今天我同學(xué)說他的電腦很慢，叫我過去看看，我過去給他裝了個(gè)卡巴進(jìn)行殺毒，慢慢的等待卡巴報(bào)警查到Searchnet這個(gè)木馬，點(diǎn)刪除病毒，無法刪除！說明進(jìn)程中有！但是查找任務(wù)管理器，沒有發(fā)現(xiàn)可疑進(jìn)程！懷疑是隱藏進(jìn)程的，通過冰刃IceSword也沒有顯示隱藏進(jìn)程。我按照卡巴提示的路徑在C:\Program Files，發(fā)現(xiàn)searchnet文件夾，進(jìn)去發(fā)現(xiàn)有個(gè)unins.exe卸載的東東，點(diǎn)下看看，沒有反應(yīng)，里面文件也無法刪除！對(duì)，在運(yùn)行啊！先看看木馬是怎么啟動(dòng)的，我先通過一般木馬查殺方法進(jìn)行查找，在“開始/運(yùn)行”中輸入“regedit.exe”打開注冊(cè)表編輯器，依次展開

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"開頭的項(xiàng)，也通過查找C:\Documents ;and Settings\ay13y\「開始」菜單\程序\啟動(dòng)，都沒有發(fā)現(xiàn)可疑的 ，另外通過查找[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值，也沒有發(fā)現(xiàn)相關(guān)關(guān)聯(lián)。然后我查找服務(wù)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主鍵，結(jié)果也沒有！還通過msconfig找了隱藏服務(wù)也沒有發(fā)現(xiàn)什么東西！郁悶ing，我重起電腦按f8進(jìn)入安全模式，用卡巴殺，仍然無法刪除！ 

我網(wǎng)上查了下該木馬，認(rèn)識(shí)了下該木馬特點(diǎn)，

Searchnet.exe程序名稱：中搜地址

該木馬具有以下特征：自我隱藏，自我保護(hù)，自我恢復(fù)，網(wǎng)絡(luò)訪問，后臺(tái)升級(jí)，監(jiān)視用戶操作，無法徹底刪除。 

一、隱藏文件 

該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動(dòng)文件。 

資源管理器下沒有發(fā)現(xiàn)SearchNet文件夾 

用IceSword能發(fā)現(xiàn)SearchNet文件夾 

資源管理器下沒有發(fā)現(xiàn)其驅(qū)動(dòng)文件 

用IceSword發(fā)現(xiàn)三個(gè)驅(qū)動(dòng)文件: FAD.sys Anfad.sys hProcess.sys 

二、隱藏進(jìn)程 

該木馬隱藏了自己的兩個(gè)進(jìn)程：SearchNet.exe 和 ServeHost.exe 

任務(wù)管理器下沒有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進(jìn)程 

三、隱藏注冊(cè)表 

該木馬隱藏了與其相關(guān)的所有注冊(cè)表項(xiàng)： 

用Regedit無法查看其注冊(cè)表啟動(dòng)項(xiàng) 

四、監(jiān)視用戶操作 

該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子，監(jiān)視著用戶的一舉一動(dòng)。 

五、自我保護(hù)，自我修復(fù) 

該木馬采用驅(qū)動(dòng)文件FAD.sys Anfad.sys hProcess.sys對(duì)其所有和注冊(cè)表進(jìn)行了保護(hù)，甚至用IceSword都無法刪除！ 

六、網(wǎng)絡(luò)訪問與后臺(tái)升級(jí) 

該木馬可通過悄悄訪問網(wǎng)絡(luò)，后臺(tái)升級(jí)，以保持其最新版本，躲過殺毒軟件的查殺。 

七、卸載欺騙 

該木馬提供一個(gè)虛假的卸載方式，來欺騙用戶。 

我汗這么強(qiáng)悍的木馬啊，有點(diǎn)想PS，驅(qū)動(dòng)級(jí)木馬啊，網(wǎng)上有人提供了刪除木馬的方法，  

多操作系統(tǒng)的用戶，可以通過引導(dǎo)到其它系統(tǒng)刪除此木馬的所有文件，徹底清除該木馬。 

單系統(tǒng)用戶可以使用unlocker強(qiáng)制刪除，他的是一個(gè)系統(tǒng)，第1個(gè)方法不可取，第2個(gè)我試了，重起電腦仍然出現(xiàn)，突然間想到，windows權(quán)限依賴性，我暈，我同學(xué)的是FAT分區(qū)格式，給他轉(zhuǎn)為NTFS，方法是convert c :/fs:ntfs，這樣把C盤換為NTFS格式了，然后把C:\Program Files\searchnet 文件夾的權(quán)限全部禁用，首先打開我的電腦，點(diǎn)擊：工具—文件夾選項(xiàng)-查看，把“使用簡(jiǎn)單文件共享”前面的鉤去掉，這樣文件的安全選項(xiàng)就出現(xiàn)了，右擊searchnet 文件夾點(diǎn)屬性，找到安全，把里面的權(quán)限全部去掉，

最后重起電腦，哈哈，木馬這次沒有啟動(dòng)，把權(quán)限恢復(fù)，把searchnet文件夾內(nèi)容全部刪除，在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys這3個(gè)驅(qū)動(dòng)啟動(dòng)的東東，全部刪除！又用卡巴找了下，沒有發(fā)現(xiàn)病毒！重起電腦，沒有啟動(dòng)，也查不到！這次殺毒結(jié)束了！ 

結(jié)語：這個(gè)木馬以往查殺方法行不通，我借助了權(quán)限的依賴把木馬殺掉，也是一種不錯(cuò)的方法！大家有什么問題與我聯(lián)系。

【編輯推薦】

1. 木馬免殺技術(shù)大盤點(diǎn)與殺毒軟件設(shè)置
2. 桌面不顯示圖標(biāo)的盜號(hào)木馬清除方法