| 查看: 1561 | 回复: 12 | |||
| 当前主题已经存档。 | |||
| 【悬赏金币】回答本帖问题,作者xiaojiancai将赠送您 6 个金币 | |||
| 当前只显示满足指定条件的回帖,点击这里查看本话题的所有回帖 | |||
xiaojiancai木虫 (著名写手)
|
[求助]
求助-如何杀灭此病毒(求助成功,谢谢各位)
|
||
|
从网上传下该系列病毒,Trojan.ZhongSou.i ,Trojan.ZhongSou.g ,Trojan.ZhongSou.h怎么也杀不掉,该咋办,请教? [ Last edited by xiaojiancai on 2006-8-14 at 14:54 ] |
回复此楼» 猜你喜欢
拟解决的关键科学问题还要不要写
已经有7人回复
-
存款400万可以在学校里躺平吗
已经有17人回复
-
请教限项目规定
已经有3人回复
-
基金委咋了?2026年的指南还没有出来?
已经有10人回复
-
基金申报
已经有6人回复
-
推荐一本书
已经有13人回复
-
国自然申请面上模板最新2026版出了吗?
已经有17人回复
-
纳米粒子粒径的测量
已经有8人回复
-
疑惑?
已经有5人回复
-
计算机、0854电子信息(085401-058412)调剂
已经有5人回复
你中的好象是中搜木马。
★ ★ ★
zhaoyusnow(金币+3):帮楼主加分。谢谢参与!
zhaoyusnow(金币+3):帮楼主加分。谢谢参与!
|
反中搜联盟:http://www.yufang.cn/Nozhongsou.com/ (附:删除文件另一方法:提示正在使用,无法删除的文件,可以先用unlocker解除锁定,然后再删除。也可以到DOS环境下查找删除,MaxDOS是一个不错的DOS系统。unlocker和MaxDOS均有下载,如找不到,可回复,我帮你传。) searchnet.exe木马 关键词: searchnet.exe 该程序位于CProgram Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在CProgram Files下)。在CWINDOWSSystem32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。 该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。 一、隐藏文件 该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。 资源管理器下没有发现SearchNet文件夹 用IceSword能发现SearchNet文件夹 资源管理器下没有发现其驱动文件 用IceSword发现三个驱动文件 FAD.sys Anfad.sys hProcess.sys 二、隐藏进程 该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe 任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程 用IceSword发现SearchNet.exe 和 ServeHost.exe进程 (IceSword自动用红色将其显示) 用IceSword查看内核模块(发现该木马的底层驱动) 三、隐藏注册表 该木马隐藏了与其相关的所有注册表项: 用Regedit无法查看其注册表启动项 用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项 四、监视用户操作 该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。 用IceSword能查看到SearchNet进程安装的全局钩子 五、自我保护,自我修复 该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除! 六、网络访问与后台升级 该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。 七、卸载欺骗 该木马提供一个虚假的卸载方式,来欺骗用户。 用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马! 八、病毒防治 1、查找 大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。 2、警惕 该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了! 3、删除 目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。 有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。 九、网上的删除方法: 1、用启动光盘进入系统,到windows\system32\drives 2、将上述目录中的FAD.sys 和anfad.sys更名,(此文件不能直接被删除) 3、再将program files\serachenet目录下的主要文件更名(建议将此目录中的全部文件更名) 4、再删除serachnet目录即可 5、删除windows\system32\drives更名后的文件 6、重起电脑ok。 |
11楼2006-08-14 11:11:16
songnopeace
银虫 (正式写手)
猎手
- 应助: 0 (幼儿园)
- 金币: 9.7
- 散金: 1327
- 红花: 2
- 帖子: 470
- 在线: 50.3小时
- 虫号: 149239
- 注册: 2005-12-28
- 性别: GG
- 专业: 人力资源管理
2楼2006-08-14 09:30:39
mahl1979
金虫 (正式写手)
- 应助: 0 (幼儿园)
- 金币: 1287.9
- 帖子: 563
- 在线: 56小时
- 虫号: 266403
- 注册: 2006-07-16
- 性别: GG
- 专业: 碳素材料与超硬材料
3楼2006-08-14 09:30:45
xiaojiancai
木虫 (著名写手)
- 应助: 14 (小学生)
- 金币: 1998.2
- 散金: 100
- 红花: 1
- 帖子: 1287
- 在线: 308.9小时
- 虫号: 218518
- 注册: 2006-03-13
- 性别: GG
- 专业: 土壤生态学
4楼2006-08-14 09:57:18