Storm_Center

　　此木马篡改系统中的HOSTS文件，即使修复，每次开机启动后仍会“还原”成篡改后的状态，同时劫持IE主页到www.haol23.in。此木马可能捆绑在某游戏或软件中，通过下载安装而侵入用户电脑。被修改过的HOSTS的部分内容如下，所有网址指向同一个IP：173.252.193.47，因此打开淘宝网站就被劫持跳转到钓鱼网站上。

　　以前一般被篡改或劫持的都是IE主页，而大部分安全工具所谓锁定主页也是针对IE主页，但不是说opera和火狐就没事，除了快捷方式属性的修改，还有其它方法，如修改扩展的配置文件。……

 　　此kuaiwan.exe并非快玩的程序，该文件与所在文件夹均为隐藏属性，无法直接删除，使用强制删除手段删除该文件后还会再次生成、重复出现，金山毒霸报为Troj.HiJackHost。这种kuaiwan.exe是由“无限制搜索工具2011加强版”生成，此木马通过修改注册表添加启动项，并篡改HOSTS文件，劫持URL。……

　　连续在论坛看到两例Trojan.Win32.thsys，蹊跷的是求助者都宣称只有360可以查出来，一个用的是360的急救箱，另一个用的是360的顽固木马专杀，而其它的杀毒软件都无效，基本现象都是系统卡死、运行慢、开机慢，还有程序打开慢或出错，甚至说系统文件损坏。……

　　系统目录中出现随机的病毒文件名，反复清理无法彻底清除干净……

　　开机启动后会自动弹出几个游戏网页，IE主页被篡改，同时360提示并拦截IE后台访问某些可疑网址。清除方案如下……

　　桌面上的“我的文档”不能双击打开，甚至连右键菜单中的“打开”命令也无效， 可能的原因是病毒或所谓的“优化”导致注册表中的相关内容出错，因此修复的方法是，按照正常的注册表内容恢复。

　　“杀毒软件无法运行并且被从开始菜单删除，注册表锁死，桌面多出IE浏览器、免费电影c、淘宝购物A、改变你的一生四个图标，右下角托盘图标全部消失，进不了安全模式”。

　　论坛求助一例，开机时出现命令行窗口，显示添加注册表项：reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d ……

　　同事电脑上发现的，运行某个名为“*开房rmvb”的exe文件，然后在桌面、开始菜单、程序菜单、快速启动栏出现一大堆的URL快捷方式，都指向一些恶意推广的网址，在内存运行，每隔一定的时间就重新生成一次，以防止这些快捷方式和桌面图标被删除。