Storm_Center

　　IE主页被篡改成www.9348.cn/?205466，手动更改IE主页无效，使用360安全卫士也无法修复。根据SREng扫描日志，修复方案如下：1.删除以下文件：c:\windows\gyuhy\spsv.vbs　c:\windows\loty\spoolsv.vbs　c:\windows\olpddk\sv.vbs　c:\windows\system32\drivers\lqthm.sys

　　接到一个求助，说是安装游戏过程中显示错误：“无法打开XX可执行文件写入：Access to XX.exe was denied”。开始只以为游戏安装程序错误，后来发现对方提供的截图中任务栏上显示的杀毒软件是江民，据说江民2009版改变了很多，比以前更加严格，莫非是它拦截了写入执行文件。

　　杀毒软件被关闭，装的是瑞星、卡卡、360保险箱，瑞星的几个服务全是停止状态，更不用说卡卡与360了，进程中没有它们中任何一个的影子。

　　百纳流量是一个刷网站流量的软件，按常理应该可以正常卸载，但如果发现无法卸载或卸载不干净，就有麻烦了，老看着它自动弹出是不是很烦。之所以会这样，就是因为这个百纳流量的程序还残留在电脑里，就是C:\WINDOWS\system32\bnfllw.exe，同时它还在计划任务中保存有自己的任务计划，定时启动自己。

　　开机后就弹出名为desktop.ini的记事本窗口，其实这并不是什么病毒，只是启动文件夹中的desktop.ini文件的属性被改了，原desktop.ini属性是系统与隐藏，如果系统与隐藏属性被去掉，就会出现上述情况。

　　dnsq.dll是磁碟机木马文件，磁碟机不必多说了，去年出来的大杂烩式恶性木马病毒，破坏性很大，关闭杀毒软件、感染exe文件等等。而iesnap则被指为一个国外出品的流氓软件，虽然它原来的设计初衷是网页的快照软件，木马加流氓，共同出现，也是一景。

　　曾经遇到过irmon32.dll，当时还并没有认死它一定是病毒或木马程序，只是非常怀疑，但本例证明irmon32.dll一定是病毒文件。现象是这样的：电脑连接网络时，NOD32总是弹出提示框：“对象：http://www.bjtgzs.cn/msie/x2/todo.exe　威胁：Win32/Agent.NXB 特洛伊木马的变种　信息：连接中断－已隔离”，此提示框会反复弹出多次　... ...

　　看到一个求助，打开阿里旺旺，就会跳出一个“Internet Explorer 脚本错误”的提示框：“当前页的脚本发生错误 行：43 字符：340 错误：缺少十六进制数字 代码：0 url：http://www.114oldest.com/zz/ytff.htm”。经网上搜索，发现这个114oldest.com原来是个恶意网站，用谷歌搜索，该网址下会带有“该网站可能含有恶意软件，有可能会危害您的电脑”的说明文字

　　劫持IE主页，修改成www.91kk.com，检查发现winsock遭到篡改，如下：

Winsock 提供者
MSAFD Tcpip [TCP/IP]
    C:\Documents and Settings\Administrator\Application Data\mspint.dll(, N/A)
...

　　开机后，进程中出现一个haneos.exe，一直占用一定的CPU，同时CPU整体占用率也一直在60%左右，只有在结束haneos.exe后才会降低。该进程haneos.exe位于c:\program files\gunoes\下，而这个gunoes文件夹中还有不少可疑文件