中搜流氓!
提醒:比3721还厉害的中搜--又一大网络毒瘤

如果你的电脑里有一个叫Searchnet.exe的文件,被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
    卡巴斯基报告发现木马
    最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
    该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级嗍佑没Р僮鳎薹ǔ沟咨境?
  一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项


四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

  1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

  3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
转自中关村在线.
早上刚看到这个帖子,十分钟后下了个软件就染上了.

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
这个贴子，是我在超级兔子上面转载的。。。我现在电脑已经感染”中搜“这个流氓软件，还有“百度”，百度最新的变异也是运用这个方式，根本删除不掉。安全模式也删除不掉，进入注册表，也没有办法删掉，你点击删除，注册表马上就无响应了！除非format。。。
我电脑里装太多东西了，不可能重装系统！我只有看以后有什么软件可以清除掉他！
各位大虾，有什么办法，能把最新的“百度”变异流氓软件删掉。。。小弟万分感谢。。。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
最新版本搜霸是12月21日发布了，使用了多种保护技术，现在没有工具能卸载它。用任何方法都不可能删除。。除非Format.大家以后下载软件的时候一定要小心。。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
顺便说一句卡巴斯基，0.388版本，发现不了这个病毒。0.390版本才能发现这个病毒，但是根本无法删除！

我不是说瑞星不好，现实是现在所有的防杀毒软件根本发现不了这个木马病毒。更别说杀掉了。

自己顶一下。。。。顺便说一句卡巴斯基，0.388版本，发现不了这个病毒。0.390版本才能发现这个病毒，但是根本无法删除！

～～～～～～～～～～～～～～～～～～
我不是说瑞星不好，现实是现在所有的防杀毒软件根本发现不了这个木马病毒。更别说杀掉了。

没有高手出来说话吗？

恶意软件清理助手不行吗？它有个dos工具的，到dos下面去杀。文件不容易删除吗？费尔强力杀除杀一下。既然icesword可以看到启动项，你把启动项禁止不就完了吗？你说的那个program下的文件夹看不到？你试试打开查看系统文件和显示隐藏文件试试。如果不行，既然你知道那个文件夹名字了，你试试这个dos命令，让它出来。
attrib -a -s -r -h 文件或目录名 /s/d
把它所有属性都去掉，看它出来不出来。