Storm_Center

　　症状：进程表中出现众多的rundll32.exe进程，数量有上百个，挤占内存资源，即使手动结束rundll32.exe，仍然会很快再次启动。不过似乎这些rundll32.exe只是单纯的自身程序运行，并未调用其它程序。

　　在杀毒完成后，运行某程序出现了“应用程序正常初始化(0xc00000ba)失败。请单击‘确定’，终止应用程序”的提示。这种初始化失败可能是由于ws2_32.dll引起，但我并没有从那个应用程序的目录中找到ws2_32.dll，而从网上搜索得知这个初始化失败除了ws2_32.dll外还有一个可能，是msvcirt.dll。

　　检查某电脑时，发现硬盘各分区下都出现了autorun.inf与1.exe，任务管理器中出现kqokq.exe可疑进程，电脑运行缓慢。结束kqokq.exe进程后尝试删除autorun.inf与1.exe，但1.exe不能直接被删除，只有从任务管理器中结束explorer.exe后，才能删除1.exe成功。

　　上次写的苹果工具条调查篇和清除篇虽然分析了苹果工具条劫持、篡改IE主页为365j.com的工作原理与篡改注册表的位置，不过还是有些遗漏，确实需要不断研究学习才有更多进步。引起我继续的原因是某篇文章中关于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下创建的项目，因此我决定再去看看。

　　应该是从8月28日上周五晚上起，诺顿（包括赛门铁克）、麦咖啡等杀毒软件就开始报量子统计的代码为infostealer病毒，很多使用量子恒道统计的网站都受到影响，至9月1日中午量子统计论坛发表声明“诺顿，麦咖啡目前已不报病毒”为止，这次误报基本结束。被诺顿、麦咖啡等杀毒软件报为infostealer病毒的文件名是tongji[1].js。

　　昨天在论坛上看到有人因为下载电脑报推荐的软件而被365j.com绑架了IE主页，原来电脑报推荐软件的下载是链接到天极下载站，而天极下载和目前众多的下载站点一样，放置大量的广告与推广软件，并与下载内容不作明显区分，造成不明真相的用户误点下载。

　　前文说了安装苹果工具条及被篡改加入www.365j.com的一些地方。既然看够了就清除它，下面是清除过程：首先，卸载苹果工具条，不废话，卸载完记得去它的安装目录看看有没有残留。

　　最近很多人抱怨由于安装苹果工具条而导致被365j.com劫持IE主页，虽然以前有收录一篇相关文章《苹果工具条带来的365j》，不过其中有的内容并不详细，因此决定亲身测试一下这个苹果工具条的365j.com有多难缠。  

　　最近365j .com比较烦人，除了恶意篡改IE，还有苹果工具条也带来同样的365j麻烦，特地搜索手工清除方法及专杀工具，帮助有这方面麻烦的朋友搞定这个网站的恶意推广。

　　本例中的365j并没有直接劫持IE主页，而是修改了在开始菜单旁边的快速启动栏中的IE快捷方式的属性，在快捷方式目标指向的IE程序后面添加自己的网址：http://www.365j.com/?xxx5。不仅如此，还限制用户修改与删除此快捷方式。

　　本例修复结果未经证实，因此仅供参考。症状：IE主页自动设置成了这个http://www.9348.cn/?205466，无法更改，用瑞星扫描也找不到任何病毒木马。

　　论坛求助弹出QQ错误报告，IE主页被改成http://www.7241.cn/?s1，还有iexplore.exe应用程序错误。在SREng扫描的日志中发现三个可疑对象，须首先全部删除……

症状：大量exe程序被感染，注册表中发现dnsq.dll，应该是磁碟机，因为该病毒感染了exe文件，因此除以下清除项目外，还是需要杀毒软件修复被感染的文件。因此不论是否重装系统，在杀毒前不要运行中毒电脑上任何exe文件，以防重新感染，而是在清除下列文件后与项目后，下载磁碟机专杀或绿色扫描版的杀毒软件，如DR.WEB进行修复，至少也要把原来电脑上安装的杀毒软件拯救回来，然后再用它升级杀毒。

症状：电脑发出慕名的声音，未打开QQ也会发出QQ的咳嗽声，从任务管理器中发现后台打开很多奇怪的网页，如小屁孩日记、嘻喔喔、WOYO、激情聊天室……等等，即使当时结束它们，还会自动打开。

症状：电脑自动弹网页，如51173.com等，经检查，发现如下可疑文件：wuauctl.exe、smartbaidu.dll、smartclick.dll、smartpopup.dll、smartsearch。注意，第一个wuauctl.exe，这可不是windows自动更新程序，系统那个自动更新的文件名则是wuauclt.exe。