Storm_Center

　　病毒现象：瑞星提示“进程C:\WINDOWS\SYSTEM32\DRMXP1XMGBLB.EXE触发了API类规则”；瑞星防火墙、360安全卫士不能启动；开机后弹出一个DOS窗口“c:\windows\system32\cmd.exe”；不能安装任何软件，会自动取消；不能进入安全模式。

　　防火墙提示有一个SVCHOST进程链接远程IP，根据防火墙的记录，此svchost.exe位于C:\WINDOWS\system32\oobe\2369\下，明显有问题。

　　IE主页被改成“好奥奥导航”网址，而在internet选项中主页设置为空白页仍无法修复。说明此流氓网站修改的不仅仅修改设置，一定还有其它保护措施。

　　操作系统正常模式无法进入，只能进安全模式，杀毒、清除木马未果。

　　开机跳出DOS窗口，关闭就跟着弹出错误对话框“16位MS-DOS子系统”：c:\windows\system32\ctfmon.exe NTVDM CPU遇到无效指令  CS:xxxx IP:xxxx OP:xx xx xx xx xx 选择关闭结束该程序。同时还有ntsd -d的错误程序提示窗出现。

1.删除如下文件：
c:\windows\system32\logondll.dll  (浏览器劫持类木马)
c:\windows\system32\dllcache\mravsc32.exe  (魔波病毒)
c:\windows\system32\drivers\knp60.sys

……

　　电脑发生假死，检查SREng日志，发现如下可疑项目 ……

　　这算是杀毒一周记的最后一篇了，这次杀毒的几个特征，与前几篇有相似之处，但不同的是SREng能够运行，使得保留了一份日志。……

　　真正的麻烦来临了，周二下午杀毒用了近两个小时，而周三则用了近三个小时。这次病毒比较凶，安全工具不仅不能运行，而且一运行其可执行文件就被病毒删除，很可爱的是机上装的趋势杀毒软件都活得自在，人家可没闲着，查出好多的病毒，就是不能杀掉。

  　周二下午麻烦就来了，同事说她电脑上的卡卡助手打不开。真是的，卡卡简直成了探毒器了，先倒下的怎么总是它。