瑞星卡卡安全论坛技术交流区系统软件 绝对牛的病毒,请大家观赏。

1   1  /  1  页   跳转

绝对牛的病毒,请大家观赏。

绝对牛的病毒,请大家观赏。

首先是卡巴司机发现了一个木马


文件: c:\windows\stdie.dll

木马程序 Trojan-Downloader.Win32.Small.csr       

文件: c:\windows\stdie.dll

杀掉后,发现没用,每次开机就又发现。
另外 每次开机注册表 run 项目下增加  启动项HKLM\\Run: [ATICardInit] VideoAti0.exe

于是用RootkitRevealer扫描,报告如下

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40        2006-9-12 7:16        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\VideoAti0        2006-9-14 7:12        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\VideoAti0        2007-2-1 1:27        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\VideoAti0        2006-9-14 7:12        0 bytes        Hidden from Windows API.

C:\WINDOWS\SYSTEM32\DRIVERS\VideoAti0.sys        2006-6-17 20:46        19.68 KB        Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.dll        2006-6-17 20:46        144.00 KB        Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.exe        2006-6-17 20:46        56.00 KB        Hidden from Windows API.

以上这些文件和注册表,在系统内根本找不到,看不见!! 我已经删除了各种缓存,停止了
xp系统还原。然后清除了 2006.6.9和2006.6.17创建的可以文件。。好惨啊。依然没有用。
每次开机注册表都顽固的增加一个启动项
HKLM\\Run: [ATICardInit]    VideoAti0.exe


用IceSword扫描,在系统检查栏目下发现三个可疑驱动 。
c:\windows\system32\DRIVERS\atapi.sys 0x0
c:\windows\system32\xpacket.sys 0x0
c:\windows\system32\drivers\Videoati0.sys 0xF7ABF000

进system32下面寻找,以上三个东西根本找不到。(不是一般隐藏或者xp设置问题)


大家看看上面,是不是很牛?ewido什么都扫不出来。

各位高人,现身吧,拿起你的武器,把这个该死的玩意干掉!
最后编辑2007-02-28 09:14:21
分享到:
gototop
 

可能加载在根目录\system volume information\的目录下面  用光盘引导  去掉注册表里的内容 删掉这个目录 和其它已知文件  (不知道你说的找不到的文件 有没有把查看里的操作系统文件显示出来)
gototop
 

不知道这个帖子的最终结果。感兴趣。再顶上来。希望看到高手或楼主的回复。
gototop
 

高手们快来吧,大家都想想知道结果
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT