带有数字的类Rootkit程序:numbers.exe

带有数字的类Rootkit程序:numbers.exe

计算机上有一个流氓程序,似乎以替代数据流的形式启动。它在任务管理器中显示为数字数字.exe,无法终止。我可以删除主文件,但程序仍在运行。我也尝试在 Linux 中删除该程序,但程序仍在运行。还有其他删除方法吗?

它还似乎与操作系统挂钩,并查看文件名以删除它不喜欢的文件名,例如 Malwarebytes Anti-Malware (mbam.exe) 和 Microsoft Security Essentials

答案1

感谢大家分享这些知识,我在一家 PC 商店工作了几个月,从电脑开始就一直在使用电脑,从来没有遇到过如此烦人的 rootkit。如果您以安全模式启动,运行 TDSSkiller,然后运行 ​​ComboFix,然后在重新启动时再次运行 TDSSkiller,然后运行 ​​Malwarebytes,然后运行 ​​AVG 等常规程序,您应该能够一劳永逸地清除它。它实际上会将自身附加到注册表中,并不断在您的 C:\Windows 目录中重新创建虚假的不可见 0k 版本。在过去的两周里,我看到大概有 5-10 台 PC 进入我们的商店,我只成功清理了一台;其他的都需要全新的 Windows 来修复它。

似乎以正确的顺序运行正确的防病毒软件可以解决这个问题,但考虑到所需的时间和难度,您不妨重新安装 Wind。无论如何,再次感谢您提供有关 number:number.exe 痛苦的信息。如果我们找到一个明确的解决方案,我会回来回复的!-Seldomane

答案2

我也尝试过 MSS,但没有成功。文件仍然在那里。

不过,我设法用 ESET SysRescue CD 解决了这个问题。它找到了生成的文件 ( number:number.exe) 和另外两个:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

删除这些文件后,问题就解决了。我还需要做一些测试,但希望它会保持这种状态。

答案3

尝试启动到安全模式。它还在吗?使用干净的防病毒软件的副本。(最好在安全模式下从互联网上下载)。
如果它将其检测为已知恶意软件,那么它应该会处理它。否则,即使它没有检测到它,也请尝试重新删除该文件,然后重新启动并查看它是否仍在运行。

编辑:没关系,如果它钩住了操作系统,即使安全模式也不会做任何事情。剩下唯一能做的就是使用 rootkit 扫描工具(例如)或者使用 Windows 的干净副本进行完全重新映像。

您可以尝试的另一件事是启动 Linux 的各个版本之一的 Live CD 来删除该文件,因为您现在无法删除它的原因(很可能)是由于操作系统挂钩,因此它可以检测到何时被删除并自行恢复。

相关内容