Searchnet.exe (trojan-spy.agent.iw) 清除方法（有更新）

psac · 2006-03-15, 08:58 PM

Searchnet.exe (trojan-spy.agent.iw) 清除方法（有更新）

最近霏凡論壇出現了一些網友反映電腦有一個叫Searchnet.exe的文件被殺毒軟體報毒但是無法清除（Kaspersky定名為trojan-spy.agent.iw）。該程序位於C:\Program Files\Searchnet資料夾，裡面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些變種的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32還有servehost.exe文件，並增加自身到系統服務為Remote Log。最近還發現除了通過服務載入後，還會通過註冊表的RUN鍵載入，O4 - HKLM\..\Run: [SearchNet_Up] "C:\Program Files\SearchNet\ServeUp.exe"
還會修改系統設定使用戶無法顯示資料夾所有文件等。使用KILLBOX無法移除這些文件。經過霏凡Bon Jovi版主的研究終於發現該LJ程序是用戶在不注意安裝了網路豬廣告程序後，由它在後台自動連網下載並安裝在用戶電腦的，所以大家安裝軟體一定要小心小心再小心！

清除方法（因為該程序在不停的昇級中，故本方法不一定對所有情況都有效，）：在安全模式下點開始，在執行裡輸入REGEDIT然後按Enter鍵，啟動註冊表編輯器。展開以下內容HKLM\System\CurrentControlSet\Services
然後移除裡面的FAD，Anfad，hProcess，Remote Log。移除後重啟電腦，移除C:\Program Files\SearchNet資料夾，以及
C:\WINDOWS\System32\drivers\Anfad.sys
C:\WINDOWS\System32\drivers\FAD.sys
C:\WINDOWS\System32\drivers\hProcess.sys
C:\WINDOWS\System32\ServeHost.exe文件。

（SearchNet程序介紹）：
SearchNet這個程序是中搜位址，大陸著名的流氓廣告軟體公司。它提供的卸載程序是虛假的用來迷惑用戶的！！
青年論壇的Deadwoods網友詳細分析了，由於原帖圖片已經失效，我將內容稍微編輯一下轉過來：

今天卡巴斯基報告發現木馬 (12月19日）

最新版的金山毒霸和瑞星殺毒軟體都還不能識別此木馬。

以下是在裝有正版瑞星的電腦上對該木馬進行了特徵分析。

該木馬具有以下特徵：自我隱藏，自我保護，自我恢復，網路訪問，後台昇級，監視用戶操作，無法徹底移除。

一、隱藏文件
該木馬隱藏了Program File下的SearchNet資料夾和Drivers下的驅動文件。
檔案總管下沒有發現SearchNet資料夾
用IceSword能發現SearchNet資料夾
檔案總管下沒有發現其驅動文件
用IceSword發現三個驅動文件: FAD.sys Anfad.sys hProcess.sys

二、隱藏工作
該木馬隱藏了自己的兩個工作：SearchNet.exe 和 ServeHost.exe
工作管理器下沒有發現SearchNet.exe 和 ServeHost.exe工作
用IceSword發現SearchNet.exe 和 ServeHost.exe工作
(IceSword自動用紅色將其顯示)
用IceSword檢視內核模組（發現該木馬的底層驅動）

三、隱藏註冊表
該木馬隱藏了與其相關的所有註冊表項：

用Regedit無法檢視其註冊表啟動項

用IceSword檢視到 SearchNet_Up啟動項和FAD.sys，Anfad.sys，hProcess.sys驅動項

四、監視用戶操作
該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE引上鉤，監視著用戶的一舉一動。
用IceSword能檢視到SearchNet工作安裝的全局引上鉤

五、自我保護，自我修復
該木馬採用驅動文件FAD.sys Anfad.sys hProcess.sys對其所有和註冊表進行了保護，甚至用IceSword都無法移除！

六、網路訪問與後台昇級
該木馬可通過悄悄訪問網路，後台昇級，以保持其最新版本，躲過殺毒軟體的查殺。

七、卸載欺騙
該木馬提供一個虛假的卸載方式，來欺騙用戶。
用戶按其提供的虛假卸載方式，卸載後，控制台內就沒有中搜尋址卸載項了，但用IceSword檢視，其文件和註冊表都原封不動的儲存在原地，而且其驅動依然在保護著自己不被用戶發現，不被用戶移除。也就是說，用戶根本無法移除這個木馬！

八、病毒防治

1、尋找
大家可以用IceSword工具來檢視System32\Drivers資料夾下是否存在FAD.sys、Anfad.sys hProcess.sys 這三個驅動文件，以確定自己是否中了此木馬。

2、警惕
該木馬會通過以下軟體悄悄植入用戶機器：1、網路豬 2、劃詞搜尋 3、桌面媒體等，如果您的電腦上有這些軟體,可要小心了！

3、移除
目前，大部分殺毒軟體還不能查殺該木馬。由於該木馬在驅動級實行了隱藏和保護，在其悄悄工作時，最新版卡巴斯基也不能發現，只有當其暫停其保護功能試圖昇級時，才會被發現，但也無法移除其主要文件。
有多作業系統的用戶，可以通過啟始到其它系統移除此木馬的所有文件，徹底清除該木馬。

2006-03-15, 08:58 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Searchnet.exe (trojan-spy.agent.iw) 清除方法（有更新） Searchnet.exe (trojan-spy.agent.iw) 清除方法（有更新）最近霏凡論壇出現了一些網友反映電腦有一個叫Searchnet.exe的文件被殺毒軟體報毒但是無法清除（Kaspersky定名為trojan-spy.agent.iw）。該程序位於C:\Program Files\Searchnet資料夾，裡面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些變種的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32還有servehost.exe文件，並增加自身到系統服務為Remote Log。最近還發現除了通過服務載入後，還會通過註冊表的RUN鍵載入，O4 - HKLM\..\Run: [SearchNet_Up] "C:\Program Files\SearchNet\ServeUp.exe" 還會修改系統設定使用戶無法顯示資料夾所有文件等。使用KILLBOX無法移除這些文件。經過霏凡Bon Jovi版主的研究終於發現該LJ程序是用戶在不注意安裝了網路豬廣告程序後，由它在後台自動連網下載並安裝在用戶電腦的，所以大家安裝軟體一定要小心小心再小心！清除方法（因為該程序在不停的昇級中，故本方法不一定對所有情況都有效，）：在安全模式下點開始，在執行裡輸入REGEDIT然後按Enter鍵，啟動註冊表編輯器。展開以下內容HKLM\System\CurrentControlSet\Services 然後移除裡面的FAD，Anfad，hProcess，Remote Log。移除後重啟電腦，移除C:\Program Files\SearchNet資料夾，以及 C:\WINDOWS\System32\drivers\Anfad.sys C:\WINDOWS\System32\drivers\FAD.sys C:\WINDOWS\System32\drivers\hProcess.sys C:\WINDOWS\System32\ServeHost.exe文件。（SearchNet程序介紹）： SearchNet這個程序是中搜位址，大陸著名的流氓廣告軟體公司。它提供的卸載程序是虛假的用來迷惑用戶的！！青年論壇的Deadwoods網友詳細分析了，由於原帖圖片已經失效，我將內容稍微編輯一下轉過來：今天卡巴斯基報告發現木馬 (12月19日）最新版的金山毒霸和瑞星殺毒軟體都還不能識別此木馬。以下是在裝有正版瑞星的電腦上對該木馬進行了特徵分析。該木馬具有以下特徵：自我隱藏，自我保護，自我恢復，網路訪問，後台昇級，監視用戶操作，無法徹底移除。一、隱藏文件該木馬隱藏了Program File下的SearchNet資料夾和Drivers下的驅動文件。檔案總管下沒有發現SearchNet資料夾用IceSword能發現SearchNet資料夾檔案總管下沒有發現其驅動文件用IceSword發現三個驅動文件: FAD.sys Anfad.sys hProcess.sys 二、隱藏工作該木馬隱藏了自己的兩個工作：SearchNet.exe 和 ServeHost.exe 工作管理器下沒有發現SearchNet.exe 和 ServeHost.exe工作用IceSword發現SearchNet.exe 和 ServeHost.exe工作 (IceSword自動用紅色將其顯示) 用IceSword檢視內核模組（發現該木馬的底層驅動）三、隱藏註冊表該木馬隱藏了與其相關的所有註冊表項：用Regedit無法檢視其註冊表啟動項用IceSword檢視到 SearchNet_Up啟動項和FAD.sys，Anfad.sys，hProcess.sys驅動項四、監視用戶操作該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE引上鉤，監視著用戶的一舉一動。用IceSword能檢視到SearchNet工作安裝的全局引上鉤五、自我保護，自我修復該木馬採用驅動文件FAD.sys Anfad.sys hProcess.sys對其所有和註冊表進行了保護，甚至用IceSword都無法移除！六、網路訪問與後台昇級該木馬可通過悄悄訪問網路，後台昇級，以保持其最新版本，躲過殺毒軟體的查殺。七、卸載欺騙該木馬提供一個虛假的卸載方式，來欺騙用戶。用戶按其提供的虛假卸載方式，卸載後，控制台內就沒有中搜尋址卸載項了，但用IceSword檢視，其文件和註冊表都原封不動的儲存在原地，而且其驅動依然在保護著自己不被用戶發現，不被用戶移除。也就是說，用戶根本無法移除這個木馬！八、病毒防治 1、尋找大家可以用IceSword工具來檢視System32\Drivers資料夾下是否存在FAD.sys、Anfad.sys hProcess.sys 這三個驅動文件，以確定自己是否中了此木馬。 2、警惕該木馬會通過以下軟體悄悄植入用戶機器：1、網路豬 2、劃詞搜尋 3、桌面媒體等，如果您的電腦上有這些軟體,可要小心了！ 3、移除目前，大部分殺毒軟體還不能查殺該木馬。由於該木馬在驅動級實行了隱藏和保護，在其悄悄工作時，最新版卡巴斯基也不能發現，只有當其暫停其保護功能試圖昇級時，才會被發現，但也無法移除其主要文件。有多作業系統的用戶，可以通過啟始到其它系統移除此木馬的所有文件，徹底清除該木馬。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告