今天我同學說他的電腦很慢，叫我過去看看，我過去給他裝了個卡巴進行殺毒，慢慢的等待卡巴報警查到Searchnet這個木馬，點刪除病毒，無法刪除！說明進程中有！但是查找任務管理器，沒有發(fā)現(xiàn)可疑進程！懷疑是隱藏進程的，通過冰刃IceSword也沒有顯示隱藏進程。我按照卡巴提示的路徑在C:\Program Files，發(fā)現(xiàn)searchnet文件夾，進去發(fā)現(xiàn)有個unins.exe卸載的東東，點下看看，沒有反應，里面文件也無法刪除！對，在運行啊！先看看木馬是怎么啟動的，我先通過一般木馬查殺方法進行查找，在“開始/運行”中輸入“regedit.exe”打開注冊表編輯器，依次展開

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"開頭的項，也通過查找C:\Documents ;and Settings\ay13y\「開始」菜單\程序\啟動，都沒有發(fā)現(xiàn)可疑的 ，另外通過查找[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值，也沒有發(fā)現(xiàn)相關關聯(lián)。然后我查找服務

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑的主鍵，結(jié)果也沒有！還通過msconfig找了隱藏服務也沒有發(fā)現(xiàn)什么東西！郁悶ing，我重起電腦按f8進入安全模式，用卡巴殺，仍然無法刪除！ 

我網(wǎng)上查了下該木馬，認識了下該木馬特點，

Searchnet.exe程序名稱：中搜地址

該木馬具有以下特征：自我隱藏，自我保護，自我恢復，網(wǎng)絡訪問，后臺升級，監(jiān)視用戶操作，無法徹底刪除。 

一、隱藏文件 

該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動文件。 

資源管理器下沒有發(fā)現(xiàn)SearchNet文件夾 

用IceSword能發(fā)現(xiàn)SearchNet文件夾 

資源管理器下沒有發(fā)現(xiàn)其驅(qū)動文件 

用IceSword發(fā)現(xiàn)三個驅(qū)動文件: FAD.sys Anfad.sys hProcess.sys 

二、隱藏進程 

該木馬隱藏了自己的兩個進程：SearchNet.exe 和 ServeHost.exe 

任務管理器下沒有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進程 

三、隱藏注冊表 

該木馬隱藏了與其相關的所有注冊表項： 

用Regedit無法查看其注冊表啟動項 

四、監(jiān)視用戶操作 

該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子，監(jiān)視著用戶的一舉一動。 

五、自我保護，自我修復 

該木馬采用驅(qū)動文件FAD.sys Anfad.sys hProcess.sys對其所有和注冊表進行了保護，甚至用IceSword都無法刪除！ 

六、網(wǎng)絡訪問與后臺升級 

該木馬可通過悄悄訪問網(wǎng)絡，后臺升級，以保持其最新版本，躲過殺毒軟件的查殺。 

七、卸載欺騙 

該木馬提供一個虛假的卸載方式，來欺騙用戶。 

我汗這么強悍的木馬啊，有點想PS，驅(qū)動級木馬啊，網(wǎng)上有人提供了刪除木馬的方法，  

多操作系統(tǒng)的用戶，可以通過引導到其它系統(tǒng)刪除此木馬的所有文件，徹底清除該木馬。 

單系統(tǒng)用戶可以使用unlocker強制刪除，他的是一個系統(tǒng)，第1個方法不可取，第2個我試了，重起電腦仍然出現(xiàn)，突然間想到，windows權限依賴性，我暈，我同學的是FAT分區(qū)格式，給他轉(zhuǎn)為NTFS，方法是convert c :/fs:ntfs，這樣把C盤換為NTFS格式了，然后把C:\Program Files\searchnet 文件夾的權限全部禁用，首先打開我的電腦，點擊：工具—文件夾選項-查看，把“使用簡單文件共享”前面的鉤去掉，這樣文件的安全選項就出現(xiàn)了，右擊searchnet 文件夾點屬性，找到安全，把里面的權限全部去掉，

 

最后重起電腦，哈哈，木馬這次沒有啟動，把權限恢復，把searchnet文件夾內(nèi)容全部刪除，在C:\WINDOWS\system32\drivers 找到FAD.sys Anfad.sys hProcess.sys這3個驅(qū)動啟動的東東，全部刪除！又用卡巴找了下，沒有發(fā)現(xiàn)病毒！重起電腦，沒有啟動，也查不到！這次殺毒結(jié)束了！ 

結(jié)語：這個木馬以往查殺方法行不通，我借助了權限的依賴把木馬殺掉，也是一種不錯的方法！大家有什么問題與我聯(lián)系。

【編輯推薦】

1. 木馬免殺技術大盤點與殺毒軟件設置
2. 桌面不顯示圖標的盜號木馬清除方法