加载C:\WINDOWS\system32\ntdll32.dll 映像文件不存在

您好

其实这是一个木马，解决方法如下

Trojan.NetSpy.f
破坏方法：偷密码的木马

病毒运行时有以下行为：

1、将自己复制到%SYSDIR%目录下，文件名为"SVCH0ST.EXE"；释放名为ntdll32.dll的动态库到%SYSDIR%下。

2、修改注册表键值以达到运行自己的目的。被修改的键值有:
1)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices新增数据项SVCHOST = %SYSDIR%\SVCH0ST.EXE -> 实现开机运行
2)修改HKEY_CLASSES_ROOT\exefile\shell\open\command下的"默认"数据项的值为%SYSDIR%\SVCH0ST.EXE -> 实现双击任何EXE文件运行

3、键盘记录。通过消息钩子将动态库注入GUI程序，搜索"密码","用户","帐号","登录"等有敏感字符的文本框或密码框并试图获得这些文本框中的内容（包括网页中的文本框）；针对QQ，UC，MSN的按键信息的记录；将截获的信息保存到文件%SYSDIR%\wdata32.dll中。同时该木马还试图截获软键盘发出的按键信息。

4、反安全软件。动态库发现当前窗口标题有以下文字匹配出现时就会终止当前窗口相关的进程： 木马克星 噬菌体 Symantec 天网防火墙 金山 瑞星 绿鹰 江民

5、与其释放的DLL能够通讯，协调工作，并定时通过邮件发送键盘记录文件到指定邮箱。

后来做了一些处理：在安全模式下把上面几个注册表值删掉，还有把SVCHOST.EXE也删掉后，系统启动任何程序都报没有程序与之关联，我立马晕了。等待高手解决.
[ 由 kikey 在 200