Storm_Center

　　删除以下文件：c:\windows\win32.ini和c:\windows\system32\drivers\292437.sys ……

　　上网打开IE拦截到的病毒，金山毒霸报ssqpm.dll为 Win32.Troj.VirtuMondeT.NB.324096，McAfee则报ssqpm.dll为Adware-Virtumundo。

　　综合几个有关goteple的例子，该病毒或恶意程序位于C:\Program Files\Common Files\goteple(Winostle.exe也在其中)，现象：有说是内存不能“read”或“written”，也有打开百度网页跳出警告的。

　　现象：求助者只说了打开网页会自动关闭。检查其SREng日志，发现病毒不少，尤其那个winlib .dll，注意“winlib”和“.dll”之间有一个空格，还有一个就是spoo1sv.exe，冒充打印程序spoolsv.exe。

　　有如下的病毒文件twain.dll、realsched.pat、soundmans.exe、1sasrv.dll、adsldps.dll、hkcmd.pat，……

　　恶意网址和恶意程序：http://diannaoqingjieji.com/diannaoqingjieji/... 　电脑清洁机（官方名称 Diannao Qingjieji），这是一个恶意的反间谍软件，通常归为灰色软件（GrayWare,Rogue Antispyware）或者广告程序（Adware）。

　　检查SREng日志，发现注册表中userinit.exe、explorer.exe都没有通过微软的验证(Verified)，怀疑被病毒替换，从进程中发现除了有C:\WINDOWS\explorer.exe这个进程外，还有C:\WINDOWS\system32\dllcache\explorer.exe，明显后者才是真正的explorer.exe，否则桌面的shell就出不来了。

　　Windows XP系统，用浏览器在打开带有杀毒软件名称或介绍、下载的网页均会自动关闭，在谷歌或百度中搜索如卡巴斯基、瑞星、金山毒霸也如此，打开卡巴的安装目录窗口也会自动关闭，而且卡巴在正常模式下会拒绝安装，msconfig与任务管理器都无法打开。

　　不喜欢只有日志而没只问题描述的求助，但有新鲜的地方就想看看，其实也不是说技术有多先进，只是它找出来的东东比别人多些而已。

　　sys28.exe传到Norman上，分析结果如下，虽然报NO MALWARE(只能说Norman没查出来)，但看报告内容，明显是病毒无疑。