Storm_Center

　　不喜欢只有日志而没只问题描述的求助，但有新鲜的地方就想看看，其实也不是说技术有多先进，只是它找出来的东东比别人多些而已。

　　sys28.exe传到Norman上，分析结果如下，虽然报NO MALWARE(只能说Norman没查出来)，但看报告内容，明显是病毒无疑。

　　麦咖啡报c:\windows\system32\wvps.dll为特洛伊类型病毒：generic.dx，但反复删除仍然存在。检查SREng扫描日志，解决方案如下 ……

　　金山毒霸报病毒名：Win32 OR Troj OR OnlineGamesT，但无法彻底清除。检查SREng日志，有两处可疑 ……

　　首次遇到的所有文件夹被隐藏的情况是U盘病毒(所谓autrun病毒)导致的，当时有人用usbcleaner搞定，不过后来屡次出现，也说不清是具体什么病毒搞的。总之，现象是所有文件夹被设成隐藏属性，而且在文件夹属性中“隐藏”属性是灰色的、不可修改，解决方法：进入命令提示符(开始-运行-cmd)，进入要修复的硬盘分区根目录下，输入以下的命令：attrib  -h  *.*  /s/d  ，然后回车。

　　同事的电脑(因为系统是win2000，所以下面的系统目录是c:\winnt，如果是xp，就是c:\windows)启动后进不了桌面，只有一个光光的桌布显示。按ctrl+alt+del可以启动任务管理器，从任务管理器的菜单“文件”－“新建任务”－输入explorer.exe－确定，可以进入桌面。然后运行SREng扫描日志。经检查，发现下面可疑项目进行清理　……

　　www.2345.com这个网站比较可恶，一打开IE就出来，到IE的internet选项中检查主页设置，却没有问题，还是about blank。

　　两例都是杀毒软件报告virus.win32.autorun.mg，其中一个：卡巴斯基报毒，系统时间被改成2005年，隐藏文件无法正常显示，IE窗口不断弹出，机器启动变慢。……

　　现象：瑞星及其监控都不能运行（关闭瑞星的病毒还是不少的）……

　　看了几个administrator.vbs病毒的求助，发现它有点狡猾，不是一般的利用autorun.inf，还修改了文件关联。从SREng中显示的文件关联情况来看，它篡改如下文件关联：

.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
...