解决方法:
上个方法中用winrar重命名的方法 对于这个已经失效
不过我们只需在这之前再作一些工作就可以了
1.首先我们先下载Process Explorer这个软件
地址
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html
下载下来的是压缩包 直接使用右键解压到XX文件夹
尽量不要双击打开
2.然后重命名procexp.exe 运行之
双击Explorer进程
单击 Threads
找类似8位随机字母和数字组合成的dll 应该有很多个,记住名字
3.分别选中Threads中的各个dll 单击下面的suspend
直到选中每个dll时 原先那个suspend都变成了resume
不要关闭process explorer
4.接下来可以打开winrar利用我们的重命名大法了
打开WinRAR 工具 查看文件
在上面的地址栏中 进入c:\program files\common files\microsoft shared\msinfo目录
在winrar中右键点击随机8位数字的那个dll和那个dat文件 重命名
5.重启计算机
6.恢复映像劫持
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了 所以我们随便把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft
Corporation c:\windows\system32\ntsd.exe
以外的所有项目
7.此时我们就可以打开sreng了
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
8.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
9.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文
件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除c:\program files\common files\microsoft shared\msinfo下面你刚刚重命名的那两个文件(一个dll一个dat)
10.删除各个分区下面的autorun.inf和8位随机数的exe
注意:一定不要双击 也不能右键打开(因为那个autorun.inf编辑的比较巧妙,所以右键菜单无原先的auto等字样
) 所以一定用winrar删除
木马部分由于和上篇分析相同,请参考上篇分析http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html
附件:
554345200768205408.jpg 
自己写个随便叫啥名的都行啦 
