推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)

【原创】Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)
最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\Program Files\下)。在C:\WINDOWS\System32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
清除的方法其实很简单:开始,运行里面输入"c:\program files\searchnet\uninstall.exe" (包含双引号) 再按回车
以下内容于12/25日更新:
苦于始终没有样本,无法安装测试究竟为什么有些网友无法卸载。今天终于找到一篇文章,原来这个王八蛋程序叫中搜地址,提供的卸载程序是虚假的用来迷惑用户的!!
青年论坛的Deadwoods网友详细分析了,由于原帖图片已经失效,我将内容稍微编辑一下转过来:
今天卡巴斯基报告发现木马 (12月19日)
最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
以下是在装有正版瑞星的机器上对该木马进行了特征分析。
该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。
一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys
二、隐藏进程
该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块(发现该木马的底层驱动)
三、隐藏注册表
该木马隐藏了与其相关的所有注册表项:
用Regedit无法查看其注册表启动项
用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项
四、监视用户操作
该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子
五、自我保护,自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!
六、网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。
七、卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。
用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!
八、病毒防治
1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。
2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了!
3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。
有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。
agiha附加建议
如果中了searchnet的毒,但是系统盘又不是FAT32格式,可以下载这个PE工具盘,然后刻录到光盘后设置从光驱启动,删除searchnet的文件。
本光盘基于深山红叶的PE光盘制作。添加了可以升级的mcafee扫描器,F-Prot扫描器,SPYBOT和AD-aware等修复工具。
使用前先启动网络。
下载连接:http://www.gubei.net/odin/winpe1.rar
另外替代产品,矮人DOS工具(提供者:轩辕8300)
下载连接 :http://www.gubei.net/odin/dos.rar
矮人DOS的使用方法:
下载(废话)
解压缩(又是废话)
点击安装(老大……)
安装的时候选择自定义,可以定义开机菜单停留的时间,默认是1妙,建议改到4妙,因为有部分普通显示器开机时候显示速度慢,因此可能会看不到启动菜单。
然后是设置一个密码,建议使用自己熟悉的密码。然后就是一路点击NEXT到结束。
重启后会看到xp启动菜单,前提是你设置了足够的时间。在正常的XP启动菜单条下面有多一个“我的DOS工具箱”,选择这条即可。
选择后会出现一个选择菜单,请选择从DOS启动,然后输入密码。
之后会警告加载驱动程序,这里我们只需要NTFS分区得驱动,其他驱动就不要了。然后选择启动。
启动的时候,注意留心NTFS的加载信息,通常来说,你原来的C盘,会变成D盘,其他以此类推。
现在,可以进去删除那些不请自来的LJ文件了。
(凭记忆写的,未必正确,有不对请PM我知)

(0)

相关推荐

  • 推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)

    [原创]Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新) 最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw).该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:

  • 各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

    病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

  • 木马程序Trojan-Spy.Win32.Agent.cfu清除方法

    木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注

  • 不用kavo.exe专杀手工即可清除方法

    文件名称:kavo.exe 文件大小:116464 bytes AV命名: Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky) Trojan.PSW.Win32.GameOL.lor(Rising) Worm/AutoRun.Y(AVG) 编写语言:delphi 文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d 病毒类型:盗号木马 行为分析: 1.  释放病毒文件: C:\WINDOWS\system32\kavo.exe  113

  • SysLoad3.exe木马病毒的分析及清除方法

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • 常见木马的手工清除方法

    常见木马的手工清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除

  • 104种木马手工清除方法

    1. 冰河v1.1 v2.2 冰河是国产最好的木马 清除木马v1.1 打开注册表Regedit 热点网络 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径,并删除 " C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除C

  • IRC后门病毒及手动清除方法

    2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

  • MY123病毒清除方法,专杀工具下载

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • Java使用agent实现main方法之前的实例详解

    Java使用agent实现main方法之前的实例详解 创建Agent项目 PreMainExecutor 类,在main方法之前执行此方法 public class PreMainExecutor { public static void premain(String agentOps, Instrumentation inst){ System.out.println("premain execute.........."); } } META-INF/MANIFEST.MF Man

随机推荐