神武手游子女技能:求救! 我的电脑中木马了!!

Searchnet木马清除方法

Searchnet.exe程序名称：中搜地址
该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作。
一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的三个驱动文件: FAD.sys Anfad.sys hProcess.sys
二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：
用Regedit无法查看其注册表启动项
SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项
四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子
五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护
六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。
七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！
八、处理方法
1、停进程和相关服务
进程：SearchNet.exe 和 ServeHost.exe
禁用服务：remote log(ServeHost.exe的服务项)，这步是关键
2、重启进安全模式
删Program File下的SearchNet文件夹和Drivers下的三个驱动文件: FAD.sys Anfad.sys hProcess.sys
清除注册表中与searchnet相关项：SearchNet_Up启动项、FAD.sys，Anfad.sys，hProcess.sys驱动项、serveup.exe(升级文件)

ServeHost.exe感染Trojan.Spy.Agent.xx病毒无法彻底清除

作者： 瑞星客户服务中心 来源： 瑞星客户服务中心

知识库编号： RSV0602492
内容分类： 其他病毒

适用产品分类：瑞星杀毒软件.单机版.全部产品
关键词： ServeHost;Trojan.Spy.Agent.xx

瑞星杀毒软件检测到文件ServeHost.exe感染病毒Trojan.Spy.Agent.xx，处理状态为“重新启动计算机后删除文件”，但是重新启动后再查病毒仍然存在。

原因
该木马病毒具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，很难彻底删除。由于该病毒在驱动级实行了隐藏和保护，目前，大部分杀毒软件还不能彻底查杀该木马。

解决方案

方法一：有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
需要删除的文件有：
Program Files\SearchNet目录。

方法二：把感染病毒的硬盘挂接到其他正常的机器上作为为从盘，删除其中的病毒文件。
需要删除的文件有：
Program Files\SearchNet目录。

方法三：用户如果只安装了一个操作系统，可以这样处理，
1、进入该软件（中搜）的安装目录（C：\Program Files\SearchNet），找到卸载程序（类似uninstall.exe），运行后将该软件卸载。
2、删除该软件安装文件夹（SearchNet）中的所有文件，可能个别被占用的文件无法删除，请重新启动系统后再删除即可。

瑞星最新版杀毒，如果不行~！就在 安全模式下 RV杀~~~我一般遇到很难MAKE IT的病毒都这么办，而且都搞定了，也可以把病毒或者木马的代码复制到网上，也有很多人遇到过这种问题啊，你说是吗，如果有更好的办法不是更好~~
仔细想想嘛，为了电脑你还有更多的事情要做，有人帮你查毒查毒代码然后填补漏洞或者杀之，你不满足吗？现在学网络，不如学怎么更好地利用，要么视频学HACHER要么多看点相关资料，真的 我都是这么学习，希望你成功！

是吗？？杀了它不就完了！另外超级免子新版可杀！

你去瑞星主站找专杀这个病毒的补丁吧