Storm_Center

　　同事的电脑一开机，就弹出一个“程序错误”的提示框：“ntsd.exe产生了错误，会被windows关闭。您需要重新启动程序。正在创建错误日志。”，点确定关闭后，很快又跳出几个来，同时电脑上安装的杀毒软件以及卡卡助手不能启动，任务管理器也打不开，很明显有映像劫持。不过在寻找备份文件过程中还发现了usp10.dll，只有7K多的大小（正常文件有300多K大），看来还有犇牛（也有叫猫癣）病毒，还发现输入法图标也不见了，更确定了这个输入法杀手。不管叫什么，usp10.dll不会单独存在，它是个下载器，会下载很多木马病毒到电脑上，果然很多。

　　人们在安装或打开一些程序的时候，会出现 NSIS Error 错误提示，这种情况很容易让人误会是系统出现了错误，或仅仅是该程序安装文件损坏的原因。 错误提示的中文意思如下：NSIS 错误 你正使用的安装程序已经被破坏或不完整。这可能是由于损坏的磁盘，或是下载失败，或是病毒导致的结果。你可以联系本安装程序的程序员来获取新的软件拷贝。

　　因为有需要到网上寻找锁定回收站的方法，即让回收站不能清空，方法是修改注册表，可是发现大量网上转载的文章中列出的具体注册表项值都是错误的，或者可以说是漏抄了一段。不少网上文章说锁定回收站要修改注册表中的HKEY_CLASSES_ROOT\CLSID\\InProCServer32，注意前面红色部分，两个“\”中明显的漏一段，有的可能在抄的时候发现有问题，就干脆直接改成HKEY_CLASSES_ROOT\CLSID\InProCServer32。其实在HKEY_CLASSES_ROOT\CLSID\下的各个分项（一串用{}括起来的字串）中都有InProCServer32，关键是CLSID\下的哪个项是表示回收站。

[PnpWmkDrv / PnpWmkDrv][Running/System Start]  <\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>PnpWmkDrv.sys是软件《完美卸载》的驱动。曾经被杀毒软件（卡巴斯基）误判为病毒，网上搜索也有认定其为病毒文件的，不过PnpWmkDrv.sys确实是完美卸载的文件

[CH341SER / CH341SER][Stopped/Manual Start]  <System32\Drivers\CH341SER.SYS><www.winchiphead.com>CH341 是一个USB 总线的转接芯片，通过USB总线提供异步串口、打印口、并口以及常用的2线和4 线等同步串行接口。CH341SER.SYS则是USB转串口CH341的WINDOWS驱动程序。

　　访问8888se网站遭遇木马病毒，杀毒软件、任务管理器均打不开，屏幕定时闪一下。检查SREng扫描的日志，发现该木马使用映像劫持技术劫持大量杀毒软件与安全工具，被劫持项的debugger的值为ntsd -d，使被劫持项无法正常运行。同时在HOSTS文件中屏蔽大量安全网站，如360、卡巴斯基、江民、瑞星、金山、NOD32等官网。

　　从云安全的全面铺开差不多也有两三个月了，许多概念也逐渐清晰，抛开各个厂商极力表明自己是最早的云安全研发者以及云安全的种种云雾，我们应该可以看到背后的真实信息。

　　病毒在局域网内传染，中毒电脑接入网络就导致整个局域网无法访问路由器，从而无法上网，怀疑是ARP欺骗型的病毒。具体检查SREng扫描的日志，发现该病毒利用映像劫持阻止大量的杀毒软件、安全工具运行。

　　近日，Adobe公司旗下的Adobe Acrobat和Acrobat Reader 8.0和9.0版本软件爆出一个PDF 0day漏洞，利用该漏洞的恶意代码和详细的技术分析已经在互联网上被公开，并被广泛转载。通过被公开的技术资料，黑客能够轻易利用该漏洞传播各类恶意软件，黑客可以针对这个漏洞，构造了恶意的PDF文档，一旦网民打开这类文档，电脑将自动运行远程控制类木马，盗取用户网银密码，游戏帐号，私密文件、照片。

　　今天，网站主机所在机房终于在断网近一天后恢复了，而且电信线路也恢复了，赶紧恢复绑定到电信的IP上，这一周我用网通的线路慢死了，就早上8-9点可以正常访问下，更新下文章，10点后基本就打不开了，只有找代理服务器来访问，很麻烦的说。不过，今天恢复后似乎还有点慢，特别是晚上，不过至少可以打开网站了，以前晚上可是连打开也不成。看来电信与网通的互连对中国的网民来说还是一项艰巨任务。