首先是卡巴司机发现了一个木马


文件: c:\windows\stdie.dll

木马程序 Trojan-Downloader.Win32.Small.csr       

文件: c:\windows\stdie.dll

杀掉后，发现没用，每次开机就又发现。
另外 每次开机注册表 run 项目下增加  启动项HKLM\\Run: [ATICardInit] VideoAti0.exe

于是用RootkitRevealer扫描，报告如下

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40        2006-9-12 7:16        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\VideoAti0        2006-9-14 7:12        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\VideoAti0        2007-2-1 1:27        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\VideoAti0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_VIDEOATI0        2006-6-9 22:19        0 bytes        Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\VideoAti0        2006-9-14 7:12        0 bytes        Hidden from Windows API.

C:\WINDOWS\SYSTEM32\DRIVERS\VideoAti0.sys        2006-6-17 20:46        19.68 KB        Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.dll        2006-6-17 20:46        144.00 KB        Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.exe        2006-6-17 20:46        56.00 KB        Hidden from Windows API.

以上这些文件和注册表，在系统内根本找不到，看不见！！ 我已经删除了各种缓存，停止了
xp系统还原。然后清除了 2006.6.9和2006.6.17创建的可以文件。。好惨啊。依然没有用。
每次开机注册表都顽固的增加一个启动项
HKLM\\Run: [ATICardInit]    VideoAti0.exe


用IceSword扫描，在系统检查栏目下发现三个可疑驱动 。
c:\windows\system32\DRIVERS\atapi.sys 0x0
c:\windows\system32\xpacket.sys 0x0
c:\windows\system32\drivers\Videoati0.sys 0xF7ABF000

进system32下面寻找，以上三个东西根本找不到。（不是一般隐藏或者xp设置问题）


大家看看上面，是不是很牛？ewido什么都扫不出来。

各位高人，现身吧，拿起你的武器，把这个该死的玩意干掉！

扫个hijackthis日志

感觉HijackThis扫描的项目并不周全，并且现在这该死的病毒在启动时生成的videoati0.exe已经被SSM禁止掉。



HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:11:50, 日期 2006-9-17
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\KV2005\KVSrvXP.exe
C:\Program Files\KV2005\kvwsc.exe
D:\Program Files\Defrag_Server_Edition\oodag.exe
C:\Program Files\Filseclab\xfilter\xfilter.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\Program Files\KV2005\KvShell_2.dll
O3 - IE工具栏增项: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2005\KvShell_2.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - d:\Program Files\BitComet\BitCometBar\BitCometBar0.3.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [Logitech Utility] Logi_MwX.Exe
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] ; C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [XFILTER] "C:\Program Files\Filseclab\xfilter\xfilter.exe" -a
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [DiskeeperSystray] "D:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - 启动项HKLM\\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSNShell] C:\Program Files\MSNShell\BIN\MSNShell.exe autorun
O4 - HKCU\..\Run: [updateMgr] ; "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 设为 Messenger Live 头像 - C:\Program Files\MSNShell\BIN\SetMSNDP.htm
O9 - 浏览器额外的按钮: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\filseclab\xfilter\xfilter.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\filseclab\xfilter\xfilter.dll
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119895355354
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C229E920-2A7D-4D41-9AF0-D6F7FECC29BC}: NameServer = 61.177.7.1
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - NT 服务: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - NT 服务: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2005\kvwsc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: O&O Defrag - O&O Software GmbH - D:\Program Files\Defrag_Server_Edition\oodag.exe
O23 - NT 服务: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe

【回复“不黑白熊”的帖子】
找到videoati0.exe，用WINRAR打包，加密（解压密码用virus），发到：baohelin@yahoo.com.cn

【回复“baohe”的帖子】

老兄，多谢帮忙，但我非常郁闷的是，这个鸟文件找不到，看不见搜不到！只有RootkitRevealer 和SSM扫描到。但在硬盘上是找不到的。能够以可见文件形式出现的，只有被卡巴查到的 文件: c:\windows\stdie.dll  定义为木马程序 Trojan-Downloader.Win32.Small.csr       

可以用icesword试试
如果能找到，右键单击点复制
yuhua1987@126.com
也要一份
谢谢

SSM中设置了规则，目前已经禁止了开机的生成。请看

程序活动 已阻止 2006-9-17 17:36:22 进程 C:\WINDOWS\explorer.exe
操作 创建进程
对象 C:\WINDOWS\system32\VideoAti0.exe
命令行 "C:\WINDOWS\system32\VideoAti0.exe" 


但是原先没有禁止时，硬盘上也找不到这个VideoAti0.exe文件的。
我受不了啦！！！！