Storm_Center

　　从同事U盘上发现的四个文件：“recycle.exe”、“　.EXE”、“　　.EXE”、“　　　.EXE”，没有看到autorun.inf，可能有但已被删除了，以上四个文件，全部都是文件夹样式的图标，如果不显示扩展名，可能会误认为是文件夹，诱使点击，特别是recycle.exe，很可能被认为是回收站，其余三个以空格为文件名的特殊exe文件可能会给直接删除造成困难，不过用winrar压缩中的“压缩后删除源文件”功能可以删除。另外，这几个文件每个都有1M多大小，体积一样。

unknown software exception错误：应用程序发生异常 unknown software exception(0xXXXXXXXX),位置为0xXXXXXXXX要终止程序，请单击“确定” 要调试程序，请单击“取消”　
解决方法：
方法一：如果安装了微软NET.Framework，可以考虑卸载
……

现象：杀毒软件失效，安全模式进不了，字体出错等。清除修复方法如下：1.删除以下文件：（参考怎样根据SREng日志的分析报告清除病毒）c:\windows\fonts\bnitnojy.dll　c:\windows\fonts\xssuxtav.dll　c:\windows\fonts\rysqjhbs.dll　c:\docume~1\admini~1\locals~1\temp\msdfjsadfjd.dat……

　　同事的电脑一开机，就弹出一个“程序错误”的提示框：“ntsd.exe产生了错误，会被windows关闭。您需要重新启动程序。正在创建错误日志。”，点确定关闭后，很快又跳出几个来，同时电脑上安装的杀毒软件以及卡卡助手不能启动，任务管理器也打不开，很明显有映像劫持。不过在寻找备份文件过程中还发现了usp10.dll，只有7K多的大小（正常文件有300多K大），看来还有犇牛（也有叫猫癣）病毒，还发现输入法图标也不见了，更确定了这个输入法杀手。不管叫什么，usp10.dll不会单独存在，它是个下载器，会下载很多木马病毒到电脑上，果然很多。

　　人们在安装或打开一些程序的时候，会出现 NSIS Error 错误提示，这种情况很容易让人误会是系统出现了错误，或仅仅是该程序安装文件损坏的原因。 错误提示的中文意思如下：NSIS 错误 你正使用的安装程序已经被破坏或不完整。这可能是由于损坏的磁盘，或是下载失败，或是病毒导致的结果。你可以联系本安装程序的程序员来获取新的软件拷贝。

　　因为有需要到网上寻找锁定回收站的方法，即让回收站不能清空，方法是修改注册表，可是发现大量网上转载的文章中列出的具体注册表项值都是错误的，或者可以说是漏抄了一段。不少网上文章说锁定回收站要修改注册表中的HKEY_CLASSES_ROOT\CLSID\\InProCServer32，注意前面红色部分，两个“\”中明显的漏一段，有的可能在抄的时候发现有问题，就干脆直接改成HKEY_CLASSES_ROOT\CLSID\InProCServer32。其实在HKEY_CLASSES_ROOT\CLSID\下的各个分项（一串用{}括起来的字串）中都有InProCServer32，关键是CLSID\下的哪个项是表示回收站。

[PnpWmkDrv / PnpWmkDrv][Running/System Start]  <\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>PnpWmkDrv.sys是软件《完美卸载》的驱动。曾经被杀毒软件（卡巴斯基）误判为病毒，网上搜索也有认定其为病毒文件的，不过PnpWmkDrv.sys确实是完美卸载的文件

[CH341SER / CH341SER][Stopped/Manual Start]  <System32\Drivers\CH341SER.SYS><www.winchiphead.com>CH341 是一个USB 总线的转接芯片，通过USB总线提供异步串口、打印口、并口以及常用的2线和4 线等同步串行接口。CH341SER.SYS则是USB转串口CH341的WINDOWS驱动程序。

　　访问8888se网站遭遇木马病毒，杀毒软件、任务管理器均打不开，屏幕定时闪一下。检查SREng扫描的日志，发现该木马使用映像劫持技术劫持大量杀毒软件与安全工具，被劫持项的debugger的值为ntsd -d，使被劫持项无法正常运行。同时在HOSTS文件中屏蔽大量安全网站，如360、卡巴斯基、江民、瑞星、金山、NOD32等官网。

　　从云安全的全面铺开差不多也有两三个月了，许多概念也逐渐清晰，抛开各个厂商极力表明自己是最早的云安全研发者以及云安全的种种云雾，我们应该可以看到背后的真实信息。