今天我同學(xué)說他的電腦很慢���,叫我過去看看�����,我過去給他裝了個卡巴進行殺毒,慢慢的等待卡巴報警查到Searchnet這個木馬���,點刪除病毒,無法刪除���!說明進程中有!但是查找任務(wù)管理器���,沒有發(fā)現(xiàn)可疑進程!懷疑是隱藏進程的����,通過冰刃IceSword也沒有顯示隱藏進程�。我按照卡巴提示的路徑在C:\Program Files���,發(fā)現(xiàn)searchnet文件夾�,進去發(fā)現(xiàn)有個unins.exe卸載的東東��,點下看看��,沒有反應(yīng)��,里面文件也無法刪除����!對��,在運行?���?�!先看看木馬是怎么啟動的�����,我先通過一般木馬查殺方法進行查找,在“開始/運行”中輸入“regedit.exe”打開注冊表編輯器�����,依次展開
成都創(chuàng)新互聯(lián)服務(wù)項目包括河曲網(wǎng)站建設(shè)、河曲網(wǎng)站制作��、河曲網(wǎng)頁制作以及河曲網(wǎng)絡(luò)營銷策劃等�����。多年來,我們專注于互聯(lián)網(wǎng)行業(yè)�,利用自身積累的技術(shù)優(yōu)勢�、行業(yè)經(jīng)驗���、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)���、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,河曲網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益����。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到河曲省份的部分城市��,未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]��,查看下面所有以"Run"開頭的項����,也通過查找C:\Documents ;and Settings\ay13y\「開始」菜單\程序\啟動�����,都沒有發(fā)現(xiàn)可疑的 ,另外通過查找[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值�����,也沒有發(fā)現(xiàn)相關(guān)關(guān)聯(lián)�����。然后我查找服務(wù)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主鍵�����,結(jié)果也沒有�����!還通過msconfig找了隱藏服務(wù)也沒有發(fā)現(xiàn)什么東西!郁悶ing�����,我重起電腦按f8進入安全模式����,用卡巴殺,仍然無法刪除����!
我網(wǎng)上查了下該木馬,認(rèn)識了下該木馬特點�����,
Searchnet.exe程序名稱:中搜地址
該木馬具有以下特征:自我隱藏,自我保護���,自我恢復(fù)���,網(wǎng)絡(luò)訪問,后臺升級�,監(jiān)視用戶操作,無法徹底刪除��。
一���、隱藏文件
該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動文件�。
資源管理器下沒有發(fā)現(xiàn)SearchNet文件夾
用IceSword能發(fā)現(xiàn)SearchNet文件夾
資源管理器下沒有發(fā)現(xiàn)其驅(qū)動文件
用IceSword發(fā)現(xiàn)三個驅(qū)動文件: FAD.sys Anfad.sys hProcess.sys
二�、隱藏進程
該木馬隱藏了自己的兩個進程:SearchNet.exe 和 ServeHost.exe
任務(wù)管理器下沒有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進程
三、隱藏注冊表
該木馬隱藏了與其相關(guān)的所有注冊表項:
用Regedit無法查看其注冊表啟動項
四����、監(jiān)視用戶操作
該木馬,安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子�,監(jiān)視著用戶的一舉一動。
五�、自我保護,自我修復(fù)
該木馬采用驅(qū)動文件FAD.sys Anfad.sys hProcess.sys對其所有和注冊表進行了保護����,甚至用IceSword都無法刪除!
六���、網(wǎng)絡(luò)訪問與后臺升級
該木馬可通過悄悄訪問網(wǎng)絡(luò)�,后臺升級�,以保持其最新版本,躲過殺毒軟件的查殺���。
七、卸載欺騙
該木馬提供一個虛假的卸載方式��,來欺騙用戶。
我汗這么強悍的木馬啊���,有點想PS,驅(qū)動級木馬啊����,網(wǎng)上有人提供了刪除木馬的方法�,
多操作系統(tǒng)的用戶��,可以通過引導(dǎo)到其它系統(tǒng)刪除此木馬的所有文件����,徹底清除該木馬��。
單系統(tǒng)用戶可以使用unlocker強制刪除��,他的是一個系統(tǒng),第1個方法不可取��,第2個我試了�,重起電腦仍然出現(xiàn)��,突然間想到��,windows權(quán)限依賴性�,我暈�����,我同學(xué)的是FAT分區(qū)格式����,給他轉(zhuǎn)為NTFS����,方法是convert c :/fs:ntfs,這樣把C盤換為NTFS格式了����,然后把C:\Program Files\searchnet 文件夾的權(quán)限全部禁用���,首先打開我的電腦��,點擊:工具—文件夾選項-查看����,把“使用簡單文件共享”前面的鉤去掉,這樣文件的安全選項就出現(xiàn)了�����,右擊searchnet 文件夾點屬性����,找到安全,把里面的權(quán)限全部去掉�,
最后重起電腦,哈哈�,木馬這次沒有啟動��,把權(quán)限恢復(fù)�����,把searchnet文件夾內(nèi)容全部刪除����,在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys這3個驅(qū)動啟動的東東����,全部刪除!又用卡巴找了下�,沒有發(fā)現(xiàn)病毒����!重起電腦�,沒有啟動�����,也查不到���!這次殺毒結(jié)束了�����!
結(jié)語:這個木馬以往查殺方法行不通��,我借助了權(quán)限的依賴把木馬殺掉�,也是一種不錯的方法��!大家有什么問題與我聯(lián)系。
當(dāng)前名稱:一次艱難查殺木馬過程
當(dāng)前網(wǎng)址:
http://uogjgqi.cn/article/cosjeds.html
