我今天特地装上些流氓软件，有三七二一，划词搜索，中搜等，想感受一下它们的厉害。
装好后，我重启。先到添加删除程序里用流氓自带的卸载程序卸载它们。然后再重启。用HijackThis修复所有的项，用SREng删除中搜在系统建立的服务。进入C:\WINDOWS\system32找到ServerHost.exe，使用KILLBOX，IceSword，unlocker，不管是删除，重启后删除，结束桌面进程，包括进入安全模式都无法删除它。
以下是百度来的文献，大家看下。
提醒:比3721还厉害的中搜--又一大网络毒瘤
如果你的电脑里有一个叫Searchnet.exe的文件,被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
    卡巴斯基报告发现木马
    最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。
    该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。
  一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项


四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

  1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

  3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。

System Repair Engineer 2.0.12.350 (2.0 RC 1)
    Windows XP Professional Service Pack 2 - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <VMware Tools><; C:\Program Files\VMware\VMware Tools\VMwareTray.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <VMware User Process><; C:\Program Files\VMware\VMware Tools\VMwareUser.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
服务
[VMware Tools Service / VMTools]
  <"C:\Program Files\VMware\VMware Tools\VMwareService.exe"><VMware, Inc.>

==================================
浏览器加载项
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\flash.ocx, Macromedia, Inc.>

==================================
正在运行的进程
[PID: 584][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 644][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 668][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
[PID: 712][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 724][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 888][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 956][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1060][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1236][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
    [C:\WINDOWS\System32\hgfs.dll]  <N/A><N/A>
    [C:\Program Files\Unlocker\UnlockerCOM.dll]  <N/A><N/A>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
[PID: 1364][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
[PID: 1376][C:\Program Files\VMware\VMware Tools\VMwareService.exe]  <VMware, Inc.><e.x.p build-19175>
[PID: 2024][C:\Documents and Settings\xu\桌面\Norton Process Viewer\taskmgr.exe]  <"                    "><5.2.11.1>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
[PID: 436][C:\WINDOWS\system32\NOTEPAD.EXE]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
[PID: 448][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>
    [C:\WINDOWS\System32\hgfs.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\macromed\flash\flash.ocx]  <Macromedia, Inc.><6,0,79,0>
[PID: 832][C:\Documents and Settings\xu\桌面\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\WINDOWS\system32\WINWB86.IME]  <somh@email.com><5.00.2000.3>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

这个中搜估计升级了，和文献上的不太一样。
用IceSword在System32\Drivers文件夹找不到FAD.sys Anfad.sys hProcess.sys以及能显示所有文件。

另附
ijackThis_zww汉化版扫描日志 V1.99.1
保存于      22:23:33, 日期 2006-4-5
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\xu\桌面\HijackThis.exe

O4 - 启动项HKLM\\Run: [VMware Tools] ; C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - 启动项HKLM\\Run: [VMware User Process] ; C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{322F4A07-3B52-4F8A-A798-20E92D60BE76}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{322F4A07-3B52-4F8A-A798-20E92D60BE76}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{322F4A07-3B52-4F8A-A798-20E92D60BE76}: NameServer = 192.168.0.1
O23 - NT 服务: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe

谢谢指点，不过这样没有用的，在注册表中只要一删除，中搜立马就重新建立。在系统的服务里，也有它的服务，无法禁用，特牛逼的那种，死终保持“自动”
我现在终于找到方法了。
先到添加删除程序中卸载这个软件，要不然，在注册表中删除立马又重新建立它的启动项。重启，删除它在C:\Program Files\的文件夹。用System Repair Engineer 删除所有关于它的浏览器加载项。然后用超级兔子的专业卸载来卸载划词搜索。依兔子，重启系统，ServeHost.exe 就消失了。看来正常卸载中搜后，ServerHost.exe与系统还是有关联，只是HijackThis，SREng，IceSword都不能识别，中搜居然用功到这种地步，可惜用错了地方，我感到有点难过。

【回复“Soulmate1”的帖子】
呵呵，这帖子你那挖出来的
好久了，我都忘了。
说实话，那时的我还不敢看帖回帖呢。