应《网络安全法》要求,自2017年10月1日起,未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用,请尽快对帐号进行手机号验证,感谢您的理解与支持!

24小时热门版块排行榜    

小木虫论坛-学术科研互动平台» 网络生活区» 有奖问答 » 有奖问答完结子版 » 互联网络 » 求助-如何杀灭此病毒(求助成功,谢谢各位)
132/2返回列表上一页12
查看: 1594  |  回复: 12
只看楼主 @他人 存档 新回复提醒 (忽略) 收藏    在APP中查看
当前主题已经存档。
【悬赏金币】回答本帖问题,作者xiaojiancai将赠送您 6 个金币

herok

你中的好象是中搜木马。

★ ★ ★
zhaoyusnow(金币+3):帮楼主加分。谢谢参与!
反中搜联盟:http://www.yufang.cn/Nozhongsou.com/
(附:删除文件另一方法:提示正在使用,无法删除的文件,可以先用unlocker解除锁定,然后再删除。也可以到DOS环境下查找删除,MaxDOS是一个不错的DOS系统。unlocker和MaxDOS均有下载,如找不到,可回复,我帮你传。)

searchnet.exe木马
关键词: searchnet.exe

该程序位于CProgram Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在CProgram Files下)。在CWINDOWSSystem32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。

该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。

一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件 FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块(发现该木马的底层驱动)

三、隐藏注册表
该木马隐藏了与其相关的所有注册表项:
用Regedit无法查看其注册表启动项
用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项

四、监视用户操作
该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护,自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!

六、网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。

七、卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。
用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!

八、病毒防治
1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了!

3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。
有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。

九、网上的删除方法:

1、用启动光盘进入系统,到windows\system32\drives

2、将上述目录中的FAD.sys 和anfad.sys更名,(此文件不能直接被删除)

3、再将program files\serachenet目录下的主要文件更名(建议将此目录中的全部文件更名)

4、再删除serachnet目录即可

5、删除windows\system32\drives更名后的文件

6、重起电脑ok。
一下(5人) 回复此楼
11楼2006-08-14 11:11:16
已阅   回复此楼   关注TA 给TA发消息 送TA红花 TA的回帖

simao84

金虫 (正式写手)
用卡巴6.0 ,我电脑上也扫除过这些病毒,不过都被咔吧杀拉
一下 回复此楼
12楼2006-08-14 12:14:49
已阅   回复此楼   关注TA 给TA发消息 送TA红花 TA的回帖

xiaojiancai

木虫 (著名写手)

多谢!

引用回帖:
Originally posted by 可可西里 at 2006-8-14 10:54 AM:
也可以这样试试

打开Program Files文件夹,找到SearchNet文件夹,打开他,可以看到"UnInstall中搜在线"的一个文件,双击他,出现一个对话框,任意选一个理由,输入提示的数字,按确定卸载,就可以删除 ...

这个方法很好,简单实用。多谢了!
一下 回复此楼
知福福常在,随缘缘自来!
13楼2006-08-16 10:35:30
已阅   回复此楼   关注TA 给TA发消息 送TA红花 TA的回帖
相关版块跳转 我要订阅楼主 xiaojiancai 的主题更新
132/2返回列表上一页12
不应助 确定回帖应助 (注意:应助才可能被奖励,但不允许灌水,必须填写15个字符以上)
普通表情
最具人气热帖推荐 [查看全部] 作者 回/看 最后发表
[考研] 304求调剂 +3 52hz~~ 2026-02-28 5/250 2026-03-01 00:00 by 52hz~~
[考研] 化工专硕348,一志愿985求调剂 +4 弗格个 2026-02-28 6/300 2026-02-28 22:00 by wang_dand
[考研] 292求调剂 +3 yhk_819 2026-02-28 3/150 2026-02-28 21:57 by gaoxiaoniuma
[考研] 290求调剂 +5 材料专硕调剂; 2026-02-28 6/300 2026-02-28 21:40 by gaoxiaoniuma
[考研] 295求调剂 +5 19171856320 2026-02-28 5/250 2026-02-28 21:39 by gaoxiaoniuma
[考研] 264求调剂 +3 巴拉巴拉根556 2026-02-28 3/150 2026-02-28 21:31 by gaoxiaoniuma
[考研] 311求调剂 +8 南迦720 2026-02-28 8/400 2026-02-28 21:30 by gaoxiaoniuma
[考研] 求调剂 +4 repeatt?t 2026-02-28 4/200 2026-02-28 21:16 by gaoxiaoniuma
[考研] 284求调剂 +4 天下熯 2026-02-28 4/200 2026-02-28 21:13 by gaoxiaoniuma
[考研] 高分子化学与物理调剂 +4 好好好1233 2026-02-28 7/350 2026-02-28 20:42 by 好好好1233
[考研] 085600材料工程一志愿中科大总分312求调剂 +8 吃宵夜1 2026-02-28 10/500 2026-02-28 20:27 by L135790
[考研] 276求调剂 +3 路lyh123 2026-02-28 4/200 2026-02-28 19:45 by 路lyh123
[考博] 博士自荐 +3 kkluvs 2026-02-28 3/150 2026-02-28 16:59 by StarAura
[考研] 265分求调剂不调专业和学校有行学上就 +4 礼堂丁真258 2026-02-28 6/300 2026-02-28 16:18 by 求调剂zz
[考研] 0856调剂 +3 刘梦微 2026-02-28 3/150 2026-02-28 13:22 by houyaoxu
[考研] 寻找调剂 +3 LYidhsjabdj 2026-02-28 3/150 2026-02-28 12:59 by miniwendy
[硕博家园] 博士自荐 +6 科研狗111 2026-02-26 9/450 2026-02-28 12:32 by seaskyy
[考研] 272求调剂 +3 田智友 2026-02-28 3/150 2026-02-28 12:31 by 王加浩to
[基金申请] 面上可以超过30页吧? +12 阿拉贡aragon 2026-02-22 13/650 2026-02-26 22:09 by Hahaxia
[硕博家园] 【博士招生】太原理工大学2026化工博士 +4 N1ce_try 2026-02-24 8/400 2026-02-26 08:40 by N1ce_try
信息提示
关闭
请填处理意见
关闭