微点交流论坛

标题: 求助杀毒手段 [打印本页]

作者: 打死卖毒的 时间: 2006-10-18 17:13 标题: 求助杀毒手段

文件: c:\windows\stdie.dll

木马程序 Trojan-Downloader.Win32.Small.csr

已经困扰我很久了，也在网上搜索了多次，没有确切能杀掉他的办法。请大虾们帮帮忙，我用“咔吧”每次杀掉后开机还是出现这条病毒。

转摘他人报告，和我的类似

首先是卡巴司机发现了一个木马

文件: c:\windows\stdie.dll

木马程序 Trojan-Downloader.Win32.Small.csr

文件: c:\windows\stdie.dll

杀掉后，发现没用，每次开机就又发现。
另外每次开机注册表 run 项目下增加启动项HKLM\\Run: [ATICardInit] VideoAti0.exe

于是用RootkitRevealer扫描，报告如下

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 2006-9-12 7:16 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\VideoAti0 2007-2-1 1:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API.

C:\WINDOWS\SYSTEM32\DRIVERS\VideoAti0.sys 2006-6-17 20:46 19.68 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.dll 2006-6-17 20:46 144.00 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.exe 2006-6-17 20:46 56.00 KB Hidden from Windows API.

以上这些文件和注册表，在系统内根本找不到，看不见！！我已经删除了各种缓存，停止了
xp系统还原。然后清除了 2006.6.9和2006.6.17创建的可以文件。。好惨啊。依然没有用。
每次开机注册表都顽固的增加一个启动项
HKLM\\Run: [ATICardInit] VideoAti0.exe

用IceSword扫描，在系统检查栏目下发现三个可疑驱动。
c:\windows\system32\DRIVERS\atapi.sys 0x0
c:\windows\system32\xpacket.sys 0x0
c:\windows\system32\drivers\Videoati0.sys 0xF7ABF000

进system32下面寻找，以上三个东西根本找不到。（不是一般隐藏或者xp设置问题）

大家看看上面，是不是很牛？ewido什么都扫不出来。

各位高人，现身吧，拿起你的武器，把这个该死的玩意干掉！

作者: Legend 时间: 2006-10-18 18:35
有装微点吗?

作者: loommool 时间: 2006-10-20 15:52

Quote:

Originally posted by Legend at 2006-10-18 18:35:
有装微点吗?

装了就能搞定？
楼主把那个木马共享来我中中看。。

作者: flo 时间: 2006-10-21 22:01
stdie.dll不晓得...
后面那个应该是某个Rootkit，请进到安全模式去吧，然后再看，再安全模式下这类隐藏技巧应该都是没有用的。或者，如果这个Rootkit是靠涂改SSDT隐藏的话，请下载一个SSDT Recover（http://jilin.heibai.net/tools/safe/060612SSDT%20Recover.rar）还原SSDT后试试看。
不过如果是隐藏进程的话，最新版的卡巴有个Anti-Rootkit模块应该会给个提示的吧。

作者: 我 时间: 2006-10-21 22:20

Quote:

Originally posted by flo at 2006-10-21 22:01:
stdie.dll不晓得...
后面那个应该是某个Rootkit，请进到安全模式去吧，然后再看，再安全模式下这类隐藏技巧应该都是没有用的。或者，如果这个Rootkit是靠涂改SSDT隐藏的话，请下载一个SSDT Recover（[url]http:/ ...

flo :D

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn