Storm_Center

　　用windows清理助手发现一个可疑文件：c:\windows\system32\lzx32.sys，但到指定的目录下却看不到它，隐藏、系统属性全开也没有，搜索、dir也找不到。　　开始怀疑助手误扯，直接点清理又确实有文件删除出来，清理时选了备份，从备份文件中可以看到lzx32.sys，但再扫一遍该文件还在，用wsyscheck也找不到该文件，用xdelbox和powerrmv删除，却说文件不存在

　　现象：IE浏览器一打开或者在浏览网页（基本是打开后浏览的第一个网页）时就出现“Microsoft Internet Explorer 遇到问题需要关闭。我们对此引起的不便表示抱歉”提示，下面是“发送错误报告”与“不发送”两个按钮。以往这种错误出现，点下“不发送”就关闭当前的IE窗口并自动重启IE

搜网123（有souwang123.cn，也有souwang123.com）篡改IE主页，在IE收藏夹中放入其它网页。清除方法如下：1、删除文件：c:\windows\system32\wcesc0mm.exec:\windows\system32\expl0rer.exe,c:\windows\system32\s0uanman.exe

电脑上网就会不时地自动弹出网页：http://202.ssc94f.com/vxsg/9v.htm……，指向一个网游页面。根据SREng扫描日志，修复方案如下：1.删除以下文件：c:\program files\common files\mstoock\winlorer.exec:\program files\common files\mstoock\chavdn.exe

　　IE一打开就是显示www.web6699.cn这个网站，但IE主页设置的并非此网址，甚至打开“我的电脑”、“我的文档”、迅雷资源搜索都会打开此恶意网站，杀毒软件查不出来。　　清除方法如下：1.删除以下文件：c:\program files\internet explorer\winiedo.dll2.删除重启后使用SREng修复下面各项

　　杀毒后，开机时总提示“加载19L405.dll失败”，金山毒霸扫描仍报有木马。　　根据扫描得出的SREng日志，清理如下内容：1.删除文件：c:\windows\system32\drivers\jbfeq.sysc:\windows\system32\drivers\presafe.sys（此为雨林木风版的XP绑捆的驱动）2.用SREng删除下面各项： 

　　NOD32查毒有时会遇到红色报警：物理磁盘 0 的 MBR 扇区，病毒 - 未知的 TSR.BOOT 病毒[7]，或物理磁盘 1 的 主引导记录扇区，物理磁盘 - 未查明的 TSR.BOOT 病毒[7]，一般都是无法清除状态。……

　　刚开机，连上网不久就发现本地连接中的收发数据包数量很大，象是在不停下载，检查网络连接，发现多个端口打开。

　　根据扫描的SREng日志，处理如下：

1.删除以下文件：

c:\windows\system32\drivers\oiqtwcx9g.sys
c:\windows\system32\drivers\cmigwz4wq.sys
c:\windows\system32\drivers\5nxf.sys
...

　　网页在地址下面显示“系统检测到您感染了恶意软件，这会导致您上网时网页不能正常显示，上网速度变慢...  按此下载系统优化专家修复您的系统”，使用杀毒软件查杀不净，似乎有下载其它木马的情况。

处理方法：

1.删除以下文件：

c:\windows\inf\pcidev32.inf
c:\windows\downloaded program files\cwiehlp.dll
c:\program files\common files\cpush\cpush0.dll
...

　　发现不少人在发所谓“远程强制视频”软件，查了一下，基本都是骗人，所谓官方网站推广可以获得注册码不过是让你宣传它的网站而已，100IP不过是给人家网站带流量，建议大家不要上当，至于软件，里面不过内置一个flash，并不是真的强制打开对方的摄像头(真的要打开也行，要下木马，绝不是这种软件能轻易实现的)，如果另外含有病毒，真正受害的是自己，而不是你要看的电脑。