Storm_Center

　　本例修复结果未经证实，因此仅供参考。症状：IE主页自动设置成了这个http://www.9348.cn/?205466，无法更改，用瑞星扫描也找不到任何病毒木马。

　　论坛求助弹出QQ错误报告，IE主页被改成http://www.7241.cn/?s1，还有iexplore.exe应用程序错误。在SREng扫描的日志中发现三个可疑对象，须首先全部删除……

症状：大量exe程序被感染，注册表中发现dnsq.dll，应该是磁碟机，因为该病毒感染了exe文件，因此除以下清除项目外，还是需要杀毒软件修复被感染的文件。因此不论是否重装系统，在杀毒前不要运行中毒电脑上任何exe文件，以防重新感染，而是在清除下列文件后与项目后，下载磁碟机专杀或绿色扫描版的杀毒软件，如DR.WEB进行修复，至少也要把原来电脑上安装的杀毒软件拯救回来，然后再用它升级杀毒。

症状：电脑发出慕名的声音，未打开QQ也会发出QQ的咳嗽声，从任务管理器中发现后台打开很多奇怪的网页，如小屁孩日记、嘻喔喔、WOYO、激情聊天室……等等，即使当时结束它们，还会自动打开。

症状：电脑自动弹网页，如51173.com等，经检查，发现如下可疑文件：wuauctl.exe、smartbaidu.dll、smartclick.dll、smartpopup.dll、smartsearch。注意，第一个wuauctl.exe，这可不是windows自动更新程序，系统那个自动更新的文件名则是wuauclt.exe。

　　IE主页被www.9348.cn/?205459劫持，注册表中没有找到该网址的痕迹，IE快捷方式也正常，因此可以肯定本地电脑上有病毒或木马在保护被劫持IE主页、不允许用户进行修复。

　　本例也是IE主页被iexx.com篡改，但与以前收录的iexx.com篡改主页相同的地方都是由于下载某软件后中的招，但生成的文件不同，因此清除方法也不同：使用SREng禁用驱动[39148292009722191455]和[39152092009722191455]

　　不同于上次发现的365j.com篡改主页的情况，本次篡改IE主页的是由一个叫“苹果工具条”的软件引起的，这是一个结合网站导航的工具条，安装后会修改IE快捷方式的属性及修改注册表，导致劫持IE访问365j导航网站，而且在每次用户修复IE快捷方式的属性或直接删除被篡改的快捷方式后，还会再次篡改或重新生成带365j网址的快捷方式，颇具流氓气质。

　　该劫持行为并非直接篡改IE主页，而是通过修改IE等浏览器的快捷方式属性，在快捷方式属性的目标程序后添加自己的网址http://www.henbucuo.com，导致一打开浏览器就打开该网站，同时在用户搜索或浏览网页时还弹出http://go.loliso.com。由于采取了保护措施，被篡改的快捷方式无法正常修复，修正或删除后还会自动篡改或重建。

　　这两天，很多使用卡巴斯基的vista用户突然发现自己系统中的安全中心“病毒防护”一项报告卡巴斯基为“不兼容”：“卡巴斯基反病毒软件正在运行，但是使用不再受支持的格式报告给windows安全中心。请使用程序的自动更新功能，或与程序制造商联系以获得更新版本”。