被这个流氓搞死了

以下是我在网上找到的，但是还是没法去处这个木马
最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。




一、隐藏文件
该木马隐藏P了Program File下的SearchNet文件夹和Drivers下的驱动文件。


图2-1：资源管理器下没有发现SearchNet文件夹



图2-2：用IceSword发现SearchNet文件夹



图2-3：资源管理器下没有发现其驱动文件



图2-4：用IceSword发现三个驱动文件: FAD.sys  Anfad.sys  hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe



图3-1：任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程


图3-2：用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)




图3-3：用IceSword查看内核模块（发现该木马的底层驱动）





三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：



图4-1：用Regedit查看注册表启动项




图4-2：用IceSword查看到 SearchNet_Up启动项



图4-3 用IceSword 查看到 FAD.sys驱动的注册表




图4-4 用IceSword 查看到 Anfad.sys驱动的注册表



图4-5 用IceSword 查看到 hProcess.sys驱动的注册表

四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。


图5-1：-用IceSword查看到SearchNet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件FAD.sys  Anfad.sys  hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
        该木马提供一个虚假的卸载方式，来欺骗用户。


图7-1：欺骗用户的虚假卸载

用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治
       
        1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。