RT

搜集方法一：

中搜在线网络猪~~我是这样干掉它的

先准备一个任意WINDOWS XP安装盘

昨天被强装了中搜在线网络猪.....偶的卡巴斯基不停尖叫：“发现病毒”.....具体情况中过网络猪的人都知道，偶在删除失败N次之后做了一次BT的尝试........首先进入断开网络的安全模式.....用IceSword删除网络猪等软件，删除相关文件，然后进入注册表删除启动项，接着进入C:\WINDOWS\system32\drivers,删除afd.sys文件.......重启......进入正常模式后会发现XP无法正常接入网络，而网络猪也已经不见了...........然后找一个任意WINDOWS XP安装盘，从安装盘里寻找afd.sy_文件，更改文件名为afd.sys，复制到C:\WINDOWS\system32\drivers....重启.......然后一切正常了....     

http://www.anti-vir.cn/bbs/read.php?tid=2711&fpage=1

您好！我在动物家园论坛(http://www.kingzoo.com/bbs?u=112)
看到了这篇帖子，认为很有价值，特推荐给您。

作者：jmk
地址:http://www.kingzoo.com/bbs/read.php?tid=2014&u=112

希望您能喜欢。

这个名字有点熟悉，看像是恶邮差（也叫安哥）病毒，
一般的话呢,可以这样先操作:
第一种,自带删除
1.从新启动电脑，在启动时按F8，选安全模式，登陆后看能否删除。
2.开始运行窗口中输入：
c:\Program Files\searchNet\uninstall.exe
然后输入6位随机号码。确定，呵呵。就卸载了。。

第二种,文件删除法
1、开始运行中输入cmd、
2、然后依次用dos命令进入c:\Program Files\searchNet\
你会看到卸载剩下的两个文件。uninstall.exe和searchNet.dll呵呵。用del命令删除他。
3、运行regedit，删除以下几个键值：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run 下的searchNet.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer，删除PINF这个键即可～

关于中搜的Searchnet文件夹的删除

在本版块有关于这个病毒的帖子:
http://www.anti-vir.cn/bbs/read.php?tid=2587&fpage=1
但是出现了一个情况,就是这个病毒一些症状完全消失,比如服务项已经清除,相关的驱动文件也不存在,相关的进程在IceSword里面也找不到.而该文件夹和文件夹中的部分文件却无法删除,hijackthis和SRENG日志都正常,切其中的文件没有被任何进程调用.个人认为,这个searchnet只是一具残骸而已了.
开始本人也想过很多办法来删除它,结果都失败了.
后来在纯DOS下将其删除了(WINODWS的CMD无法完成).方法如下:
用一张DOS引导盘启动计算机：
进到searchnet的目录下(用CD 命令完成,如何使用该命令在百度里面搜一下就知道)
输入:attrib *.* -s -h -r  回车(注意是4个空格!)
    del *.*  出现提示的时候选择 Y(注意是1个空格!)
这样就将searchnet文件夹里的内容全部删除.
然后回到searchnet所在目录(一般为Program files,直接输入 cd.. 命令就行了)删除该文件夹:
输入:rd search~1
这样该文件夹就彻底删除了.
我用此方法删除了朋友电脑上的这个文件夹,希望也能解决大家的问题.

由于测试的时候发现在CMD下无法完成此操作,所以批处理文件需要改进下,晚点会传上来..
http://www.anti-vir.cn/bbs/k2741.html

http://www.anti-vir.cn/bbs/read.php?tid=2587&fpage=1

最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。

清除的方法其实很简单：开始，运行里面输入c:\program files\searchnet\uninstall.exe 再按回车

以下内容于12/25日更新：
苦于始终没有样本，无法安装测试究竟为什么有些网友无法卸载。今天终于找到一篇文章，原来这个王八蛋程序叫中搜地址，提供的卸载程序是虚假的用来迷惑用户的！！
青年论坛的Deadwoods网友详细分析了，由于原帖图片已经失效，我将内容稍微编辑一下转过来：

今天卡巴斯基报告发现木马 (12月19日）


最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。




一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项


四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

    1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

    3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。


欢迎大家来安全中国http://www.anti-vir.com

欢迎到动物家园来，这里有您需要的安全支持服务

郁闷啊，看上去好象非常复杂，还要到纯DOS下删，系统还原有没有用啊？

谁能告诉我啊。。。谢谢啊！

参考一下置顶帖
【问题综述】反浏览器劫持版一周常见、特殊问题总结[06.1.9]

C:\Program Files\SearchNet    删不掉
方法如下:
开始-运行-CMD
进到searchnet的目录下(用CD 命令完成,如何使用该命令在百度里面搜一下就知道)
输入:attrib *.* -s -h -r 回车(注意是4个空格!)
del *.* 出现提示的时候选择 Y(注意是1个空格!)
这样就将searchnet文件夹里的内容全部删除.
然后回到searchnet所在目录(一般为Program files,直接输入 cd.. 命令就行了)删除该文件夹:
输入:rd searchnet
这样该文件夹就彻底删除了.

它说拒绝访问  都删不了。。。