瑞星卡卡安全论坛

我从来没见过这么强的病毒,前无古人,后无来者.在百度或是google上搜一下就知道了,没有任何杀毒公司可以解决,大部分杀毒软件还查不到.

每次开机注册表 run 项目下增加 启动项HKLM\\Run: [ATICardInit] VideoAti0.exe


RootkitRevealer 报

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\VideoAti0 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\VideoAti0 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIDEOATI0 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\VideoAti0 0 bytes Hidden from Windows API.
C:\WINNT\system32\drivers\VideoAti0.sys 19.68 KB Hidden from Windows API.
C:\WINNT\system32\VideoAti0.dll 144.00 KB Hidden from Windows API.
C:\WINNT\system32\VideoAti0.exe 56.00 KB Hidden from Windows API.

但在安全模式下都看不到这些。IceSword 报： 文件初始化未能正常完成， 然后也看不到这些。

用了各种杀毒及反木马软件，也没用。搜索了一下internet，N多人中招，但没一个解决方案。

楼主有样本么？

没有.IceSword 都查不到.

上报个样本

能上报样本，问题就简单了。

但看不到毒,也不知道什么搞啊~~~

有人已经将其干掉了

附件: 1558472007526164314.jpg

如果感到心里不踏实，可以按照上面图中那位网友的办法，用dir videoati0.exe /s命令查看一下。
如果得到的是下图的结果————尽管放心。

附件: 1558472007526164611.jpg

rootkit技术`````

以前也遇到个灰鸽子,正常和安全模式都无法见``

不过可以在SREng日志里跟踪到服务项```

生成在C:\windows下,不过根本就没有(没看到)``

后来用专杀干掉了 - - ```

不知道用光盘引导的系统,DOS能不能找到````

引用:

【孤独更可靠的贴子】rootkit技术````` 以前也遇到个灰鸽子,正常和安全模式都无法见`` 不过可以在SREng日志里跟踪到服务项``` 生成在C:\windows下,不过根本就没有(没看到)`` 后来用专杀干掉了 - - ``` 不知道用光盘引导的系统,DOS能不能找到```` ………………

若是真的中了那个byshell063，不知楼主会急成啥样？
dir xxxxx.exe /s？没戏！！

【回复“baohe”的帖子】

也是依靠服务项支持的么?

晕!!
会不会把系统文件替换了,再用服务隐藏?
注意API技术

引用:

【孤独更可靠的贴子】【回复“baohe”的帖子】 也是依靠服务项支持的么? ………………

所谓的“三无”后门————无病毒文件、无进程、无注册表项。
在关机/开机上做文章（驻留内存。关机前写入，开机时，加载，再删除文件、注册表项。）
若用户硬关机————byshell063死翘翘。

【回复“baohe”的帖子】

哈哈,对``

另to11楼:只要做到第一点,这个"后门"就相当隐蔽了

没必要做第2点

关键时候还要非常理出牌呀~~

邪不能胜正。。