带有数字的类Rootkit程序：numbers.exe

Question 1

感谢大家分享这些知识，我在一家 PC 商店工作了几个月，从电脑开始就一直在使用电脑，从来没有遇到过如此烦人的 rootkit。如果您以安全模式启动，运行 TDSSkiller，然后运行 ComboFix，然后在重新启动时再次运行 TDSSkiller，然后运行 Malwarebytes，然后运行 AVG 等常规程序，您应该能够一劳永逸地清除它。它实际上会将自身附加到注册表中，并不断在您的 C:\Windows 目录中重新创建虚假的不可见 0k 版本。在过去的两周里，我看到大概有 5-10 台 PC 进入我们的商店，我只成功清理了一台；其他的都需要全新的 Windows 来修复它。

似乎以正确的顺序运行正确的防病毒软件可以解决这个问题，但考虑到所需的时间和难度，您不妨重新安装 Wind。无论如何，再次感谢您提供有关 number:number.exe 痛苦的信息。如果我们找到一个明确的解决方案，我会回来回复的！-Seldomane

Answer

感谢大家分享这些知识，我在一家 PC 商店工作了几个月，从电脑开始就一直在使用电脑，从来没有遇到过如此烦人的 rootkit。如果您以安全模式启动，运行 TDSSkiller，然后运行 ComboFix，然后在重新启动时再次运行 TDSSkiller，然后运行 Malwarebytes，然后运行 AVG 等常规程序，您应该能够一劳永逸地清除它。它实际上会将自身附加到注册表中，并不断在您的 C:\Windows 目录中重新创建虚假的不可见 0k 版本。在过去的两周里，我看到大概有 5-10 台 PC 进入我们的商店，我只成功清理了一台；其他的都需要全新的 Windows 来修复它。

似乎以正确的顺序运行正确的防病毒软件可以解决这个问题，但考虑到所需的时间和难度，您不妨重新安装 Wind。无论如何，再次感谢您提供有关 number:number.exe 痛苦的信息。如果我们找到一个明确的解决方案，我会回来回复的！-Seldomane

Question 2

我也尝试过 MSS，但没有成功。文件仍然在那里。

不过，我设法用 ESET SysRescue CD 解决了这个问题。它找到了生成的文件 ( number:number.exe) 和另外两个：

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

删除这些文件后，问题就解决了。我还需要做一些测试，但希望它会保持这种状态。

Answer

我也尝试过 MSS，但没有成功。文件仍然在那里。

不过，我设法用 ESET SysRescue CD 解决了这个问题。它找到了生成的文件 ( number:number.exe) 和另外两个：

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

删除这些文件后，问题就解决了。我还需要做一些测试，但希望它会保持这种状态。

Question 3

~~尝试启动到安全模式。它还在吗？~~使用干净的防病毒软件的副本。~~（最好在安全模式下从互联网上下载）。~~
如果它将其检测为已知恶意软件，那么它应该会处理它。否则，即使它没有检测到它，也请尝试重新删除该文件，然后重新启动并查看它是否仍在运行。

编辑：没关系，如果它钩住了操作系统，即使安全模式也不会做任何事情。剩下唯一能做的就是使用 rootkit 扫描工具（例如副）或者使用 Windows 的干净副本进行完全重新映像。

您可以尝试的另一件事是启动 Linux 的各个版本之一的 Live CD 来删除该文件，因为您现在无法删除它的原因（很可能）是由于操作系统挂钩，因此它可以检测到何时被删除并自行恢复。

Answer

~~尝试启动到安全模式。它还在吗？~~使用干净的防病毒软件的副本。~~（最好在安全模式下从互联网上下载）。~~
如果它将其检测为已知恶意软件，那么它应该会处理它。否则，即使它没有检测到它，也请尝试重新删除该文件，然后重新启动并查看它是否仍在运行。

编辑：没关系，如果它钩住了操作系统，即使安全模式也不会做任何事情。剩下唯一能做的就是使用 rootkit 扫描工具（例如副）或者使用 Windows 的干净副本进行完全重新映像。

您可以尝试的另一件事是启动 Linux 的各个版本之一的 Live CD 来删除该文件，因为您现在无法删除它的原因（很可能）是由于操作系统挂钩，因此它可以检测到何时被删除并自行恢复。

带有数字的类Rootkit程序：numbers.exe

答案1

答案2

答案3

相关内容