Storm_Center

　　有如下的病毒文件twain.dll、realsched.pat、soundmans.exe、1sasrv.dll、adsldps.dll、hkcmd.pat，……

　　恶意网址和恶意程序：http://diannaoqingjieji.com/diannaoqingjieji/... 　电脑清洁机（官方名称 Diannao Qingjieji），这是一个恶意的反间谍软件，通常归为灰色软件（GrayWare,Rogue Antispyware）或者广告程序（Adware）。

　　检查SREng日志，发现注册表中userinit.exe、explorer.exe都没有通过微软的验证(Verified)，怀疑被病毒替换，从进程中发现除了有C:\WINDOWS\explorer.exe这个进程外，还有C:\WINDOWS\system32\dllcache\explorer.exe，明显后者才是真正的explorer.exe，否则桌面的shell就出不来了。

　　Windows XP系统，用浏览器在打开带有杀毒软件名称或介绍、下载的网页均会自动关闭，在谷歌或百度中搜索如卡巴斯基、瑞星、金山毒霸也如此，打开卡巴的安装目录窗口也会自动关闭，而且卡巴在正常模式下会拒绝安装，msconfig与任务管理器都无法打开。

　　不喜欢只有日志而没只问题描述的求助，但有新鲜的地方就想看看，其实也不是说技术有多先进，只是它找出来的东东比别人多些而已。

　　sys28.exe传到Norman上，分析结果如下，虽然报NO MALWARE(只能说Norman没查出来)，但看报告内容，明显是病毒无疑。

　　麦咖啡报c:\windows\system32\wvps.dll为特洛伊类型病毒：generic.dx，但反复删除仍然存在。检查SREng扫描日志，解决方案如下 ……

　　金山毒霸报病毒名：Win32 OR Troj OR OnlineGamesT，但无法彻底清除。检查SREng日志，有两处可疑 ……

　　首次遇到的所有文件夹被隐藏的情况是U盘病毒(所谓autrun病毒)导致的，当时有人用usbcleaner搞定，不过后来屡次出现，也说不清是具体什么病毒搞的。总之，现象是所有文件夹被设成隐藏属性，而且在文件夹属性中“隐藏”属性是灰色的、不可修改，解决方法：进入命令提示符(开始-运行-cmd)，进入要修复的硬盘分区根目录下，输入以下的命令：attrib  -h  *.*  /s/d  ，然后回车。

　　同事的电脑(因为系统是win2000，所以下面的系统目录是c:\winnt，如果是xp，就是c:\windows)启动后进不了桌面，只有一个光光的桌布显示。按ctrl+alt+del可以启动任务管理器，从任务管理器的菜单“文件”－“新建任务”－输入explorer.exe－确定，可以进入桌面。然后运行SREng扫描日志。经检查，发现下面可疑项目进行清理　……

　　www.2345.com这个网站比较可恶，一打开IE就出来，到IE的internet选项中检查主页设置，却没有问题，还是about blank。其实它改的是注册表，位置是：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

　　两例都是杀毒软件报告virus.win32.autorun.mg，其中一个：卡巴斯基报毒，系统时间被改成2005年，隐藏文件无法正常显示，IE窗口不断弹出，机器启动变慢。……

　　现象：瑞星及其监控都不能运行（关闭瑞星的病毒还是不少的）……

　　看了几个administrator.vbs病毒的求助，发现它有点狡猾，不是一般的利用autorun.inf，还修改了文件关联。从SREng中显示的文件关联情况来看，它篡改如下文件关联：

.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
...

　　启动电脑到登录界面，还没来得及输入密码，就弹出对话框：“cmd.exe应用程序错误”，内容是0XC000142初始化失败。刚关闭这个对话框，马上又弹出一个，这回是“attrib.exe应用程序错误”，内容一样的。然后不管怎么关，这两个对话框就是不停地交替跳出，根本无法进入系统。安全模式和最后一次正确配置，也是如此。