Storm_Center

　　与上一篇“清除rsmsankt.exe、setdebugn.exe”类似，也是桌面美化秀带来的，同样出现ycmcg.dll进程，不过此次建立的服务与其有些不同，不过也是类似的
[Remote Access / Remote Access]
  <C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">

　　此病毒由某桌面美化秀软件携带，通过下载网站误导用户下载，安装后篡改、劫持IE主页和IE桌面快捷方式，指向恶意网站，还修改了快捷方式的属性为只读，不让用户修复，并且会修改HOSTS文件，在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了，这里只说该病毒添加的一个服务的清除。

　　本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页，指向http://1.webete.cn/wenzi15.asp，包括360浏览器，所以所谓360安全浏览器也是使用IE核心，并非真的安全，只要打开浏览器，则会自动转到“很不错”网站。

　　这次的病毒是在同事的电脑上，进程表中explorer.exe占用大量CPU资源，整个系统的CPU使用率一直是100%，导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程，后来发现其中一个smss.exe是在windows目录下，很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条，进入安全模式时出现蓝屏。

　　系统遭遇蓝屏，检查发现病毒，同样使用映像劫持，被劫持项目和以前各种映像劫持的程序大同小异，并且都用了ntsd -d，也出现了comres.dll。

　　这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护，所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效，需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗，而一些防止主页被改的工具，如IE巡警并不起作用。

　　任务管理器中出现一个随机数字加 xeex.exe的进程，360及部分知名杀毒软件无法打开，杀毒软件的网页无法访问，并且该病毒能够感染应用程序。

　　此病毒借计划任务定时使用rundll32调用em63.dll，因此一定要先清理计划任务中的定时任务，但删除时别把rundll32.exe删除了，这个是系统文件，同时还有病毒建立的服务与加载的IE插件要清理。

　　有人反映安装了电驴后发现IE主页被改成http://7999.com，而且很难改回来。其实7999.com是VeryCD制作的上网导航网站，这个在安装电驴过程中是有提示的，不需要的在安装程序时一定要去掉该安装组件。

现象：电脑右下角经常弹出广告，使用瑞星，360清理杀毒均无效。
清除方法：
1.删除以下文件：c:\windows\system32\rebootfilmserver.exe
2.使用SREng删除服务项：[ReBootFilmServer / ReBootFilmServer]