一次艱難查殺木馬過程
今天我同學說他的電腦很慢,叫我過去看看,我過去給他裝了個卡巴進行殺毒,慢慢的等待卡巴報警查到Searchnet這個木馬,點刪除病毒,無法刪除!說明進程中有!但是查找任務管理器,沒有發現可疑進程!懷疑是隱藏進程的,通過冰刃IceSword也沒有顯示隱藏進程。我按照卡巴提示的路徑在C:\Program Files,發現searchnet文件夾,進去發現有個unins.exe卸載的東東,點下看看,沒有反應,里面文件也無法刪除!對,在運行啊!先看看木馬是怎么啟動的,我先通過一般木馬查殺方法進行查找,在“開始/運行”中輸入“regedit.exe”打開注冊表編輯器,依次展開
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以"Run"開頭的項,也通過查找C:\Documents ;and Settings\ay13y\「開始」菜單\程序\啟動,都沒有發現可疑的 ,另外通過查找[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值,也沒有發現相關關聯。然后我查找服務
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主鍵,結果也沒有!還通過msconfig找了隱藏服務也沒有發現什么東西!郁悶ing,我重起電腦按f8進入安全模式,用卡巴殺,仍然無法刪除!
我網上查了下該木馬,認識了下該木馬特點,
Searchnet.exe程序名稱:中搜地址
該木馬具有以下特征:自我隱藏,自我保護,自我恢復,網絡訪問,后臺升級,監視用戶操作,無法徹底刪除。
一、隱藏文件
該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅動文件。
資源管理器下沒有發現SearchNet文件夾
用IceSword能發現SearchNet文件夾
資源管理器下沒有發現其驅動文件
用IceSword發現三個驅動文件: FAD.sys Anfad.sys hProcess.sys
二、隱藏進程
該木馬隱藏了自己的兩個進程:SearchNet.exe 和 ServeHost.exe
任務管理器下沒有發現SearchNet.exe 和 ServeHost.exe進程
三、隱藏注冊表
該木馬隱藏了與其相關的所有注冊表項:
用Regedit無法查看其注冊表啟動項
四、監視用戶操作
該木馬,安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子,監視著用戶的一舉一動。
五、自我保護,自我修復
該木馬采用驅動文件FAD.sys Anfad.sys hProcess.sys對其所有和注冊表進行了保護,甚至用IceSword都無法刪除!
六、網絡訪問與后臺升級
該木馬可通過悄悄訪問網絡,后臺升級,以保持其最新版本,躲過殺毒軟件的查殺。
七、卸載欺騙
該木馬提供一個虛假的卸載方式,來欺騙用戶。
我汗這么強悍的木馬啊,有點想PS,驅動級木馬啊,網上有人提供了刪除木馬的方法,
多操作系統的用戶,可以通過引導到其它系統刪除此木馬的所有文件,徹底清除該木馬。
單系統用戶可以使用unlocker強制刪除,他的是一個系統,第1個方法不可取,第2個我試了,重起電腦仍然出現,突然間想到,windows權限依賴性,我暈,我同學的是FAT分區格式,給他轉為NTFS,方法是convert c :/fs:ntfs,這樣把C盤換為NTFS格式了,然后把C:\Program Files\searchnet 文件夾的權限全部禁用,首先打開我的電腦,點擊:工具—文件夾選項-查看,把“使用簡單文件共享”前面的鉤去掉,這樣文件的安全選項就出現了,右擊searchnet 文件夾點屬性,找到安全,把里面的權限全部去掉,
最后重起電腦,哈哈,木馬這次沒有啟動,把權限恢復,把searchnet文件夾內容全部刪除,在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys這3個驅動啟動的東東,全部刪除!又用卡巴找了下,沒有發現病毒!重起電腦,沒有啟動,也查不到!這次殺毒結束了!
結語:這個木馬以往查殺方法行不通,我借助了權限的依賴把木馬殺掉,也是一種不錯的方法!大家有什么問題與我聯系。
【編輯推薦】
