Storm_Center

 　　Windows的任务栏在注册表中的位置是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop下的“TaskbarWinXP”，其值是一大堆二进制数据……

 　　开机自动弹出http://go.dhsite.info/tan.php，然后转到一个游戏网页，此时系统提示加载svcc.vbs失败，此svcc.vbs位于临时文件夹temp中。估计这个vbs文件是被杀毒软件或其它安全机制限制了，否则就不止一个开机自动弹出网页的问题，据网上查到的信息，还有劫持IE主页和一些正常的网站的访问、在桌面生成垃圾图标等。

　　论坛求助内容：在游讯网下载游戏安装后中招，IE主页被www.7f7f.com劫持，桌面多出一个IE图标，等等。清除参考方案如下……

　　也是论坛求助帖，中毒现象是不时地自动弹出网页，还生成桌面图标，经过杀马查毒及修复清理桌面后，就剩下自动弹出网页没解决掉。经过检查其扫描的SREng日志，启动项中已无可疑对象，估计此前的查杀差不多已经把它们干掉了，不过在任务计划项中发现大量已启用状态的”任务“。

　　看到论坛一求助，现象：开机自动打开三九医疗网，并在桌面上生成两个IE图标：“让性爱更美好了”、“成人网站”，IE主页也被劫持，打开IE也是该网站，使用360查杀未果。

　　上午接到一同事电话说她的电脑出现问题：开机时出现“jetspeed.dll”无法加载，word和excel打不开，上不了网但内网却可以连上等。

　　此木马通过在组策略中设置windows登录脚本启动对，从开始－运行－gpedit.msc，打开组策略－用户配置－windows设置－脚本（登录/注销）－登录，在“登录”的窗口中可能看到以下几个文件：如notepa.bat、yici.bat、sys.bat等，通过这些bat批处理文件调用donw.vbs、shijian.vbs等脚本文件。

　　昨天对一台电脑随意地检查时，在360的“全面诊断”中出现3个可疑的服务项，服务名和相应的文件名我就不说了，都是随机字母的组合而成的，然后使用360安全卫士的修复功能修复，但仍不能消除它们，下次扫描还是出现。

　　中毒后无法上网，网络连接始终是正在获取网络地址，影子系统不能打开，使用瑞星反复查杀总有病毒被杀出（影子已关闭），不能清除干净。

　　中毒现象：360的网络流量中发现一进程svchost.exe有较大的上传速度，占用带宽，然而用杀毒软件检查没有发现病毒，手动结束该进程后重启电脑又恢复前述现象。