【前言】
在这里再提出这个问题
其实是老调重弹
本次分析以WINXP系统为例
Rootkit.RegProt.a和Rootkit.FileProt.a
从病毒名称上看
杀软报的是rootkit--一种恶意木马
杀软报的是主要是以下两个驱动程序:
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
【分析】
其实这是机器中被强行安装中搜流氓软件的结果
C:\Program Files\SearchNet\是中搜流氓
其实
杀软过于夸大了该木马的严重性
【解决】
1、正常模式下用HIJACKTHIS修复如下两个BHO:
O2 - BHO: Zhongsou Browser Helper - {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\Program Files\SearchNet\SNHpr.dll
O2 - BHO: IE Browser Helper - {3CE496D1-1746-41CD-9489-3C0B93DF10E2} - C:\WINDOWS\Downloaded Program Files\IEHpr.dll
2、重启机器
开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE MODE"进入安全模式
3、开始--控制面板--性能和维护--管理工具--服务
禁用[Remote Lo / Remote Log]
4、开始--运行
输入regedit
确定
进入注册表
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除如下自启动项:
<SearchNet_Up> ["C:\Program Files\SearchNet\ServeUp.exe"]
展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
找到后删除Remote Log文件夹
5、运行searchnet目录中的uninstall,输入其验证码,则删除了该目录中的文件(除UNINSTALL外)
6、再删除uninstall,接着删除C:\Program Files\SearchNet\
7、删除如下文件:
C:\WINDOWS\system32\ServeHost.exe
C:\WINDOWS\system32\SeedServ.exe
C:\WINDOWS\Downloaded Program Files\IEHpr.dll
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys
(建议删除C:\WINDOWS\Downloaded Program Files\下的所有文件及文件夹)
8、重启回到正常模式,使用防毒软件对系统进行全盘扫描
【温馨提示】
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys
这三个文件是中搜流氓的驱动文件
一般是很难删除的
删除操作参考如下:
开机时按住F8<可以不停地按动F8>
选择“带命令行提示的安全模式”进入系统
attrib -s -h -r C:\WINDOWS\system32\drivers\Anfad.sys
del C:\WINDOWS\system32\drivers\Anfad.sys
attrib -s -h -r C:\WINDOWS\system32\drivers\fad.sys
del C:\WINDOWS\system32\drivers\fad.sys
attrib -s -h -r C:\WINDOWS\system32\drivers\hProcess.sys
del C:\WINDOWS\system32\drivers\hProcess.sys
