[病毒查杀] [转帖]Searchnet.exe (trojan-spy.agent.iw) 清除方法 文件夹, 程序, windows, 霏凡论坛, files

最近霏凡论坛出现了一些网友反映电脑有一个叫searchnet.exe的文件被杀软报毒但是无法清除（kaspersky定名为trojan-spy.agent.iw）。该程序位于c:\program files\searchnet文件夹，里面有searchnet.exe serverhost.exe serveup.exe srvnet32.dll等文件（某些变种的searchnet.exe是在c:\program files\下）。在c:\windows\system32还有servehost.exe文件，并添加自身到系统服务为remote log。最近还发现除了通过服务加载后，还会通过注册表的run键加载，o4 - hklm\..\run: [searchnet_up] "c:\program files\searchnet\serveup.exe"
还会修改系统设置使用户无法显示文件夹所有文件等。使用killbox无法删除这些文件。经过霏凡bon jovi版主的研究终于发现该lj程序是用户在不注意安装了网络猪广告程序后，由它在后台自动联网下载并安装在用户电脑的，所以大家安装软件一定要小心小心再小心！

清除方法（因为该程序在不停的升级中，故本方法不一定对所有情况都有效，）：开始，运行里输入regedit然后按回车，启动注册表编辑器。展开以下内容hklm\system\currentcontrolset\services
然后删除里面的fad，anfad，hprocess，remote log。删除后重启电脑，删除c:\program files\searchnet文件夹，以及
c:\windows\system32\drivers\anfad.sys   
c:\windows\system32\drivers\fad.sys
c:\windows\system32\drivers\hprocess.sys   
c:\windows\system32\servehost.exe文件。


（searchnet程序介绍）：
searchnet这个程序是中搜地址，大陆著名的流氓广告软件公司。它提供的卸载程序是虚假的用来迷惑用户的！！
青年论坛的deadwoods网友详细分析了，由于原帖图片已经失效，我将内容稍微编辑一下转过来：

今天卡巴斯基报告发现木马 (12月19日）


最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。




一、隐藏文件
该木马隐藏了program file下的searchnet文件夹和drivers下的驱动文件。
资源管理器下没有发现searchnet文件夹
用icesword能发现searchnet文件夹
资源管理器下没有发现其驱动文件
用icesword发现三个驱动文件: fad.sys anfad.sys hprocess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：searchnet.exe 和 servehost.exe
任务管理器下没有发现searchnet.exe 和 servehost.exe进程
用icesword发现searchnet.exe 和 servehost.exe进程
(icesword自动用红色将其显示)
用icesword查看内核模块（发现该木马的底层驱动）


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用regedit无法查看其注册表启动项

用icesword查看到 searchnet_up启动项和fad.sys，anfad.sys，hprocess.sys驱动项


四、监视用户操作
该木马，安装了wh_msgfilter wh_keyboard_ll wh_mouse钩子，监视着用户的一举一动。
用icesword能查看到searchnet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件fad.sys anfad.sys hprocess.sys对其所有和注册表进行了保护，甚至用icesword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用icesword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

    1、查找
大家可以用icesword工具来查看system32\drivers文件夹下是否存在fad.sys、anfad.sys hprocess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

    3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。

这些病毒太流氓了.