第一种.网络上说得最多的.

需要一个工具来清除Rootkit Unhooker
主要有以下病毒文件:

systemroot\system32\NTDLL32.DLL
systemroot\system32\IEhelper.dll
systemroot\system32\IEShell32.dll
systemroot\system32\internet.exe
[color=Red]systemroot\system32\drivers\mspcidrv.sys[/color]


按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,

进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，
将mspcidrv.sys所挂钩的服务移出，之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，
分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了，当然你还可以进入x： windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
-------------------------------------------------------------
不知道是RP还是机子的问题.我在安全模式下.工具打不开.
所以我用这方法.失败了.
由于汉化很不稳定.我打开失败过几次.我这里有 Rootkit Unhooker 英文的使用方法.

“SSDT Hooks Detector/Restorer”——找到“mspcidrv.sys”这项——点“unhook All” 
“Hidden Processes Detector"——把出来的进程全部结束掉； 


===============================================================

第二种.个人研究.

我从病毒未加载前着手.
先试着用 AUTOEXEC.BAT文件来删除病毒文件...

systemroot\system32\NTDLL32.DLL
systemroot\system32\IEhelper.dll
systemroot\system32\IEShell32.dll
systemroot\system32\internet.exe
systemroot\system32\drivers\mspcidrv.sys

可能也是RP或者机子问题....还是不行.

后来我试着进DOS下删除.
居然完全可行..
瑞星的监控:
Rootkit.Agent.sd (mspcidrv.sys) 删除成功 文件监控
C:\windows\system32\drivers    mspcidrv.txt

NTDLL32.DLL是靠 mspcidrv.sys驱动来加载的..
 mspcidrv.sys文件能搞定其他的不成问题了.

还是弄不懂的朋友可以问问会装机的朋友
或者发邮件 c0012@126.com(嘿嘿,我一般不上邮箱!  O_O )

图片：http://img.photo.163.com/LFxUsSLhbO2OHpisqfYOpg==/167477611145947053.jpg