【原创】Searchnet.exe(trojan-spy.agent.iw)清除方法(有更新)
最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:ProgramFilesSearchnet文件夹,里面有Searchnet.exeServerHost.exeserveup.exesrvnet32.dll等文件(某些变种的Searchnet.exe是在C:ProgramFiles下)。在C:WINDOWSSystem32还有servehost.exe文件,并添加自身到系统服务为RemoteLog。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
清除的方法其实很简单:开始,运行里面输入"c:programfilessearchnetuninstall.exe"(包含双引号)再按回车
以下内容于12/25日更新:
苦于始终没有样本,无法安装测试究竟为什么有些网友无法卸载。今天终于找到一篇文章,原来这个王八蛋程序叫中搜地址,提供的卸载程序是虚假的用来迷惑用户的!!
青年论坛的Deadwoods网友详细分析了,由于原帖图片已经失效,我将内容稍微编辑一下转过来:
今天卡巴斯基报告发现木马(12月19日)
最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
以下是在装有正版瑞星的机器上对该木马进行了特征分析。
该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。
一、隐藏文件
该木马隐藏了ProgramFile下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件:FAD.sysAnfad.syshProcess.sys
二、隐藏进程
该木马隐藏了自己的两个进程:SearchNet.exe和ServeHost.exe
任务管理器下没有发现SearchNet.exe和ServeHost.exe进程
用IceSword发现SearchNet.exe和ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块(发现该木马的底层驱动)
三、隐藏注册表
该木马隐藏了与其相关的所有注册表项:
用Regedit无法查看其注册表启动项
用IceSword查看到SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项
四、监视用户操作
该木马,安装了WH_MSGFILTERWH_KEYBOARD_LLWH_MOUSE钩子,监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子
五、自我保护,自我修复
该木马采用驱动文件FAD.sysAnfad.syshProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!
六、网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。
七、卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。
用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!
八、病毒防治
1、查找
大家可以用IceSword工具来查看System32Drivers文件夹下是否存在FAD.sys、Anfad.syshProcess.sys这三个驱动文件,以确定自己是否中了此木马。
2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪2、划词搜索3、桌面媒体等,如果您的机器上有这些软件,可要小心了!
3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。
有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。
agiha附加建议
如果中了searchnet的毒,但是系统盘又不是FAT32格式,可以下载这个PE工具盘,然后刻录到光盘后设置从光驱启动,删除searchnet的文件。
本光盘基于深山红叶的PE光盘制作。添加了可以升级的mcafee扫描器,F-Prot扫描器,SPYBOT和AD-aware等修复工具。
使用前先启动网络。
下载连接:http://www.gubei.net/odin/winpe1.rar
另外替代产品,矮人DOS工具(提供者:轩辕8300)
下载连接:http://www.gubei.net/odin/dos.rar
矮人DOS的使用方法:
下载(废话)
解压缩(又是废话)
点击安装(老大……)
安装的时候选择自定义,可以定义开机菜单停留的时间,默认是1妙,建议改到4妙,因为有部分普通显示器开机时候显示速度慢,因此可能会看不到启动菜单。
然后是设置一个密码,建议使用自己熟悉的密码。然后就是一路点击NEXT到结束。
重启后会看到xp启动菜单,前提是你设置了足够的时间。在正常的XP启动菜单条下面有多一个“我的DOS工具箱”,选择这条即可。
选择后会出现一个选择菜单,请选择从DOS启动,然后输入密码。
之后会警告加载驱动程序,这里我们只需要NTFS分区得驱动,其他驱动就不要了。然后选择启动。
启动的时候,注意留心NTFS的加载信息,通常来说,你原来的C盘,会变成D盘,其他以此类推。
现在,可以进去删除那些不请自来的LJ文件了。
(凭记忆写的,未必正确,有不对请PM我知)