剛剛用google搜尋了一下，有人用HijackThis掃描=>
O20 - AppInit_DLLs: apihookdll.dll

-----------------------------------------------------
從大陸網站抓的介紹 =>
O20 - AppInit_DLLs Registry value autorun

O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。

相關註冊表鍵為
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

鍵值為AppInit_DLLs

此處用來在用戶登錄時加載.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建議

僅有極少的合法軟件使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。

4. 疑難解析

有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位數據」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在文件名的開頭添加了一個`|`來使自己難被發覺。

請教一下!那我該如何處理呢?

執行regedit.exe
尋找HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
裡頭有一項AppInit_DLLs: apihookdll.dll
如果你很確定他是壞東西，你就宰了他，不放心的話，搜尋"apihookdll.dll"，看有沒有落網之魚..

接著重開機後，應該可以刪除system32底下的apihookdll.dll了..

Norton的網頁有提到
http://securityresponse.symantec.co...ker.trojan.html
1. Disabling System Restore (Windows Me/XP)
2. Updating the virus definitions

3. Scanning for and deleting the infected files
Start your Symantec antivirus program and make sure that it is configured to scan all the files.
For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
Run a full system scan.
If any files are detected as infected with PWS.Hooker.Trojan, click Delete

4. Deleting the value from the registry
Click Start, and then click Run. (The Run dialog box appears.)
Type regedit
Then click OK. (The Registry Editor opens.)
Navigate to the key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
In the right pane, delete the following value:
"kernel32"="C:\%System%\kern32.exe"
Click Registry, and click Exit.

經查詢趨勢網站:
WORM_BUGBEAR.A
別名: BUGBEAR.E, PWS.Hooker.Trojan , PWS-Hooker.dll, W32/Bugbear@MM, I-Worm.Tanatos, W32.Bugbear@mm, Win32.Bugbear, BugBear.A@mm, Win32/Bugbear.A@mm, Worm/BugBear.1, W32.Bugbear.E@mm
病毒種類: 蠕蟲
具破壞性: 會
可偵測之最新病毒碼: 1.354.37
可偵測之最新掃瞄引擎: 5.200
風險程度: 中度
------------------------------------------------------------------------
說明:
這多重特性的蠕蟲經由網路分享和電子郵件傳播. 它使用它自己的 SMTP (Simple Mail Transfer Protocol) 複製傳送它自己. 它終止防毒軟體, 扮演像後門伺服器運作, 和傳送系統密碼.

這蠕蟲在目標系統開啟 36794 連接埠. 它允許遠端使用者經由這連接埠獲得訊息, 對檔案動手腳和執行程式.

這電子郵件送出內容沒有訊息和使用像下列一樣地為它的主旨:

它偽裝寄件者發送電子郵件同時可能夾帶下列副檔名的附加檔案:

結合的字串: setup, card, docs, news, Image, images, pics, resume, photo, video, music, song data 與下列任一種的副檔名 SCR, PIF or EXE.
現有的系統檔案連接少許的副檔名 SCR, PIF 或 EXE
已知這蠕蟲行為利用 Internet Explorer 5.01 和 5.5預覽執行, 當電子郵件預覽或開啟於 Microsoft Outlook 和 Outlook Express自動執行附加檔案.

解決方案:

自動清除步驟

下載並執行 Trend Micro System Cleaner Package.
趨勢科技建議使用前請先閱讀說明檔, readme_sysclean.txt, 內容有說明和使用方法.
NOTE: 為了有效使用TSC套件, 執行前必須先下載 最新病毒碼 存放於相同目錄下.

(B)手動清除步驟

Identifying the Malware Program

從系統中完整移除這惡性病毒, 必須識別在記憶體中執行的惡性病毒程式的檔案名稱. 一但確認, 就能終止和移除.

使用趨勢防毒軟體掃描系統和 紀錄 已被感染 WORM_BUGBEAR.A 病毒的檔案名稱. 趨勢科技用戶下載最新病毒碼和掃描系統. 其它電子郵件使用者可以使用 HouseCall, 趨勢科技提供的線上掃毒.

Terminating the Malware Program

這程序終止惡性病毒執行於記憶體. 您將需要先前偵測到的名稱和檔案.

開啟工作管理員.
在 Windows 9x/ME 系統, 按
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系統, 按
CTRL+SHIFT+ESC, 點選處理程序.
在處理程序清單中, 確認先前的惡性病毒檔案或被偵測到的檔案.
選擇一個被偵測到的檔案, 再點選結束處理程序或結束工作按鍵.
對處理程序清單中所有被偵測到的惡性病毒檔做相同動作.
檢查惡性病毒程式已被終止, 關閉工作管理員, 和再次開啟工作管理員確認.
關閉工作管理員.
*NOTE: 在執行 Windows 9x/ME 系統上, 工作管理員可能無法顯示某些處理程序. 您可以使用其他瀏覽程序工具來終止惡性病毒處理程序

Running Trend Micro Antivirus

使用趨勢防毒軟體掃描系統當偵測到檔案感染 WORM_BUGBEAR.A 病毒請將刪除. 趨勢科技用戶下載最新病毒碼和掃描系統. 其它電子郵件使用者可以使用 HouseCall, 趨勢科技提供的線上掃毒.

Applying Patches

已知這惡性病毒行為利用Internet Explorer漏洞. 請下載與安裝修正檔
趨勢科技為企業及個人電腦提供best-of-breed 防毒及資訊安全解決方案.
其他相關資料請參見 技術細節.

剛剛我朋友就是中這種病毒 既然殺不掉 就換另一套的防毒軟體比較好

你使用norton無法清除的原因是,因為這個病毒已經在執行了,執行中的程式是無法清除病毒的,所以必須先中止病毒程式的執行,才能清除病毒.

任何一種防毒軟体都會遇到殺不掉的病毒,因為正在執行的病毒程式是無法殺掉的,如果因為遇到殺不掉的病毒就要換防毒軟体,那我可以告訴你,你換不完的.因為可以偵測到,並不代表可以清除.不信你可以上網到你使用的防毒軟体公司看看就可以知道了.所以都是叫你隔離或刪除.

這東西用HijackThis跑一下，應該可以找出來..