今天公司有位出差人员的本本中了这个NTdll32.dll的木马
经过分析,发现在系统内有一系列文件,但直接删除不了,注册表的相关项也删不了

搜索发现,网上有文章,其中提到Rootkit Unhooker,还有到安全模式等,


需要一个工具来清除Rootkit Unhooker    
下载 Rootkit Unhooker ：http://bbs.xueol.com/dispbbs_11_374_621_1.htm
主要有以下病毒文件:
systemroot\system32\NTDLL32.DLL
systemroot\system32\IEhelper.dll
systemroot\system32\IEShell32.dll
systemroot\system32\internet.exe
systemroot\system32\drivers\mspcidrv.sys


按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,

进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，
将mspcidrv.sys所挂钩的服务移出（用rootkit unhooker工具 把mspcidrv.sys相关的unhook就可以了。），之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，
分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了，当然你还可以进入x： windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。

**********************************
按照上面的说法。我的做法，不知道彻底清除了没有，不过不跳警告框了也不跳广告网页了。机器也快了。
1.先下了个Rootkit Unhooker，安装了。
2.进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，
3.“文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，然后就会运行那个unhook程序了。会有个框框出现很多服务什么的。我下了汉化的可是拷到安装完的文件夹下也没用上。英语的界面不是太认识，然后就在右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。（注意这个不能在安全模式下做好像总出出错信息。它找不到driver）
4.重启按F8进入安全模式，把上面说的internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL这几个在注册表里查找了一下，有的好像没有。特别是iehelper没找到。有的就都给删掉了。或者是把值设置空。
5.还是在安全模式下。把前面说的文件夹下的相关文件都删除了 windows\system32\。能删哪个就删哪个吧。把 windows\system32\driver    下面的mspcidrv.sys给删除了，又新建了一个什么都没有写的这个文件。我假设它以后不会被自动覆盖，所以即使没有被彻底删除也是不能猖狂了吧。