Storm_Center

　　看到论坛一求助，现象：开机自动打开三九医疗网，并在桌面上生成两个IE图标：“让性爱更美好了”、“成人网站”，IE主页也被劫持，打开IE也是该网站，使用360查杀未果。

　　上午接到一同事电话说她的电脑出现问题：开机时出现“jetspeed.dll”无法加载，word和excel打不开，上不了网但内网却可以连上等。

　　此木马通过在组策略中设置windows登录脚本启动对，从开始－运行－gpedit.msc，打开组策略－用户配置－windows设置－脚本（登录/注销）－登录，在“登录”的窗口中可能看到以下几个文件：如notepa.bat、yici.bat、sys.bat等，通过这些bat批处理文件调用donw.vbs、shijian.vbs等脚本文件。

　　昨天对一台电脑随意地检查时，在360的“全面诊断”中出现3个可疑的服务项，服务名和相应的文件名我就不说了，都是随机字母的组合而成的，然后使用360安全卫士的修复功能修复，但仍不能消除它们，下次扫描还是出现。

　　中毒后无法上网，网络连接始终是正在获取网络地址，影子系统不能打开，使用瑞星反复查杀总有病毒被杀出（影子已关闭），不能清除干净。

　　中毒现象：360的网络流量中发现一进程svchost.exe有较大的上传速度，占用带宽，然而用杀毒软件检查没有发现病毒，手动结束该进程后重启电脑又恢复前述现象。

　　中毒现象：自动弹出广告，关上弹出的广告窗口还有广告的背景音乐存在。……

　　中毒现象：系统的任务计划中莫名多出上百个任务（at1.job、at2.job、at3.job、……at102.job、……），删除后会自动重建；这些任务属性中运行一栏的内容是c:\programe files\ieak\realone player\cuteftp……

　　病毒通过感染Windows系统文件MSIMG32.dll，绕过杀毒软件及网游保护系统，杀毒软件对病毒进行清除往往直接删除了MSIMG32.dll。MSIMG32.dll是Windows图形设备接口GDI相关模块，用于支持新的API应用程序接口和GDI32相关特性。

　　中毒现象：自动弹出网页，杀毒清理修复无效，假冒微软、新浪网站……