西江千户苗寨，位于贵州省黔东南苗族侗族自治州雷山县东北36千米处。西江是苗语“鸡讲”的音译，“西”指西氏族，“江”通“讨”，即西江是“西”氏族向“赏”氏族讨来的地方，“西江”因此而得名。寨中世居者是以“西”氏族为主的多支苗族分支融合后形成的统一体，自称“嘎闹”，约有1000多户人家，所以称为“千户苗寨”。寨内吊脚楼层层叠叠顺山势而建，层层相叠，鳞次栉比，又连绵成片，气势恢弘，是世界上规模最大的半坡苗寨，被誉为“苗都”。

　　西江苗族的历史可以追溯到公元前559年的蚩尤部落。据说西江苗族是蚩尤第三个儿子的后裔，迁徙西江之前已经形成了自己的苗族文化体系，到西江后，又因交通不便，一直是自己管理自己，因而苗族文化得到很好的保存和发展，是研究苗族历史、文化的“活化石”，被中外人类学家和民俗学者认为是保存苗族“原始生态”文化比较完整的地方，誉为“苗族民族文化艺术馆”。1982年被列为省级旅游区，1987年又列为东线民族风情旅游区，1992年被列为省级历史文化名城镇保护单位；2004年被列为全省首期村镇保护和建设项目5个重点民族村镇之一；2005年西江千户苗寨吊脚楼被列入首批国家级非物质文化遗产名录

遭遇kav32.exe,scvhost.exe,NXD.exe,extext74296t.exe等1

endurer 原创

2009-11-10 第1版

　　昨天一位同事的电脑中了病毒，瑞星监控小伞图标消失；点击开始菜单中的程序项无法运行程序；无法运行WinRAR，提示文件被另外一个程序使用；无法关机……请偶帮忙检修~

　　使用 pe_xscan 扫描log 并分析，发现如下可疑项（进程模块部分有省略）：

 pe_xscan 09-10-13 by Purple Endurer

 2009-11-9 10:3:40

 Windows XP Service Pack 3(5.1.2600)

 MSIE:6.0.2900.5512

 管理员用户组

　　从pe_xscan 的 log 上看，病毒程序下载安装了许多恶意程序，并且其中一些放在IE及Tencent程序文件夹中，鱼目混珠。如：

 
文件说明符 : C:\Program Files\Internet Explorer\Top.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:20
修改时间 : 2009-9-22 16:26:22
大小 : 66141 字节 64.605 KB
MD5 : bf779e4ff8c6cd87355bd125aa4e5d49
SHA1: 8DF4753C33E9378607553651284C30F1907AF256
CRC32: f6b508f3

 

卡巴斯基 报为：Trojan-PSW.Win32.QQPass.msc，瑞星 报为：Trojan.PSW.Win32.QQPass.eri
 
文件说明符 : C:\PROGRA~1\INTERN~1\PLUGINS\IEPLUG.Dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:36

　　昨天又一个同事的电脑出了毛病表现为：进入桌面后卡巴斯基2010自动消失，电脑卡死，没有打开IE浏览器和QQ，但在任务管理器中发现名为iexplore.exe和TXPlatform.exe的进程，不久蓝屏，提示是AntiVirus.sys引起的。

　　询问同事得知，因为嫌卡巴斯基2010影响了电脑响应速度，把卡巴斯基关了。然后电脑就出现了这些症状。明显是中标了。

　　用最新版本的 pe_xscan 扫描log并分析，发现如下可疑项(进程模块部分有省略)：

 pe_xscan 09-10-13 by Purple Endurer

 2009-10-14 13:2:55 

 Windows XP Service

登录Windows后自动注销，原来中了pcidump.sys,scvhost.exe,SoundxVolumns.dll,kav32.exe等

　　今天上午，一位同事的电脑出现登录Windows后自动注销的故障，用 WinPE 检查发现c:\windows\system32\userinit.exe丢失，从其它电脑中复制了一个userinit.exe过来，电脑恢复正常。

　　下午这台电脑又出现了问题：QQ可以正常登录，但打不开网页。

　　检查IE加载项，发现下面pe_xscan扫描log中的O2项，将它们禁用后可以打开网页了，但主页被恶意修改为：hxxp://www.9348.cn/?205471

　　使用电脑中原有的 pe_xscan 扫描log 并分析，发现如下可疑项（进程模块部分有省略）：

 

 pe_xscan 09-06-21 by Purple Endurer 

 2009-10-12 15:50:21

 Windows XP Service Pack 3(5.1.2600) 

 MSIE

　　一位网友在国庆那天，为了在网上看阅兵式，从网上下载安装了一个软件，不料IE主页被劫持为hxxp://www.hao923.com.cn/，用超级巡警无法修复，请偶帮忙检修。

　　右击网友电脑桌面上的IE图标，发现弹出的是网址快捷方式的快捷菜单，看来那个软件把桌面原有的IE图标换成了指向的hxxp://www.hao923.com.cn/的快捷方式，开始菜单中的Internet Explorer菜单项也被换了，全部删除。

　　快速启动项中的IE快捷方式也被篡改为：

'C:\Program Files\Internet Explorer\iexplore.exe' hxxp://www.hao923.com.cn/

　　改回为：

'C:\Program Files\Internet Explorer\iexplore.exe'
 
　　用电脑中的HijackThis扫描log，发现如下可疑项：

O4 - HKLM\..\Run: [0CE164] C:\WINDOWS\system32\827828\0CE164.EXE
O4 - Startup: 0CE164.lnk = C:\WINDOWS\system32\827828\0CE164.EXE

　　用FileInfo提取C:\WINDOWS\system32\827828\0CE164.EXE文件信息，用bat_do打包备份后删除。

　　在HijackThis把这两个O4项钩上，修复。

　　打开

endurer 原创

2009-08-29 第1版

　　前两天，一位网友的电脑中了病毒，瑞星和360卫士都无法启动，请偶通过QQ远程协助帮忙检修。

　　先打开任务管理器，发现有名为iexplore.exe的进程，但任务栏上没没有IE的任务按钮，终止之。

　　用pe_xscan 扫描 log 并分析，发现如下可疑项（进程模块有省略）：

 pe_xscan 09-06-21 by Purple Endurer 

 2009-8-27 23:36:58 

 Windows XP Service Pack 2(5.1.2600) 

 MSIE:6.0.2900.2180 

 管理员用户组 

 正常模式 

 [System Process] * 0 

 　　 C:\WINDOWS\system32\2EF0D734.dll | 2009-8-27 23:22:26 

 　　 C:\WINDOWS\system32\Y4npJWJNr.dll | 2009-8-27 23:22:50 

 　　 C:\WINDOWS\system32\704C3595.dll 

学习机罢工？原来是中了文件夹变exe文件的病毒Trojan-Dropper.Win32.Flystud.yo

endurer 原创
2009-08-23 第1版

　　一位朋友的学习机最近罢工了，把学习机接到电脑上，电脑中的江民杀毒软件就报告发现病毒，但总清除不干净。于是请偶通过QQ远程协助帮忙处理。

　　学习机接到电脑上后显示为一个移动盘。用WinRAR打开它，发现一个名为autorun.inf的文件，江民随即报告发现病毒，并把autorun.inf删除了。在WinRAR窗口可以看到，移动盘中所有的文件夹都有一个同名的、使用文件夹图标的.exe文件，文件大小都一样。

　　用FileInfo提取文件信息：

2009年8月9日

　　今天上午，我们乘旅游公司安排的桑塔纳前往贡嘎国际机场乘飞机离开西藏。

　　前面已经在 新西游取经记 8.A 中说过，昨晚半夜、今天临晨拉萨下了雪，远近山头银装素裹，别有一番风景。司机是四川人，比较能侃。据他说，在高原呆久了，容易出高原病，所以他们一般隔几个月就回四川住一段时间调节一下。看来做藏漂也不容易呀。

　　到机场了。前几天我们到这儿时初来乍到，如今再临却要挥手道别了。

新西游取经记 9.C — 大昭寺磕头 八廓街转经

2009年8月8日

　　明天就要离开西藏了，我们再次来到大昭寺。

　　大昭寺还是那个大昭寺，八廓街还是那八廓街，但我们已经不是几天前的我们了，因为这几天在藏区的经历，让我们对藏族同胞、藏传佛教有了更深的认识，对这些礼佛的藏民有了更多的敬意……

　　在藏地寺院