给自己的信好妹妹歌词:《跪求》这是什么病毒.我伤心了.

需要先清除注册表项的系统服务，才能够应用这个卸载。我把我原来写的东西帮你找出来了，看看吧

发信人: Saraphine (只为你飞的炽天使), 信区: Virus
标 题: 手动删中搜Searchnet(卡巴命名trojan-spy.agent.iw)
发信站: 日月光华 (2006年02月01日22:09:35 星期三), 站内信件

网络的安全论坛上反复提到了关于这个安在机器上的客户端卸载无法使用的问题，我在
之前的帖子里面也提到这个问题。可是到了今天我才发现原来是可以应用的，这个是删
除的关键～
第一步，进入安全模式，运行里面键入regedit打开注册表编辑器,以cdnctr,searchnet_
up和serveup.exe为关键字，将相关键值全部删除……
第二步，重启机器还是进入安全模式，修改文件夹选项显示所有文件和文件夹以及系统
文件，然后找到系统盘下中搜的文件夹（在C盘的就是C:/program files/searchnet/)，
运行uninstall.exe并输入注册码。如果前一步的启动项删除完全的话，可以将整个文件
夹除了这个uninstall.exe卸载程序之外的其他东西统统删除。
第三步，将整个searchnet文件夹删除，保险起见同时再搜索下磁盘下面有没有servehos
t.exe的文件，删除之。以servehost为关键字再次搜索注册表，看看有没有相应的注册
表项，如果还有的话删除之。
第四步，重启，一般模式进入，如果删除成功的话，卡巴就不会再杀猪叫了～

--
你说世界上没有天使，是因为天使总在你背后默默守护……
用前世的五百次回眸才换来今世的擦肩而过，我无怨无悔！
※ 来源:·日月光华 bbs.fudan.edu.cn·[FROM: 10.8.225.9]

卡巴斯基报告是特洛伊木马Trojan-Spy.Win32.Agent.iw病毒，无法清除或删除病毒，并且提供的卸载工具也无法处理，查阅一些资料情况如下：

Searchnet.exe程序名称：中搜地址

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。

一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）

三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项

四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子

五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！

六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。

七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

删除方法
多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
单系统用户可以使用unlocker强制删除！

前几天网吧收费主机上有一个叫Searchnet.exe的文件被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。

解决办法：
在开始→运行输入:
c:\program files\searchnet\uninstall.exe
回车
我用了这个办法,很不错啊,希望能帮到遇到这个问题的朋友

Trojan-Spy.Win32.Agent.iw木马，名为“中搜地址”，它所提供的卸载uninstall.exe程序是虚假的，根本无法卸载。要清除它需要在DOS下或是多系统用户登陆到另一个系统，删除它的所有相关文件，包括：C:\Program Files\Searchnet目录下的Searchnet.exe、ServerHost.exe、ServeUp.exe、searchup.exe、srvnet32.dll等所有文件(某些变种的Searchnet.exe是在C:\Program Files\下，需要特别注意删除)，System32目录下的ServeHost.exe，还有System32\Drivers目录下的FAD.sys、Anfad.sys、hProcess.sys，清除Remote Log服务。
我是单系统的

在安全模式下杀一下试试,再不行,你就把病毒样本压缩,传给卡巴斯基的实验室,那些最优秀的反病毒专家会有发子的给你解决的,到时你就把病毒升级一下就好了

用卡巴试了没有？