不言放弃 - 2006-5-15 14:21:00
【前言】
在这里再提出这个问题
其实是老调重弹
本次分析以WINXP系统为例
Rootkit.RegProt.a和Rootkit.FileProt.a
从病毒名称上看
杀软报的是rootkit--一种恶意木马
杀软报的是主要是以下两个驱动程序:
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
【分析】
其实这是机器中被强行安装中搜流氓软件的结果
C:\Program Files\SearchNet\是中搜流氓
其实
杀软过于夸大了该木马的严重性
【解决】
1、正常模式下用HIJACKTHIS修复如下两个BHO:
O2 - BHO: Zhongsou Browser Helper - {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\Program Files\SearchNet\SNHpr.dll
O2 - BHO: IE Browser Helper - {3CE496D1-1746-41CD-9489-3C0B93DF10E2} - C:\WINDOWS\Downloaded Program Files\IEHpr.dll
2、重启机器
开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE MODE"进入安全模式
3、开始--控制面板--性能和维护--管理工具--服务
禁用[Remote Lo / Remote Log]
4、开始--运行
输入regedit
确定
进入注册表
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除如下自启动项:
<SearchNet_Up> ["C:\Program Files\SearchNet\ServeUp.exe"]
展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
找到后删除Remote Log文件夹
5、运行searchnet目录中的uninstall,输入其验证码,则删除了该目录中的文件(除UNINSTALL外)
6、再删除uninstall,接着删除C:\Program Files\SearchNet\
7、删除如下文件:
C:\WINDOWS\system32\ServeHost.exe
C:\WINDOWS\system32\SeedServ.exe
C:\WINDOWS\Downloaded Program Files\IEHpr.dll
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys
(建议删除C:\WINDOWS\Downloaded Program Files\下的所有文件及文件夹)
8、重启回到正常模式,使用防毒软件对系统进行全盘扫描
【温馨提示】
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys
这三个文件是中搜流氓的驱动文件
一般是很难删除的
删除操作参考如下:
开机时按住F8<可以不停地按动F8>
选择“带命令行提示的安全模式”进入系统
attrib -s -h -r C:\WINDOWS\system32\drivers\Anfad.sys
del C:\WINDOWS\system32\drivers\Anfad.sys
attrib -s -h -r C:\WINDOWS\system32\drivers\fad.sys
del C:\WINDOWS\system32\drivers\fad.sys
attrib -s -h -r C:\WINDOWS\system32\drivers\hProcess.sys
del C:\WINDOWS\system32\drivers\hProcess.sys
轩辕小聪 - 2006-5-15 14:23:00
呵呵,总结一下的确是必要的。这次比以前全面了,特别是02项和O23服务项的问题。
不言放弃 - 2006-5-15 14:25:00
| 引用: |
【轩辕小聪的贴子】呵呵,总结一下的确是必要的。这次比以前全面了,特别是02项和O23服务项的问题。
........................... |
这次我测试了一下
上一次的解决方法有些漏洞
呵呵
yanmings - 2006-5-15 14:27:00
老是有人问这样的问题,楼主作个系统的总结,以后只要sou一下就好了,谢谢
轩辕小聪 - 2006-5-15 14:37:00
不过还真是夸张,为了卸载一个流氓软件所使用的方法,在某种程度上说比搞定一个灰鸽子的方法还要复杂。
2116bromgamed2m - 2006-5-18 18:21:00
这就是流氓软件的长处~
电脑白痴2006 - 2006-5-18 23:19:00
那个方法好麻烦哦!~~~
相对于大多数如我一般的菜鸟们,执行这个方法可能比看见木马更可怕呢~~~~~~~~
阿杜QQ - 2006-5-18 23:21:00
厉害》,我一会去下载一个中搜,看看他有多厉害!
miaosheng163 - 2006-6-15 11:58:00
呵呵。楼上的勇气可嘉。pfpf。
© 2000 - 2026 Rising Corp. Ltd.