推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 （有更新）

【原创】Searchnet.exe (trojan-spy.agent.iw) 清除方法 （有更新）
最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
清除的方法其实很简单：开始，运行里面输入"c:\program files\searchnet\uninstall.exe" （包含双引号） 再按回车
以下内容于12/25日更新：
苦于始终没有样本，无法安装测试究竟为什么有些网友无法卸载。今天终于找到一篇文章，原来这个王八蛋程序叫中搜地址，提供的卸载程序是虚假的用来迷惑用户的！！
青年论坛的Deadwoods网友详细分析了，由于原帖图片已经失效，我将内容稍微编辑一下转过来：
今天卡巴斯基报告发现木马 (12月19日）
最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
以下是在装有正版瑞星的机器上对该木马进行了特征分析。
该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。
一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys
二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）
三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：
用Regedit无法查看其注册表启动项
用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项
四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子
五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！
六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。
七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！
八、病毒防治
1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。
2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！
3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
agiha附加建议
如果中了searchnet的毒，但是系统盘又不是FAT32格式，可以下载这个PE工具盘，然后刻录到光盘后设置从光驱启动，删除searchnet的文件。
本光盘基于深山红叶的PE光盘制作。添加了可以升级的mcafee扫描器，F-Prot扫描器，SPYBOT和AD-aware等修复工具。
使用前先启动网络。
下载连接：http://www.gubei.net/odin/winpe1.rar
另外替代产品，矮人DOS工具（提供者：轩辕8300）
下载连接 ：http://www.gubei.net/odin/dos.rar
矮人DOS的使用方法：
下载（废话）
解压缩（又是废话）
点击安装（老大……）
安装的时候选择自定义，可以定义开机菜单停留的时间，默认是1妙，建议改到4妙，因为有部分普通显示器开机时候显示速度慢，因此可能会看不到启动菜单。
然后是设置一个密码，建议使用自己熟悉的密码。然后就是一路点击NEXT到结束。
重启后会看到xp启动菜单，前提是你设置了足够的时间。在正常的XP启动菜单条下面有多一个“我的DOS工具箱”，选择这条即可。
选择后会出现一个选择菜单，请选择从DOS启动，然后输入密码。
之后会警告加载驱动程序，这里我们只需要NTFS分区得驱动，其他驱动就不要了。然后选择启动。
启动的时候，注意留心NTFS的加载信息，通常来说，你原来的C盘，会变成D盘，其他以此类推。
现在，可以进去删除那些不请自来的LJ文件了。
（凭记忆写的，未必正确，有不对请PM我知）