首发于菊花论坛
昨天隔壁的说他电脑很慢,我过去给他清了清垃圾,整理下碎片,又给他装了个我信赖卡巴,更新,全盘扫,卡巴报警查到Searchnet这个木马,又无法删除!调出任务管理器,没有发现可疑进程!
怀疑是隐藏进程的,按照卡巴提示的路径在C:\Program Files,发现searchnet文件夹,进去发现有个unins.exe卸载的东东,点它没有反应,里面文件也无法删除!人家在运行啊!来点常规的,打开注册表编辑器,依次展开
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]
和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],
查看以"Run"开头的项,也通过查找C:\Documents and Settings\ay13y\「开始」菜单\程序\启动,都没有发现可疑,再通过查找
[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]也没有发现相关关联。
然后我查找服务[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主键,结果也没有!还通过msconfig找了隐藏服务也没有发现什么东西!
郁闷啊,我重启进安全模式,用卡巴杀,仍然无法删除!
我要开始我更加疯狂杀马路程,我暗下决心!!!!!!!!! 我上网查了下:
Searchnet.exe程序名称:中搜地址
该木马确实是个马才:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。(最后一点我是坚决不认同的)
原来那个可恶家伙隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。 资源管理器下没有发现SearchNet文件夹, 用IceSword能发现SearchNet文件夹 ,资源管理器下没有发现其驱动文件 ,用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys 我的妈啊,难怪啦,那东东还隐藏进程, 隐藏注册表, 监视用户操作 , 自我保护,自我修复, 网络访问与后台升级, 卸载欺骗,
我汗啊,,,,,这么强悍的木马啊,有点想PS,驱动级木马啊,网上有人提供了删除木马的方法:
. 用户可以使用unlocker强制删除(多系统者可通过第二系统彻底删除),说干就干,重启电脑仍然出现,突然间想到,windows权限依赖性,我晕,我隔壁那部机子是FAT分区格式,给他转为NTFS,然后把C:\Program Files\searchnet 文件夹的权限全部禁用,打开我的电脑,工具\文件夹选项\查看,把“使用简单文件共享”前面的钩去掉,这样文件的安全选项就出现了,看看searchnet 文件夹的属性,找到安全,把里面的权限全部去掉,大快人心啊….
重启,哈哈哈哈,木马这次没有启动,把权限恢复,把searchnet文件夹内容全部删除,在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys这3个驱动启动的东东,全部删除!又用卡巴找了下,没有发现病毒!再重启,还是没有启动,也查不到!别了,可爱的木马,,,,,
[ 本帖最后由 ALEXBLAIR 于 2007-1-8 18:26 编辑 ] |
发表于 2007-1-8 15:23:41
发表于 2007-1-8 15:26:42
