【原創(chuàng)】Searchnet.exe (trojan-spy.agent.iw) 清除方法 （有更新）
最近霏凡論壇出現(xiàn)了一些網(wǎng)友反映電腦有一個(gè)叫Searchnet.exe的文件被殺軟報(bào)毒但是無(wú)法清除（Kaspersky定名為trojan-spy.agent.iw）。該程序位于C:\Program Files\Searchnet文件夾，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些變種的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32還有servehost.exe文件，并添加自身到系統(tǒng)服務(wù)為Remote Log。會(huì)修改系統(tǒng)設(shè)置使用戶無(wú)法顯示文件夾所有文件等。使用KILLBOX無(wú)法刪除這些文件。
清除的方法其實(shí)很簡(jiǎn)單：開(kāi)始，運(yùn)行里面輸入"c:\program files\searchnet\uninstall.exe" （包含雙引號(hào)） 再按回車(chē)
以下內(nèi)容于12/25日更新：
苦于始終沒(méi)有樣本，無(wú)法安裝測(cè)試究竟為什么有些網(wǎng)友無(wú)法卸載。今天終于找到一篇文章，原來(lái)這個(gè)王八蛋程序叫中搜地址，提供的卸載程序是虛假的用來(lái)迷惑用戶的??！
青年論壇的Deadwoods網(wǎng)友詳細(xì)分析了，由于原帖圖片已經(jīng)失效，我將內(nèi)容稍微編輯一下轉(zhuǎn)過(guò)來(lái)：
今天卡巴斯基報(bào)告發(fā)現(xiàn)木馬 (12月19日）
最新版的金山毒霸和瑞星殺毒軟件都還不能識(shí)別此木馬。
以下是在裝有正版瑞星的機(jī)器上對(duì)該木馬進(jìn)行了特征分析。
該木馬具有以下特征：自我隱藏，自我保護(hù)，自我恢復(fù)，網(wǎng)絡(luò)訪問(wèn)，后臺(tái)升級(jí)，監(jiān)視用戶操作，無(wú)法徹底刪除。
一、隱藏文件
該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動(dòng)文件。
資源管理器下沒(méi)有發(fā)現(xiàn)SearchNet文件夾
用IceSword能發(fā)現(xiàn)SearchNet文件夾
資源管理器下沒(méi)有發(fā)現(xiàn)其驅(qū)動(dòng)文件
用IceSword發(fā)現(xiàn)三個(gè)驅(qū)動(dòng)文件: FAD.sys Anfad.sys hProcess.sys
二、隱藏進(jìn)程
該木馬隱藏了自己的兩個(gè)進(jìn)程：SearchNet.exe 和 ServeHost.exe
任務(wù)管理器下沒(méi)有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進(jìn)程
用IceSword發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進(jìn)程
(IceSword自動(dòng)用紅色將其顯示)
用IceSword查看內(nèi)核模塊（發(fā)現(xiàn)該木馬的底層驅(qū)動(dòng)）
三、隱藏注冊(cè)表
該木馬隱藏了與其相關(guān)的所有注冊(cè)表項(xiàng)：
用Regedit無(wú)法查看其注冊(cè)表啟動(dòng)項(xiàng)
用IceSword查看到 SearchNet_Up啟動(dòng)項(xiàng)和FAD.sys，Anfad.sys，hProcess.sys驅(qū)動(dòng)項(xiàng)
四、監(jiān)視用戶操作
該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子，監(jiān)視著用戶的一舉一動(dòng)。
用IceSword能查看到SearchNet進(jìn)程安裝的全局鉤子
五、自我保護(hù)，自我修復(fù)
該木馬采用驅(qū)動(dòng)文件FAD.sys Anfad.sys hProcess.sys對(duì)其所有和注冊(cè)表進(jìn)行了保護(hù)，甚至用IceSword都無(wú)法刪除！
六、網(wǎng)絡(luò)訪問(wèn)與后臺(tái)升級(jí)
該木馬可通過(guò)悄悄訪問(wèn)網(wǎng)絡(luò)，后臺(tái)升級(jí)，以保持其最新版本，躲過(guò)殺毒軟件的查殺。
七、卸載欺騙
該木馬提供一個(gè)虛假的卸載方式，來(lái)欺騙用戶。
用戶按其提供的虛假卸載方式，卸載后，控制面板內(nèi)就沒(méi)有中搜尋址卸載項(xiàng)了，但用IceSword查看，其文件和注冊(cè)表都原封不動(dòng)的保存在原地，而且其驅(qū)動(dòng)依然在保護(hù)著自己不被用戶發(fā)現(xiàn)，不被用戶刪除。也就是說(shuō)，用戶根本無(wú)法刪除這個(gè)木馬！
八、病毒防治
1、查找
大家可以用IceSword工具來(lái)查看System32\Drivers文件夾下是否存在FAD.sys、Anfad.sys hProcess.sys 這三個(gè)驅(qū)動(dòng)文件，以確定自己是否中了此木馬。
2、警惕
該木馬會(huì)通過(guò)以下軟件悄悄植入用戶機(jī)器：1、網(wǎng)絡(luò)豬 2、劃詞搜索 3、桌面媒體等，如果您的機(jī)器上有這些軟件,可要小心了！
3、刪除
目前，大部分殺毒軟件還不能查殺該木馬。由于該木馬在驅(qū)動(dòng)級(jí)實(shí)行了隱藏和保護(hù)，在其悄悄工作時(shí)，最新版卡巴斯基也不能發(fā)現(xiàn)，只有當(dāng)其暫停其保護(hù)功能試圖升級(jí)時(shí)，才會(huì)被發(fā)現(xiàn)，但也無(wú)法刪除其主要文件。
有多操作系統(tǒng)的用戶，可以通過(guò)引導(dǎo)到其它系統(tǒng)刪除此木馬的所有文件，徹底清除該木馬。
agiha附加建議
如果中了searchnet的毒，但是系統(tǒng)盤(pán)又不是FAT32格式，可以下載這個(gè)PE工具盤(pán)，然后刻錄到光盤(pán)后設(shè)置從光驅(qū)啟動(dòng)，刪除searchnet的文件。
本光盤(pán)基于深山紅葉的PE光盤(pán)制作。添加了可以升級(jí)的mcafee掃描器，F(xiàn)-Prot掃描器，SPYBOT和AD-aware等修復(fù)工具。
使用前先啟動(dòng)網(wǎng)絡(luò)。
下載連接：http://www.gubei.net/odin/winpe1.rar
另外替代產(chǎn)品，矮人DOS工具（提供者：軒轅8300）
下載連接 ：http://www.gubei.net/odin/dos.rar
矮人DOS的使用方法：
下載（廢話）
解壓縮（又是廢話）
點(diǎn)擊安裝（老大……）
安裝的時(shí)候選擇自定義，可以定義開(kāi)機(jī)菜單停留的時(shí)間，默認(rèn)是1妙，建議改到4妙，因?yàn)橛胁糠制胀@示器開(kāi)機(jī)時(shí)候顯示速度慢，因此可能會(huì)看不到啟動(dòng)菜單。
然后是設(shè)置一個(gè)密碼，建議使用自己熟悉的密碼。然后就是一路點(diǎn)擊NEXT到結(jié)束。
重啟后會(huì)看到xp啟動(dòng)菜單，前提是你設(shè)置了足夠的時(shí)間。在正常的XP啟動(dòng)菜單條下面有多一個(gè)“我的DOS工具箱”，選擇這條即可。
選擇后會(huì)出現(xiàn)一個(gè)選擇菜單，請(qǐng)選擇從DOS啟動(dòng)，然后輸入密碼。
之后會(huì)警告加載驅(qū)動(dòng)程序，這里我們只需要NTFS分區(qū)得驅(qū)動(dòng)，其他驅(qū)動(dòng)就不要了。然后選擇啟動(dòng)。
啟動(dòng)的時(shí)候，注意留心NTFS的加載信息，通常來(lái)說(shuō)，你原來(lái)的C盤(pán)，會(huì)變成D盤(pán)，其他以此類(lèi)推。
現(xiàn)在，可以進(jìn)去刪除那些不請(qǐng)自來(lái)的LJ文件了。
（憑記憶寫(xiě)的，未必正確，有不對(duì)請(qǐng)PM我知）

最新評(píng)論