您可以使用趋势科技的RootkitBuster v5.0检查自己的MBR是否被修改下载地址:请参照下列步骤使用该工具:1)运行RootkitBuster.exe文件注意:运行后工具后会自动在您需要扫描的计算机中安装一个新的TMCOMM.SYS组件.并会提示您重启计算机来完成安装.重启完成后,再次执行工具。2)在左上方,选择您希望扫描的隐藏项类型,我们建议选择所有类型。3)单击“scan now”按钮。4)扫描结束后,一个包含被发现的隐藏项的日志会在TMRBLog文件夹下生成注意:如果一个感染的MBR被检测,被感染与未被感染的MBR模块都被记录在TMRBLog文件夹中。5)一旦TDL4/TDL3或类似的恶意文件被检测出,您可以选择清理被感染的系统。必须重新启动电脑来完成这个清理的动作。6)将TMRBLog文件夹中的rootkit buster日志(TMRB00001.TXT)发送给趋势科技技术支持部门进行分析。另一个能检测MBR被修改的工具(Trend Micro Rescue Disk)即将发布.除了检测病毒之外,这个工具可以恢复以前的备份的MBR及清除TDL与Popureb病毒的感染感染。二.MBR(主引导扇区)被感染对电脑有什么影响?当前MBR病毒一个共同的趋势就是利用主引导区记录以在windows基本服务启动之前加载病毒组件。这使得恶意软件能够控制随后加载和执行的windows组件-这也使病毒可以:1)使恶意软件在windows服务与平常的防病毒技术前隐藏2)并且禁用操作系统的安全策略允许执行更多的恶意文件实际上,用户与系统看不到感染的病毒文件,尽管其病毒现象可能已经很明显。这会使工程师在被感染计算机上获取病毒相关信息非常困难。三.当发现我的MBR被修改时我应该做什么?a.备份系统我们建议您预先备份您系统中的关键数据b.提交日志与可疑样本给 趋势科技技术支持部门使用下列工具来收集提交日志与可疑样本文件给趋势科技技术支持部门来分析:•Rootkit Buster
Rootkit BusterRootkit Buster是趋势科技针对Rootkit恶意文件的单机工具。RootkitBuster现在可以解决TDL3/TDL4病毒问题,清除被感染的MBR。支持对隐藏文件,注册表,进程,驱动和系统服务的消息钩子的检查。还能够在TMRBLog文件夹下创建相关日志记录·SIC工具(支持TDL/POPUREB)是趋势科技提供的一款可以自动生成系统引导扇区转储日志来分析的工具。相关内容可以在工具提供的日志中“Disk drive(s) Boot Record”找到。·ATTK(支持TDL/POPUREB)是另一款可以生成引导扇区转储日志的工具。相关日志可以在输出文件夹中找到“irobot\Log\DiskSectorDump.log”。c.使用趋势提供的工具修复系统可以联系趋势科技技术支持部门获取工具,来修复您系统中被感染的部分。d.使用Windows Recovery修复系统如果没有提供工具,这里有一些建议操作步骤来修复被感染的MBR
1)对于Windows 2000和XP系统:在故障恢复控制台(recovery console)运行“fixmbr”:
Windows XP故障恢复控制台使用方法:故障恢复控制台使用方法)对于Windows Vista和Windows 7系统:在故障恢复控制台运行“bootrec /fixmbr”:使用Bootrec.exe工具恢复被修改的MBR:使用注意事项:1.请在对MBR进行修复之前备份系统中重要的文件,以避免修复过程中可能出现的问题而造成文件的丢失。2.恢复控制台/恢复环境,需要从安装光盘执行(独立的计算机驱动器),因为从本地驱动器启动,将执行被感染的MBR和防止恢复执行。3.该解决方案只适用于Windows/Microsoft。如果有其他的配置,例如多引导分区(linux和Microsoft在同一台计算机上,或由第三方分区管理软件管理的系统),上述的方案不保证可以执行,因此需要在执行前备份系统中的文件备份。四.什么恶意程序会与MBR感染捆绑在一起?趋势是否也支持清除这些恶意程序?以下是TrendLabs已经遇到的相关病毒及变种:以上这些病毒问题都可以通过rootkitbuster解决。同样也可以使用即将发布的Trend Micro Rescue Disk来解决
扫一扫
3510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
