Storm_Center

　　这是一个伪装成视频文件的木马，当用户下载想双击打开播放时，文件消失，同时加载一个服务到系统中，每次电脑启动时都会运行，从而控制用户电脑。该木马加载的服务名称：windowssysCPL，假冒系统服务，甚至还有“winNT控制面板管理”的提示文字混淆视线。

　　此前曾经杀过毒的电脑再次中毒，CPU使用率一直是100%，居高不下，这次在任务管理器中查看进程，发现所有进程的CPU使用率加起来并未达到100%，可见有隐藏进程占用了CPU。注册表被锁定，IE主页被锁定为某个网址（这个应该不是为了流量，只可能是为了网站挂马再次传染，否则这么卡的电脑还有谁为去访问什么网站）。安全模式试了下，也是一样的100%CPU占用，不过至少没有破坏系统进入安全模式。

　　可参考之前一篇“清除xeex.exe病毒”，本文可做对照。现象症状不重述，存在文件被感染的情况，可能导致重装系统后重复中毒，而且大量的病毒木马进程出现在进程表中，系统卡死，杀毒软件、防火墙、包括360打不开，给清除工作带来困难。

　　与上一篇“清除rsmsankt.exe、setdebugn.exe”类似，也是桌面美化秀带来的，同样出现ycmcg.dll进程，不过此次建立的服务与其有些不同，不过也是类似的
[Remote Access / Remote Access]
  <C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">

　　此病毒由某桌面美化秀软件携带，通过下载网站误导用户下载，安装后篡改、劫持IE主页和IE桌面快捷方式，指向恶意网站，还修改了快捷方式的属性为只读，不让用户修复，并且会修改HOSTS文件，在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了，这里只说该病毒添加的一个服务的清除。

　　本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页，指向http://1.webete.cn/wenzi15.asp，包括360浏览器，所以所谓360安全浏览器也是使用IE核心，并非真的安全，只要打开浏览器，则会自动转到“很不错”网站。

　　这次的病毒是在同事的电脑上，进程表中explorer.exe占用大量CPU资源，整个系统的CPU使用率一直是100%，导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程，后来发现其中一个smss.exe是在windows目录下，很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条，进入安全模式时出现蓝屏。

　　系统遭遇蓝屏，检查发现病毒，同样使用映像劫持，被劫持项目和以前各种映像劫持的程序大同小异，并且都用了ntsd -d，也出现了comres.dll。

　　这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护，所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效，需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗，而一些防止主页被改的工具，如IE巡警并不起作用。

　　任务管理器中出现一个随机数字加 xeex.exe的进程，360及部分知名杀毒软件无法打开，杀毒软件的网页无法访问，并且该病毒能够感染应用程序。

　　此病毒借计划任务定时使用rundll32调用em63.dll，因此一定要先清理计划任务中的定时任务，但删除时别把rundll32.exe删除了，这个是系统文件，同时还有病毒建立的服务与加载的IE插件要清理。

　　有人反映安装了电驴后发现IE主页被改成http://7999.com，而且很难改回来。其实7999.com是VeryCD制作的上网导航网站，这个在安装电驴过程中是有提示的，不需要的在安装程序时一定要去掉该安装组件。

现象：电脑右下角经常弹出广告，使用瑞星，360清理杀毒均无效。
清除方法：
1.删除以下文件：c:\windows\system32\rebootfilmserver.exe
2.使用SREng删除服务项：[ReBootFilmServer / ReBootFilmServer]  

　　这个什么年初出现的猫癣或叫犇牛的病毒最近似乎又冒出来，comres.dll、usp10.dll又频繁出现，新变种来了。这回的comres.dll可就不是被什么给误删了，而是切切实实的病毒文件。

　　原本只是一个IE主页的问题，www.henbucuo.com占据IE死活不走，又是一个“很不错”导航网站劫持浏览器的例子。经检查，也确是如此，IE快捷方式属性中添加了该网址，导致一打开IE就上了那个所谓的“很不错”网站，同样在IE的ACTIVE安装组件中也有添加项……