爱自由论坛我的电脑 我做主安全在线关于SearchNet木马病毒 → 第1页
 
楼 主 作者:风吹云动 时间:2006-7-7 08:04  
江湖人称:风吹云动
私有财富:1746
传说中是:绝世美女
我的家乡:重庆 合川
现居住在:广东 惠州
会员级别:普通会员
注册时间:2006年4月7日		 主题:关于SearchNet木马病毒  (阅读数: 6次, 回复数: 4篇)
 
近来有不少电脑中此病毒.本人以亲身的经历向大家介绍...
    关于SearchNet病毒...
    一、隐藏文件
    该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
    资源管理器下没有发现SearchNet文件夹
    用IceSword能发现SearchNet文件夹
    资源管理器下没有发现其驱动文件
    用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys
    
    二、隐藏进程
    该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe
    任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
    用IceSword发现SearchNet.exe 和 ServeHost.exe进程
    (IceSword自动用红色将其显示)
    用IceSword查看内核模块(发现该木马的底层驱动)
    
    三、隐藏注册表
    该木马隐藏了与其相关的所有注册表项:
    
    用Regedit无法查看其注册表启动项
    
    用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项
    
    四、监视用户操作
    该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。
    用IceSword能查看到SearchNet进程安装的全局钩子
    
    五、自我保护,自我修复
    该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!
    
    六、网络访问与后台升级
    该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。
    
    七、卸载欺骗
    该木马提供一个虚假的卸载方式,来欺骗用户。
    用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!
    
    删除方法!!接下来我教大家详细的解释怎么删除`因为我自己中了这个毒是自己搞掉的!
 
走过千山万水,看遍万种风情!
第 2 楼    
 

要删这个病毒!!得看看你电脑里是否中了这个毒!!然后找到路径``一般的路径都是


    
    所以找到之后!!用杀毒软件来查查!!注意!!一般那些旧一点的是查不到的!我用的是卡巴2006的`呵呵!检测到病毒


    病毒的详细内容
    


    
    既然知道病毒了...很多朋友看到!!杀毒软件杀不了的~肯定会自己动手的了!删文件!就找到了这个文件夹:


    但是怎么删也删不了!!就到安全模式还是删不了!显示是这样的:
    


    该怎么办呢?其实很简单啊!!没必要又要什么注册列表啊!!或者DOS那里去搞~~搞的电脑乱七八糟的!!我这个步骤很简单!!!!哈哈!!!搞的理智和飞扬他们在搞了寒```!~

其实怎么删~~很简单~~打开你的杀毒软件!!在隔离和备份那里!!注意!我的是卡巴2006!不知道你们用的是哪种~但是我的是可以的!!
    
    在备份那里,把你中毒的那个文件就是exe文件(一般有两个中毒的文件)

就是这几个!三个吧!
    ,添加到杀毒软件的隔离备份那里,这样你再来到病毒所在位置,把文件夹给删了,这样就OK了~我就删掉了!再到杀毒软件那里把隔离的文件删了!任务完成!
    然后再扫描一下系统盘!没有发现病毒了吧!呵呵!!
    各位大虾`这个是本人无意中的新方法~希望大家可做参考!!!如果有哪里不行的!!还请多多指教!!
 
 
第 3 楼    
  还好,没有中呀
 
 
第 4 楼    
  没中就好
 
 
第 5 楼    
  还好,还好,我也没有中