日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

今天我同學(xué)說他的電腦很慢，叫我過去看看，我過去給他裝了個(gè)卡巴進(jìn)行殺毒，慢慢的等待卡巴報(bào)警查到Searchnet這個(gè)木馬，點(diǎn)刪除病毒，無法刪除！說明進(jìn)程中有！但是查找任務(wù)管理器，沒有發(fā)現(xiàn)可疑進(jìn)程！懷疑是隱藏進(jìn)程的，通過冰刃IceSword也沒有顯示隱藏進(jìn)程。我按照卡巴提示的路徑在C:\Program Files，發(fā)現(xiàn)searchnet文件夾，進(jìn)去發(fā)現(xiàn)有個(gè)unins.exe卸載的東東，點(diǎn)下看看，沒有反應(yīng)，里面文件也無法刪除！對(duì)，在運(yùn)行??！先看看木馬是怎么啟動(dòng)的，我先通過一般木馬查殺方法進(jìn)行查找，在“開始/運(yùn)行”中輸入“regedit.exe”打開注冊表編輯器，依次展開

成都創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括河曲網(wǎng)站建設(shè)、河曲網(wǎng)站制作、河曲網(wǎng)頁制作以及河曲網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，河曲網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到河曲省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"開頭的項(xiàng)，也通過查找C:\Documents ;and Settings\ay13y\「開始」菜單\程序\啟動(dòng)，都沒有發(fā)現(xiàn)可疑的 ，另外通過查找[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值，也沒有發(fā)現(xiàn)相關(guān)關(guān)聯(lián)。然后我查找服務(wù)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主鍵，結(jié)果也沒有！還通過msconfig找了隱藏服務(wù)也沒有發(fā)現(xiàn)什么東西！郁悶ing，我重起電腦按f8進(jìn)入安全模式，用卡巴殺，仍然無法刪除！ 

我網(wǎng)上查了下該木馬，認(rèn)識(shí)了下該木馬特點(diǎn)，

Searchnet.exe程序名稱：中搜地址

該木馬具有以下特征：自我隱藏，自我保護(hù)，自我恢復(fù)，網(wǎng)絡(luò)訪問，后臺(tái)升級(jí)，監(jiān)視用戶操作，無法徹底刪除。 

一、隱藏文件 

該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動(dòng)文件。 

資源管理器下沒有發(fā)現(xiàn)SearchNet文件夾 

用IceSword能發(fā)現(xiàn)SearchNet文件夾 

資源管理器下沒有發(fā)現(xiàn)其驅(qū)動(dòng)文件 

用IceSword發(fā)現(xiàn)三個(gè)驅(qū)動(dòng)文件: FAD.sys Anfad.sys hProcess.sys 

二、隱藏進(jìn)程 

該木馬隱藏了自己的兩個(gè)進(jìn)程：SearchNet.exe 和 ServeHost.exe 

任務(wù)管理器下沒有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進(jìn)程 

三、隱藏注冊表 

該木馬隱藏了與其相關(guān)的所有注冊表項(xiàng)： 

用Regedit無法查看其注冊表啟動(dòng)項(xiàng) 

四、監(jiān)視用戶操作 

該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子，監(jiān)視著用戶的一舉一動(dòng)。 

五、自我保護(hù)，自我修復(fù) 

該木馬采用驅(qū)動(dòng)文件FAD.sys Anfad.sys hProcess.sys對(duì)其所有和注冊表進(jìn)行了保護(hù)，甚至用IceSword都無法刪除！ 

六、網(wǎng)絡(luò)訪問與后臺(tái)升級(jí) 

該木馬可通過悄悄訪問網(wǎng)絡(luò)，后臺(tái)升級(jí)，以保持其最新版本，躲過殺毒軟件的查殺。 

七、卸載欺騙 

該木馬提供一個(gè)虛假的卸載方式，來欺騙用戶。 

我汗這么強(qiáng)悍的木馬啊，有點(diǎn)想PS，驅(qū)動(dòng)級(jí)木馬啊，網(wǎng)上有人提供了刪除木馬的方法，  

多操作系統(tǒng)的用戶，可以通過引導(dǎo)到其它系統(tǒng)刪除此木馬的所有文件，徹底清除該木馬。 

單系統(tǒng)用戶可以使用unlocker強(qiáng)制刪除，他的是一個(gè)系統(tǒng)，第1個(gè)方法不可取，第2個(gè)我試了，重起電腦仍然出現(xiàn)，突然間想到，windows權(quán)限依賴性，我暈，我同學(xué)的是FAT分區(qū)格式，給他轉(zhuǎn)為NTFS，方法是convert c :/fs:ntfs，這樣把C盤換為NTFS格式了，然后把C:\Program Files\searchnet 文件夾的權(quán)限全部禁用，首先打開我的電腦，點(diǎn)擊：工具—文件夾選項(xiàng)-查看，把“使用簡單文件共享”前面的鉤去掉，這樣文件的安全選項(xiàng)就出現(xiàn)了，右擊searchnet 文件夾點(diǎn)屬性，找到安全，把里面的權(quán)限全部去掉，

 

最后重起電腦，哈哈，木馬這次沒有啟動(dòng)，把權(quán)限恢復(fù)，把searchnet文件夾內(nèi)容全部刪除，在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys這3個(gè)驅(qū)動(dòng)啟動(dòng)的東東，全部刪除！又用卡巴找了下，沒有發(fā)現(xiàn)病毒！重起電腦，沒有啟動(dòng)，也查不到！這次殺毒結(jié)束了！ 

結(jié)語：這個(gè)木馬以往查殺方法行不通，我借助了權(quán)限的依賴把木馬殺掉，也是一種不錯(cuò)的方法！大家有什么問題與我聯(lián)系。

網(wǎng)站標(biāo)題：一次艱難查殺木馬過程
網(wǎng)頁路徑：http://m.5511xx.com/article/cosjeds.html