4

На компьютере существует мошенническая программа, которая запускается как альтернативный поток данных. Он отображается в диспетчере задач как число: номер.exe и не может быть убит. Я могу удалить основной файл, но программа все еще работает. Я также пытался удалить программу в Linux, но программа продолжает работать. Любые другие идеи для удаления?

Также кажется, что он подключается к операционной системе и ищет имена файлов, чтобы удалить те, которые ему не нравятся, например Malwarebytes Anti-Malware (mbam.exe) и Microsoft Security Essentials.

|источник

3 ответа3

5

Спасибо за публикацию всех этих знаний, я работаю в магазине ПК несколько месяцев и работаю на компьютерах с тех пор, как они начали, и никогда не сталкивались с таким раздражающим руткитом. Если вы запускаете в безопасном режиме, запускаете TDSSkiller, затем ComboFix, затем TDSSkiller снова при перезапуске, затем Malwarebytes, а затем что-то обычное, например AVG, вы сможете очистить его раз и навсегда. Он действительно подключается к реестру и обычно воссоздает поддельные невидимые версии 0k себя в вашем каталоге C:\Windows. Я видел, наверное, 5-10 компьютеров, которые пришли в наш магазин за последние две недели, и я только успешно очистил один; для другого нужны свежие Windows, которые это исправили.

Кажется, что запуск правильного антивируса в правильном порядке может завершить его, но за время и трудности, которые вам требуются, вы могли бы также переустановить Wind. В любом случае, еще раз спасибо за вашу информацию о количестве:number.exe боль в задней части. Я вернусь и отвечу, если мы когда-нибудь найдем определенное исправление! -Seldomane

|источник
3

Я тоже пробовал с MSS и не повезло. Файл был там еще.

Однако мне удалось решить эту проблему с помощью компакт-диска ESET SysRescue. Найден полученный файл (number:number.exe) и два других:

c:\windows\system32\c_15523.nl_
c:\windows\system32\drivers\mrxsmb.sys

После удаления этих файлов проблема ушла. Мне все еще нужно провести некоторое тестирование, но, надеюсь, оно останется таким.

|источник
1

Попробуйте загрузиться в безопасном режиме. Это все еще там? Сканирование компьютера с чистой копией антивирусного программного обеспечения. (желательно загружать из Интернета, пока вы находитесь в безопасном режиме).
Если он обнаружит его как известную вредоносную программу, он должен позаботиться об этом. В противном случае, даже если он не обнаружит его, попробуйте повторно удалить файл, а затем перезапустите и посмотрите, работает ли он по-прежнему.

РЕДАКТИРОВАТЬ: не обращайте внимания, если он перехватывает ОС, даже безопасный режим ничего не сделает Осталось только использовать инструмент для сканирования руткитов (например, Vice) или полностью восстановить чистую копию Windows.

Другая вещь, которую вы можете попробовать, это загрузить Live CD одной из различных версий Linux для удаления файла, потому что причина, по которой вы не можете удалить его сейчас, (скорее всего) связана с перехватами ОС, поэтому он может обнаружить когда он удаляется и восстанавливается сам.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .