终于发完了，我的电脑还有一个问题就是开机的时候提示boot.ini非法

如何修复还请版主指点！

这个Rootkit插入进程还挺明显，得用IceSword了，甚至SSM。要我搞得累死，等不言的解决办法

【回复“体会孤独”的帖子】

结束C:\winnt\System32\NTdhcp.exe进程

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

开始－－运行
输入regedit
确定
进入注册表
删除如下几项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ScanRegistry><C:\Program Files\Common Files\update\update.exe>

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<NIW><C:\winnt\NIW.exe>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<NTdhcp><C:\winnt\System32\NTdhcp.exe>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<iDuba Personal FireWall><; >

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Kavrun><; >

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<WinAutoUp><C:\WINNT\AutoUp.exe>

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

开始－－控制面板－－性能和维护－－管理工具－－服务
禁用如下服务：
[Gray_Pigeon_Server / GrayPigeonServer]
[NT LM Security Support Provide / NtlmSspp]
[Universal Disk Manager / Universal Disk Manager]


开始－－运行
输入regedit
确定
进入注册表
展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
找到后删除如下文件夹：
GrayPigeonServer文件夹
NtlmSspp文件夹
Universal Disk Manager文件

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

删除
C:\Program Files\Common Files\update\
C:\Program Files\Common Files\COMM\
C:\winnt\NIW.exe
C:\winnt\System32\NTdhcp.exe
C:\WINNT\AutoUp.exe
C:\winnt\autoc.exe
C:\winnt\lsasss.exe

若能找到如下文件
同样删除之
C:\winnt\autoc.dll
C:\winnt\autockey.dll
C:\winnt\autoc_hook.dll
C:\winnt\lsasss.dll
C:\winnt\lsassskey.dll
C:\winnt\lsasss_hook.dll

＝＝＝＝＝＝＝＝＝＝＝＝＝

C:\winnt\System32\NTdhcp.exe是QQ大盗
会屏蔽瑞星杀软监控

请参考
http://forum.ikaka.com/topic.asp?board=28&artid=7866296
修改或重置一下瑞星的相关键值

＝＝＝＝＝＝＝＝＝＝＝＝＝

ttp://www.syssafety.com/
下载安装SSM(支持中文)
在SSM中添加规则
禁止C:\winnt\TEMP\a4bxosco.dll加载

并将SSM设置为“自动加载”

重启后删除
C:\winnt\TEMP\a4bxosco.dll
以及C:\winnt\TEMP\下的所有文件

提示：
SSM的使用方法参考http://forum.ikaka.com/topic.asp?board=28&artid=7990675

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载后打开IceSword
在主界面点击左窗口中的“SSDT”按纽
删除对应的sys文件（切记不要误删）

提示：若不能判定某个sys文件是否是可疑文件
建议用百度或GOOGLE搜索一下该sys文件的详细资料
再决定是否删除

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

【提示】
若正常模式下无法解决
建议进入安全模式下操作

【小常识】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击－－工具－－文件夹选项－－查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件（推荐）”前的勾去掉
然后再进行查找一下

或利用KILLBOX来删除
KILLBOX下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考：
http://www.xfilt.com/tech/trojan-horse.htm

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

建议按照上述步骤操作

引用:

【轩辕小聪的贴子】这个Rootkit插入进程还挺明显，得用IceSword了，甚至SSM。要我搞得累死，等不言的解决办法 ...........................

呵呵，果然。

晕。。。

大家都来帮我一下啊！！！不要只看看就走啊！！！

总有解决的办法吧。对你们的帮助我万分感谢！！！

【回复“体会孤独”的帖子】
不言不是已经说了详细的方法了吗？照做就是了。

引用:

【轩辕小聪的贴子】 呵呵，果然。 ...........................

两个QQ木马－－都是盗QQ密码的

两个灰鸽子－－个人认为

一个rootkit

晕倒~是我的话就看了也不会~
太恐怖了~

引用:

【不言放弃的贴子】 两个QQ木马－－都是盗QQ密码的 两个灰鸽子－－个人认为 一个rootkit ...........................

又一个百科全书！

C:\winnt\System32\NTdhcp.exe进程

我在任务管理器里结束不了这个进程，请问还有没有什么办法结束？