推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)
推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)
发布时间:2016-12-26 来源:查字典编辑
摘要:【原创】Searchnet.exe(trojan-spy.agent.iw)清除方法(有更新)最近霏凡论坛出现了一些网友反映电脑有一个叫Se...

【原创】Searchnet.exe(trojan-spy.agent.iw)清除方法(有更新)

最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:ProgramFilesSearchnet文件夹,里面有Searchnet.exeServerHost.exeserveup.exesrvnet32.dll等文件(某些变种的Searchnet.exe是在C:ProgramFiles下)。在C:WINDOWSSystem32还有servehost.exe文件,并添加自身到系统服务为RemoteLog。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。

清除的方法其实很简单:开始,运行里面输入"c:programfilessearchnetuninstall.exe"(包含双引号)再按回车

以下内容于12/25日更新:

苦于始终没有样本,无法安装测试究竟为什么有些网友无法卸载。今天终于找到一篇文章,原来这个王八蛋程序叫中搜地址,提供的卸载程序是虚假的用来迷惑用户的!!

青年论坛的Deadwoods网友详细分析了,由于原帖图片已经失效,我将内容稍微编辑一下转过来:

今天卡巴斯基报告发现木马(12月19日)

最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。

一、隐藏文件

该木马隐藏了ProgramFile下的SearchNet文件夹和Drivers下的驱动文件。

资源管理器下没有发现SearchNet文件夹

用IceSword能发现SearchNet文件夹

资源管理器下没有发现其驱动文件

用IceSword发现三个驱动文件:FAD.sysAnfad.syshProcess.sys

二、隐藏进程

该木马隐藏了自己的两个进程:SearchNet.exe和ServeHost.exe

任务管理器下没有发现SearchNet.exe和ServeHost.exe进程

用IceSword发现SearchNet.exe和ServeHost.exe进程

(IceSword自动用红色将其显示)

用IceSword查看内核模块(发现该木马的底层驱动)

三、隐藏注册表

该木马隐藏了与其相关的所有注册表项:

用Regedit无法查看其注册表启动项

用IceSword查看到SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项

四、监视用户操作

该木马,安装了WH_MSGFILTERWH_KEYBOARD_LLWH_MOUSE钩子,监视着用户的一举一动。

用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护,自我修复

该木马采用驱动文件FAD.sysAnfad.syshProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!

六、网络访问与后台升级

该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。

七、卸载欺骗

该木马提供一个虚假的卸载方式,来欺骗用户。

用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!

八、病毒防治

1、查找

大家可以用IceSword工具来查看System32Drivers文件夹下是否存在FAD.sys、Anfad.syshProcess.sys这三个驱动文件,以确定自己是否中了此木马。

2、警惕

该木马会通过以下软件悄悄植入用户机器:1、网络猪2、划词搜索3、桌面媒体等,如果您的机器上有这些软件,可要小心了!

3、删除

目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。

有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。

agiha附加建议

如果中了searchnet的毒,但是系统盘又不是FAT32格式,可以下载这个PE工具盘,然后刻录到光盘后设置从光驱启动,删除searchnet的文件。

本光盘基于深山红叶的PE光盘制作。添加了可以升级的mcafee扫描器,F-Prot扫描器,SPYBOT和AD-aware等修复工具。

使用前先启动网络。

下载连接:http://www.gubei.net/odin/winpe1.rar

另外替代产品,矮人DOS工具(提供者:轩辕8300)

下载连接:http://www.gubei.net/odin/dos.rar

矮人DOS的使用方法:

下载(废话)

解压缩(又是废话)

点击安装(老大……)

安装的时候选择自定义,可以定义开机菜单停留的时间,默认是1妙,建议改到4妙,因为有部分普通显示器开机时候显示速度慢,因此可能会看不到启动菜单。

然后是设置一个密码,建议使用自己熟悉的密码。然后就是一路点击NEXT到结束。

重启后会看到xp启动菜单,前提是你设置了足够的时间。在正常的XP启动菜单条下面有多一个“我的DOS工具箱”,选择这条即可。

选择后会出现一个选择菜单,请选择从DOS启动,然后输入密码。

之后会警告加载驱动程序,这里我们只需要NTFS分区得驱动,其他驱动就不要了。然后选择启动。

启动的时候,注意留心NTFS的加载信息,通常来说,你原来的C盘,会变成D盘,其他以此类推。

现在,可以进去删除那些不请自来的LJ文件了。

(凭记忆写的,未必正确,有不对请PM我知)

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类