando versões 0k falsas e invisíveis de si mesmo em seu diretório C: \ Windows, normalmente. Eu vi provavelmente 5 a 10 PCs entrarem em nossa loja nas últimas duas semanas e eu só consegui limpar um com sucesso; o outro precisava de janelas novas que o consertassem.

Parece que rodar o antivírus certo na ordem correta pode acabar com isso, mas pelo tempo e dificuldade, você pode reinstalar o Wind. De qualquer forma, obrigado novamente por suas informações sobre o número: number.exe dor na parte traseira. Eu vou voltar e responder se alguma vez encontrarmos uma solução definitiva! -Seldomane

    
por 11.10.2011 / 01:08
3

Eu também tentei com MSS e sem sorte. O arquivo ainda estava lá.

No entanto, consegui resolvê-lo com o ESET SysRescue CD. Encontrou o arquivo resultante ( number:number.exe ) e dois outros:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

Após excluir esses arquivos, o problema desapareceu. Eu ainda preciso fazer alguns testes, mas espero que continue assim.

    
por 10.10.2011 / 15:44
1

Tente inicializar no modo de segurança. Ainda está lá? Analise o seu computador com uma cópia clean de um software antivírus. (de preferência baixado da internet enquanto você está no modo de segurança).
Se ele detecta como um malware conhecido, então ele deve cuidar disso. Caso contrário, mesmo que não seja detectado, tente excluir novamente o arquivo e, em seguida, reinicie e veja se ele ainda está sendo executado.

EDIT: não importa, se ele ligar o sistema operacional, mesmo o modo de segurança não fará nada. A única coisa que resta a fazer é usar uma ferramenta de verificação de rootkit (como Vice ) ou recriar completamente a imagem com uma cópia limpa do Windows.

Outra coisa que você pode tentar é inicializar em um Live CD de uma das várias versões do Linux para deletar o arquivo, porque a razão pela qual você não pode deletá-lo agora é (muito provavelmente) por causa dos ganchos do sistema operacional, então ele pode detectar quando é excluído e se restaurar.

    
por 07.10.2011 / 04:26

Tags