Storm_Center

　　上次一例主页被改成“好奥奥”，这次又看到一例也是主页被“好奥奥”恶意网站修改。

　　所谓U盘空间被占用着、进入后却看不到文件，我认为有两种原因：一、U盘坏了，二、文件和文件夹全被病毒改隐藏属性了。

　　病毒现象：瑞星提示“进程C:\WINDOWS\SYSTEM32\DRMXP1XMGBLB.EXE触发了API类规则”；瑞星防火墙、360安全卫士不能启动；开机后弹出一个DOS窗口“c:\windows\system32\cmd.exe”；不能安装任何软件，会自动取消；不能进入安全模式。

　　防火墙提示有一个SVCHOST进程链接远程IP，根据防火墙的记录，此svchost.exe位于C:\WINDOWS\system32\oobe\2369\下，明显有问题。

　　IE主页被改成“好奥奥导航”网址，而在internet选项中主页设置为空白页仍无法修复。说明此流氓网站修改的不仅仅修改设置，一定还有其它保护措施。

　　操作系统正常模式无法进入，只能进安全模式，杀毒、清除木马未果。

　　开机跳出DOS窗口，关闭就跟着弹出错误对话框“16位MS-DOS子系统”：c:\windows\system32\ctfmon.exe NTVDM CPU遇到无效指令  CS:xxxx IP:xxxx OP:xx xx xx xx xx 选择关闭结束该程序。同时还有ntsd -d的错误程序提示窗出现。

1.删除如下文件：
c:\windows\system32\logondll.dll  (浏览器劫持类木马)
c:\windows\system32\dllcache\mravsc32.exe  (魔波病毒)
c:\windows\system32\drivers\knp60.sys

……

　　电脑发生假死，检查SREng日志，发现如下可疑项目 ……

　　这算是杀毒一周记的最后一篇了，这次杀毒的几个特征，与前几篇有相似之处，但不同的是SREng能够运行，使得保留了一份日志。……