Storm_Center

　　本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页，指向http://1.webete.cn/wenzi15.asp，包括360浏览器，所以所谓360安全浏览器也是使用IE核心，并非真的安全，只要打开浏览器，则会自动转到“很不错”网站。

　　这次的病毒是在同事的电脑上，进程表中explorer.exe占用大量CPU资源，整个系统的CPU使用率一直是100%，导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程，后来发现其中一个smss.exe是在windows目录下，很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条，进入安全模式时出现蓝屏。

　　系统遭遇蓝屏，检查发现病毒，同样使用映像劫持，被劫持项目和以前各种映像劫持的程序大同小异，并且都用了ntsd -d，也出现了comres.dll。

　　这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护，所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效，需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗，而一些防止主页被改的工具，如IE巡警并不起作用。

　　任务管理器中出现一个随机数字加 xeex.exe的进程，360及部分知名杀毒软件无法打开，杀毒软件的网页无法访问，并且该病毒能够感染应用程序。

　　此病毒借计划任务定时使用rundll32调用em63.dll，因此一定要先清理计划任务中的定时任务，但删除时别把rundll32.exe删除了，这个是系统文件，同时还有病毒建立的服务与加载的IE插件要清理。

　　有人反映安装了电驴后发现IE主页被改成http://7999.com，而且很难改回来。其实7999.com是VeryCD制作的上网导航网站，这个在安装电驴过程中是有提示的，不需要的在安装程序时一定要去掉该安装组件。

现象：电脑右下角经常弹出广告，使用瑞星，360清理杀毒均无效。
清除方法：
1.删除以下文件：c:\windows\system32\rebootfilmserver.exe
2.使用SREng删除服务项：[ReBootFilmServer / ReBootFilmServer]  

　　这个什么年初出现的猫癣或叫犇牛的病毒最近似乎又冒出来，comres.dll、usp10.dll又频繁出现，新变种来了。这回的comres.dll可就不是被什么给误删了，而是切切实实的病毒文件。

　　原本只是一个IE主页的问题，www.henbucuo.com占据IE死活不走，又是一个“很不错”导航网站劫持浏览器的例子。经检查，也确是如此，IE快捷方式属性中添加了该网址，导致一打开IE就上了那个所谓的“很不错”网站，同样在IE的ACTIVE安装组件中也有添加项……