» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 求助杀毒手段   作者: 标题: 求助杀毒手段 打死卖毒的 新手上路 积分 1 发帖 1 注册 2006-10-18 #1  求助杀毒手段 文件: c:\windows\stdie.dll 木马程序 Trojan-Downloader.Win32.Small.csr         已经困扰我很久了，也在网上搜索了多次，没有确切能杀掉他的办法。请大虾们帮帮忙，我用“咔吧”每次杀掉后开机还是出现这条病毒。 转摘他人报告，和我的类似 首先是卡巴司机发现了一个木马 文件: c:\windows\stdie.dll 木马程序 Trojan-Downloader.Win32.Small.csr 文件: c:\windows\stdie.dll 杀掉后，发现没用，每次开机就又发现。 另外 每次开机注册表 run 项目下增加 启动项HKLM\\Run: [ATICardInit] VideoAti0.exe 于是用RootkitRevealer扫描，报告如下 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 2006-9-12 7:16 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet002\Services\VideoAti0 2007-2-1 1:27 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API. C:\WINDOWS\SYSTEM32\DRIVERS\VideoAti0.sys 2006-6-17 20:46 19.68 KB Hidden from Windows API. C:\WINDOWS\SYSTEM32\VideoAti0.dll 2006-6-17 20:46 144.00 KB Hidden from Windows API. C:\WINDOWS\SYSTEM32\VideoAti0.exe 2006-6-17 20:46 56.00 KB Hidden from Windows API. 以上这些文件和注册表，在系统内根本找不到，看不见！！ 我已经删除了各种缓存，停止了 xp系统还原。然后清除了 2006.6.9和2006.6.17创建的可以文件。。好惨啊。依然没有用。 每次开机注册表都顽固的增加一个启动项 HKLM\\Run: [ATICardInit] VideoAti0.exe 用IceSword扫描，在系统检查栏目下发现三个可疑驱动 。 c:\windows\system32\DRIVERS\atapi.sys 0x0 c:\windows\system32\xpacket.sys 0x0 c:\windows\system32\drivers\Videoati0.sys 0xF7ABF000 进system32下面寻找，以上三个东西根本找不到。（不是一般隐藏或者xp设置问题） 大家看看上面，是不是很牛？ewido什么都扫不出来。 各位高人，现身吧，拿起你的武器，把这个该死的玩意干掉！ ※ ※ ※ 本文纯属【打死卖毒的】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-18 17:13 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   有装微点吗? ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2006-10-18 18:35 loommool 注册用户 积分 68 发帖 68 注册 2006-10-20 #3     Quote: Originally posted by Legend at 2006-10-18 18:35: 有装微点吗? 装了就能搞定？ 楼主把那个木马共享来我中中看。。 ※ ※ ※ 本文纯属【loommool】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-20 15:52 flo 注册用户 积分 168 发帖 168 注册 2006-8-17 #4   stdie.dll不晓得... 后面那个应该是某个Rootkit，请进到安全模式去吧，然后再看，再安全模式下这类隐藏技巧应该都是没有用的。或者，如果这个Rootkit是靠涂改SSDT隐藏的话，请下载一个SSDT Recover（http://jilin.heibai.net/tools/safe/060612SSDT%20Recover.rar）还原SSDT后试试看。 不过如果是隐藏进程的话，最新版的卡巴有个Anti-Rootkit模块应该会给个提示的吧。 ※ ※ ※ 本文纯属【flo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-21 22:01 我 中级用户 积分 393 发帖 378 注册 2006-7-30 #5     Quote: Originally posted by flo at 2006-10-21 22:01: stdie.dll不晓得... 后面那个应该是某个Rootkit，请进到安全模式去吧，然后再看，再安全模式下这类隐藏技巧应该都是没有用的。或者，如果这个Rootkit是靠涂改SSDT隐藏的话，请下载一个SSDT Recover（[url]http:/ ... flo ※ ※ ※ 本文纯属【我】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-21 22:20 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号