逐梦论坛's Archiver

shillan 发表于 2006-2-25 07:25

[转帖]Searchnet.exe (trojan-spy.agent.iw) 清除方法

最近霏凡论坛出现了一些网友反映电脑有一个叫searchnet.exe的文件被杀软报毒但是无法清除(kaspersky定名为trojan-spy.agent.iw)。该程序位于c:\program files\searchnet文件夹,里面有searchnet.exe serverhost.exe serveup.exe srvnet32.dll等文件(某些变种的searchnet.exe是在c:\program files\下)。在c:\windows\system32还有servehost.exe文件,并添加自身到系统服务为remote log。最近还发现除了通过服务加载后,还会通过注册表的run键加载,o4 - hklm\..\run: [searchnet_up] "c:\program files\searchnet\serveup.exe"
还会修改系统设置使用户无法显示文件夹所有文件等。使用killbox无法删除这些文件。经过霏凡bon jovi版主的研究终于发现该lj程序是用户在不注意安装了网络猪广告程序后,由它在后台自动联网下载并安装在用户电脑的,所以大家安装软件一定要小心小心再小心!

清除方法(因为该程序在不停的升级中,故本方法不一定对所有情况都有效,):开始,运行里输入regedit然后按回车,启动注册表编辑器。展开以下内容hklm\system\currentcontrolset\services
然后删除里面的fad,anfad,hprocess,remote log。删除后重启电脑,删除c:\program files\searchnet文件夹,以及
c:\windows\system32\drivers\anfad.sys   
c:\windows\system32\drivers\fad.sys
c:\windows\system32\drivers\hprocess.sys   
c:\windows\system32\servehost.exe文件。


(searchnet程序介绍):
searchnet这个程序是中搜地址,大陆著名的流氓广告软件公司。它提供的卸载程序是虚假的用来迷惑用户的!!
青年论坛的deadwoods网友详细分析了,由于原帖图片已经失效,我将内容稍微编辑一下转过来:

今天卡巴斯基报告发现木马 (12月19日)


最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。




一、隐藏文件
该木马隐藏了program file下的searchnet文件夹和drivers下的驱动文件。
资源管理器下没有发现searchnet文件夹
用icesword能发现searchnet文件夹
资源管理器下没有发现其驱动文件
用icesword发现三个驱动文件: fad.sys anfad.sys hprocess.sys

二、隐藏进程
该木马隐藏了自己的两个进程:searchnet.exe 和 servehost.exe
任务管理器下没有发现searchnet.exe 和 servehost.exe进程
用icesword发现searchnet.exe 和 servehost.exe进程
(icesword自动用红色将其显示)
用icesword查看内核模块(发现该木马的底层驱动)


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项:

用regedit无法查看其注册表启动项

用icesword查看到 searchnet_up启动项和fad.sys,anfad.sys,hprocess.sys驱动项


四、监视用户操作
该木马,安装了wh_msgfilter wh_keyboard_ll wh_mouse钩子,监视着用户的一举一动。
用icesword能查看到searchnet进程安装的全局钩子


五、自我保护,自我修复
该木马采用驱动文件fad.sys anfad.sys hprocess.sys对其所有和注册表进行了保护,甚至用icesword都无法删除!


六、网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。
用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用icesword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!

八、病毒防治

    1、查找
大家可以用icesword工具来查看system32\drivers文件夹下是否存在fad.sys、anfad.sys hprocess.sys 这三个驱动文件,以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了!

    3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。
有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。

傻子 发表于 2006-4-7 13:41

这些病毒太流氓了.

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.