Storm_Center

　　user.db位于QQ安装目录下的用户qq号码文件夹中，如c:\program files\tencent\QQ\123456789(QQ号)\user.db。

　　现象：弹出广告、篡改IE主页，清除方法如下：……

1.删除以下文件：

c:\windows\system32\msosiocp.dll
c:\windows\system32\480a.exe
c:\windows\system32\soundman.exe
c:\program files\bovq\lyfa.dll
c:\windows\inf\pcidevices8.inf
c:\windows\inf\camdrvs.inf
...

　　电脑的C盘根目录下出现dat文件，文件名为随机字母数字组合，且位数长达16位。产生JS打头的EXE文件，并修改系统日期。

1.删除以下文件：(可使用xdelbox或powerrmv删除)
c:\windows\temp\2.vbs
c:\program files\eset\eexplore.exe(病毒文件混入nod32的安装目录)
c:\windows\svchost.exe
...

1.删除以下文件(可借助xdelbox或powerrmv删除文件)：
c:\program files\internet explorer\plugins\dossys08.sys
c:\windows\system32\wyrsdj.dll
c:\windows\system32\rfdswc.dll
……

　　上次一例主页被改成“好奥奥”，这次又看到一例也是主页被“好奥奥”恶意网站修改。

　　所谓U盘空间被占用着、进入后却看不到文件，我认为有两种原因：一、U盘坏了，二、文件和文件夹全被病毒改隐藏属性了。

　　病毒现象：瑞星提示“进程C:\WINDOWS\SYSTEM32\DRMXP1XMGBLB.EXE触发了API类规则”；瑞星防火墙、360安全卫士不能启动；开机后弹出一个DOS窗口“c:\windows\system32\cmd.exe”；不能安装任何软件，会自动取消；不能进入安全模式。

　　防火墙提示有一个SVCHOST进程链接远程IP，根据防火墙的记录，此svchost.exe位于C:\WINDOWS\system32\oobe\2369\下，明显有问题。

　　IE主页被改成“好奥奥导航”网址，而在internet选项中主页设置为空白页仍无法修复。说明此流氓网站修改的不仅仅修改设置，一定还有其它保护措施。