柘荣县人民政府网:system32

一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys
二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）

三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：
用Regedit无法查看其注册表启动项
用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项

四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！

六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。

七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

清除办法:

用能启动的光盘或U盘,软盘,启动到DOS状态或有多系统的朋友从另一个系统启动.
1.删除ProgramFile下的SearchNet文件夹(
2.删除WINDOWS\system32\drivers下的驱动文件:FAD.sys Anfad.sys hProcess.sys (有隐藏属性)
3.删除WINDOWS\system32\下的servehost.exe
4.然后启动进入系统,进入服务管理停止Remote Log C:\WINDOWS\system32\ServeHost.exe 这一服务
5.进入注册表清除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SearchNet_Up] "C:\Program Files\SearchNet\ServeUp.exe"
6.在注册表中删除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services里的FAD，Anfad，hProcess，Remote Log这几项.
至此此病毒清除.
注:DOS下如果不能看到隐藏的文件用命令DIR /A
去掉隐藏,只读,系统属性用命令ATTRIB *.* -R -S -H....