我运行了 hitman pro,在计算机上发现了“TDL3 Alureon”rootkit 的痕迹。但是,运行 TDSSKiller 可以解决这个问题 - 但是 - 显然症状不断复发,所以我决定使用组合固定。我运行过一次,它在 MBR 上发现了一个 rootkit。重新启动计算机后,症状仍然存在。我再次运行 COMBOFIX,仍然检测到 rootkit。有没有办法在不格式化硬盘的情况下摆脱它?以下是日志消息:
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86EE3ACE]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7605f28
\Driver\ACPI -> ACPI.sys @ 0xf7578cb8
\Driver\atapi -> atapi.sys @ 0xf750a852
\Driver\iaStor -> iaStor.sys @ 0xf7477918
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
答案1
使用启动管理器修复程序来修复您的操作系统。它应该会覆盖 MBR 数据,所以您应该是安全的。为了安全起见,您可以重复此过程几次。
答案2
也许你应该尝试一下卡巴斯基 TDSSKiller,下载地址:http://support.kaspersky.com/downloads/utils/tdsskiller.zip,解压它,将 .exe 程序重命名为“something”.com,运行它并按照说明操作。它在感染了 Alureon 根工具包的 PC 上运行良好。