潇湘溪苑视频在线看:木马searchnet的驱动~~

SearchNet木马

现象分析一下：
以下内容用Iceword查看
隐藏C:\Program File\SearchNet文件夹
隐藏\Drivers\文件夹下的Anfad.sys FAD.sys（有些是不同的）
隐藏进程SearchNet.exe及ServeHost.exe
隐藏自有注册表项
有WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE全局钩子
悄悄访问网络
解决方法分析一下：
有的已有服务项建立的，先到开始→控制面板→性能和维护→管理工具→停止相关服务项
用C:\Program Files\searchNet\uninstall.exe一个虚假的方式输入随机码后卸载，但并不能完
全卸载。
然后主要删除以下文件夹及文件
C:\Program Files\SearchNet\整个目录
C:\WINDOWS\system32\ServeHost.exe
\Drivers\下的几个相关sys文件
________________________________________

命令行进入C:\Program Files\SearchNet\
attrib *.* -s -h -r
del *.*
退出一级
rd searchnet
有多操作系统的用户，可以通过引导到其它系统删除相关所有文件
或把硬盘拿到其它机器挂接，手动删除掉相关的所有文件！
再者DOS系统下删除相关文件
使用延迟删除工具或强力删除工具删除相关文件。
网上的方法：
1、用启动光盘进入系统，到\windows\system32\drives；
2、将上述目录中的FAD.sys 和anfad.sys更名，（此文件不能直接被删除）；
3、再将\program files\serachenet\目录下的主要文件更名（建议将此目录中的全部文件更名）；
4、再删除serachnet目录即可
5、删除\windows\system32\drives更名后的文件；
6、重启电脑

最近的木马病毒Searchnet.exe
该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。

清除的方法其实很简单：开始，运行里面输入c:\program files\searchnet\uninstall.exe 再按回车

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。

一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）

三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项

四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！

六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。

七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。

删除方法..
1.如果你的C盘是FAT32的就好办了.在DOS下删除C: Program FilesSearchnet文件夹就OK了..
2.双系统可以进另一系统删除
3.如果是NFTS的,就用一些工具盘.如系统维护光盘就行..进入到光盘中的启动项..运行 WinPE 深山红叶进入到系统.点击资源管理器.找到C: Program FilesSearchnet文件夹并删除它...重新启动机器就OK了...
4.就是把中招的硬盘拿下放在其他机器上.用挂双硬盘的方法删除c: program filessearchnet文件夹也可以...
我试试很灵的.希望对中招的朋友有所帮助......
好的话就顶一下.......