Storm_Center

　　一台电脑杀毒清理完后，仍时不时弹出RUNDLL对话框，说找不到某个DLL文件(fbb.dll)，位置在c:\windows\system32下，看文件名应该是个病毒文件，应该是已经被删除掉了，所以无法找到文件。

　　以前出现此情况一般是开机时出现的，基本是被删除的病毒在启动项中的残留引起的。可是本例中，开机已经有一段时间了。专门用SREng到注册表、启动文件夹、服务驱动中翻了一下，没有发现，该清的已经全清了，连临时文件也清理了。那个RUNDLL对话框仍然在开机一段时间后出现。

第一例：IE首页被改为：http:// www .6700.cn /?u，解决方案如下：

1.删除以下文件：
c:\windows\system32\msvc.dll
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\yxwwawps.sys
...

1、删除文件(推荐删除工具：powerrmv、冰刃、xdelbox)：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys2.pif
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\z.exe

2、用SREng删除如下各项：
启动项目-启动文件夹
[sys2]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys2.pif -->  [N/A]><N>
...

　　现象：弹出广告、篡改IE主页，清除方法如下：……

1.删除以下文件：

c:\windows\system32\msosiocp.dll
c:\windows\system32\480a.exe
c:\windows\system32\soundman.exe
c:\program files\bovq\lyfa.dll
c:\windows\inf\pcidevices8.inf
c:\windows\inf\camdrvs.inf
...

　　电脑的C盘根目录下出现dat文件，文件名为随机字母数字组合，且位数长达16位。产生JS打头的EXE文件，并修改系统日期。

1.删除以下文件：(可使用xdelbox或powerrmv删除)
c:\windows\temp\2.vbs
c:\program files\eset\eexplore.exe(病毒文件混入nod32的安装目录)
c:\windows\svchost.exe
...

1.删除以下文件(可借助xdelbox或powerrmv删除文件)：
c:\program files\internet explorer\plugins\dossys08.sys
c:\windows\system32\wyrsdj.dll
c:\windows\system32\rfdswc.dll
……

　　上次一例主页被改成“好奥奥”，这次又看到一例也是主页被“好奥奥”恶意网站修改。

　　病毒现象：瑞星提示“进程C:\WINDOWS\SYSTEM32\DRMXP1XMGBLB.EXE触发了API类规则”；瑞星防火墙、360安全卫士不能启动；开机后弹出一个DOS窗口“c:\windows\system32\cmd.exe”；不能安装任何软件，会自动取消；不能进入安全模式。

　　防火墙提示有一个SVCHOST进程链接远程IP，根据防火墙的记录，此svchost.exe位于C:\WINDOWS\system32\oobe\2369\下，明显有问题。