河北搜才网石家庄:我中了win-trojan/xema.53248,杀不掉啊!

来源:百度文库 编辑:神马品牌网 时间:2024/03/29 13:26:38
帮帮我啊,谢谢!

如果你的电脑里有一个叫Searchnet.exe的文件,被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\Program Files\下)。在C:\WINDOWS\System32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
卡巴斯基报告发现木马
最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。
一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块(发现该木马的底层驱动)

三、隐藏注册表
该木马隐藏了与其相关的所有注册表项:

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项

四、监视用户操作
该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护,自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!

六、网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。

七、卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。
用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!

八、病毒防治

1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了!

3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。
有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。或者把硬盘挂到别的机器上也可以。

删除这个文件下的所有文件

C:\Program Files\Searchnet
最好进入安全模式杀毒试试