首先是卡巴司机发现了一个木马
文件: c:\windows\stdie.dll
木马程序 Trojan-Downloader.Win32.Small.csr
文件: c:\windows\stdie.dll
杀掉后,发现没用,每次开机就又发现。
另外 每次开机注册表 run 项目下增加 启动项HKLM\\Run: [ATICardInit] VideoAti0.exe
于是用RootkitRevealer扫描,报告如下
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 2006-9-12 7:16 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\VideoAti0 2007-2-1 1:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\VideoAti0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_VIDEOATI0 2006-6-9 22:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\VideoAti0 2006-9-14 7:12 0 bytes Hidden from Windows API.
C:\WINDOWS\SYSTEM32\DRIVERS\VideoAti0.sys 2006-6-17 20:46 19.68 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.dll 2006-6-17 20:46 144.00 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\VideoAti0.exe 2006-6-17 20:46 56.00 KB Hidden from Windows API.
以上这些文件和注册表,在系统内根本找不到,看不见!! 我已经删除了各种缓存,停止了
xp系统还原。然后清除了 2006.6.9和2006.6.17创建的可以文件。。好惨啊。依然没有用。
每次开机注册表都顽固的增加一个启动项
HKLM\\Run: [ATICardInit] VideoAti0.exe
用IceSword扫描,在系统检查栏目下发现三个可疑驱动 。
c:\windows\system32\DRIVERS\atapi.sys 0x0
c:\windows\system32\xpacket.sys 0x0
c:\windows\system32\drivers\Videoati0.sys 0xF7ABF000
进system32下面寻找,以上三个东西根本找不到。(不是一般隐藏或者xp设置问题)
大家看看上面,是不是很牛?ewido什么都扫不出来。
各位高人,现身吧,拿起你的武器,把这个该死的玩意干掉!
