启动时出现的问题：BOOT非法，正在从C盘启动

慕谨竹子

如上，每次都会在驱动器里产生一个“BOOTEX”文档，删了下次会重新出现，请问是什么原因？问题大不大？

易安居士

去安全模式下杀杀毒试试,有可能是自复制的一些代码!

慕谨竹子

试了，没有用的！BOOT.INI非法！

异想天开

有以下两种可能：
1、当系统遭遇非法关机时，Windows会在下次启动时自动进行磁盘扫描，并在磁盘扫描日志文件中写入扫描结果。对Windows 98来说，系统会将磁盘扫描日志保存在C盘根目录下的“SCANDISK.LOG”文件中，用记事本打开该文件，就能直接看到日志记录;而对于Windows XP，它会先输出扫描记录到一个名为Bootex.log的文件中，该文件放在被检查磁盘的根目录下，当系统启动完毕后，系统Winlogon服务会将每个Bootex.log文件的内容转移到“应用程序事件日志”中，其事件ID为“1001”，事件源为“Winlogon”， 打开事件查看器，我们就可以看到这些日志。
说明：它包括文件系统类型、驱动器号或 GUID 及卷名称或序列号，可以帮助确定Chkdsk 检查的是哪个卷。此外还包括，Chkdsk 是因为用户的安排而运行的呢，还是因为已设置了脏字位而运行的等信息。
2、蜜蜂大盗(Win32.Troj.MiFeng70)
该木马偷窃传奇游戏的密码，并将密码发到指定的信箱。此外，它还能盗窃以下软件的密码：QQ、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ。木马运行后会将自身复制到系统目录下，文件名保持不变，在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe；在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"%VIRUSNAME%"；对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"%VIRUSNAME%" "%1"；在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG
木马运行后硬盘会狂运作，监听UDP2222端口，监视杀毒软件木马克星、瑞星。木马通过ip.loveroot.com/showip.php获得感染机器的IP信息，会到freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。
如系第二种情况，可以下载木马杀客等木马查杀软件进行查杀。
下载地址：木马杀客 5.2 绿色特别版 Build 0120