【原創(chuàng)】Searchnet.exe (trojan-spy.agent.iw) 清除方法 （有更新）
最近霏凡論壇出現(xiàn)了一些網(wǎng)友反映電腦有一個叫Searchnet.exe的文件被殺軟報毒但是無法清除（Kaspersky定名為trojan-spy.agent.iw）。該程序位于C:\Program Files\Searchnet文件夾，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些變種的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32還有servehost.exe文件，并添加自身到系統(tǒng)服務為Remote Log。會修改系統(tǒng)設置使用戶無法顯示文件夾所有文件等。使用KILLBOX無法刪除這些文件。
清除的方法其實很簡單：開始，運行里面輸入"c:\program files\searchnet\uninstall.exe" （包含雙引號） 再按回車
以下內(nèi)容于12/25日更新：
苦于始終沒有樣本，無法安裝測試究竟為什么有些網(wǎng)友無法卸載。今天終于找到一篇文章，原來這個王八蛋程序叫中搜地址，提供的卸載程序是虛假的用來迷惑用戶的??！
青年論壇的Deadwoods網(wǎng)友詳細分析了，由于原帖圖片已經(jīng)失效，我將內(nèi)容稍微編輯一下轉(zhuǎn)過來：
今天卡巴斯基報告發(fā)現(xiàn)木馬 (12月19日）
最新版的金山毒霸和瑞星殺毒軟件都還不能識別此木馬。
以下是在裝有正版瑞星的機器上對該木馬進行了特征分析。
該木馬具有以下特征：自我隱藏，自我保護，自我恢復，網(wǎng)絡訪問，后臺升級，監(jiān)視用戶操作，無法徹底刪除。
一、隱藏文件
該木馬隱藏了Program File下的SearchNet文件夾和Drivers下的驅(qū)動文件。
資源管理器下沒有發(fā)現(xiàn)SearchNet文件夾
用IceSword能發(fā)現(xiàn)SearchNet文件夾
資源管理器下沒有發(fā)現(xiàn)其驅(qū)動文件
用IceSword發(fā)現(xiàn)三個驅(qū)動文件: FAD.sys Anfad.sys hProcess.sys
二、隱藏進程
該木馬隱藏了自己的兩個進程：SearchNet.exe 和 ServeHost.exe
任務管理器下沒有發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進程
用IceSword發(fā)現(xiàn)SearchNet.exe 和 ServeHost.exe進程
(IceSword自動用紅色將其顯示)
用IceSword查看內(nèi)核模塊（發(fā)現(xiàn)該木馬的底層驅(qū)動）
三、隱藏注冊表
該木馬隱藏了與其相關的所有注冊表項：
用Regedit無法查看其注冊表啟動項
用IceSword查看到 SearchNet_Up啟動項和FAD.sys，Anfad.sys，hProcess.sys驅(qū)動項
四、監(jiān)視用戶操作
該木馬，安裝了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE鉤子，監(jiān)視著用戶的一舉一動。
用IceSword能查看到SearchNet進程安裝的全局鉤子
五、自我保護，自我修復
該木馬采用驅(qū)動文件FAD.sys Anfad.sys hProcess.sys對其所有和注冊表進行了保護，甚至用IceSword都無法刪除！
六、網(wǎng)絡訪問與后臺升級
該木馬可通過悄悄訪問網(wǎng)絡，后臺升級，以保持其最新版本，躲過殺毒軟件的查殺。
七、卸載欺騙
該木馬提供一個虛假的卸載方式，來欺騙用戶。
用戶按其提供的虛假卸載方式，卸載后，控制面板內(nèi)就沒有中搜尋址卸載項了，但用IceSword查看，其文件和注冊表都原封不動的保存在原地，而且其驅(qū)動依然在保護著自己不被用戶發(fā)現(xiàn)，不被用戶刪除。也就是說，用戶根本無法刪除這個木馬！
八、病毒防治
1、查找
大家可以用IceSword工具來查看System32\Drivers文件夾下是否存在FAD.sys、Anfad.sys hProcess.sys 這三個驅(qū)動文件，以確定自己是否中了此木馬。
2、警惕
該木馬會通過以下軟件悄悄植入用戶機器：1、網(wǎng)絡豬 2、劃詞搜索 3、桌面媒體等，如果您的機器上有這些軟件,可要小心了！
3、刪除
目前，大部分殺毒軟件還不能查殺該木馬。由于該木馬在驅(qū)動級實行了隱藏和保護，在其悄悄工作時，最新版卡巴斯基也不能發(fā)現(xiàn)，只有當其暫停其保護功能試圖升級時，才會被發(fā)現(xiàn)，但也無法刪除其主要文件。
有多操作系統(tǒng)的用戶，可以通過引導到其它系統(tǒng)刪除此木馬的所有文件，徹底清除該木馬。
agiha附加建議
如果中了searchnet的毒，但是系統(tǒng)盤又不是FAT32格式，可以下載這個PE工具盤，然后刻錄到光盤后設置從光驅(qū)啟動，刪除searchnet的文件。
本光盤基于深山紅葉的PE光盤制作。添加了可以升級的mcafee掃描器，F(xiàn)-Prot掃描器，SPYBOT和AD-aware等修復工具。
使用前先啟動網(wǎng)絡。
下載連接：http://www.gubei.net/odin/winpe1.rar
另外替代產(chǎn)品，矮人DOS工具（提供者：軒轅8300）
下載連接 ：http://www.gubei.net/odin/dos.rar
矮人DOS的使用方法：
下載（廢話）
解壓縮（又是廢話）
點擊安裝（老大……）
安裝的時候選擇自定義，可以定義開機菜單停留的時間，默認是1妙，建議改到4妙，因為有部分普通顯示器開機時候顯示速度慢，因此可能會看不到啟動菜單。
然后是設置一個密碼，建議使用自己熟悉的密碼。然后就是一路點擊NEXT到結(jié)束。
重啟后會看到xp啟動菜單，前提是你設置了足夠的時間。在正常的XP啟動菜單條下面有多一個“我的DOS工具箱”，選擇這條即可。
選擇后會出現(xiàn)一個選擇菜單，請選擇從DOS啟動，然后輸入密碼。
之后會警告加載驅(qū)動程序，這里我們只需要NTFS分區(qū)得驅(qū)動，其他驅(qū)動就不要了。然后選擇啟動。
啟動的時候，注意留心NTFS的加載信息，通常來說，你原來的C盤，會變成D盤，其他以此類推。
現(xiàn)在，可以進去刪除那些不請自來的LJ文件了。
（憑記憶寫的，未必正確，有不對請PM我知）

最新評論