最近把本子借个别人用，回来果不其然的发现中毒了而且还是最近花样比较翻新的Win32.Troj.Agent木马。这个木马的特点就是没有进程，而且会篡改注册表阻止用户查看隐藏文件和系统文件来查杀它。

特征：又是一个利用自动运行的病毒。会在U盘中生成sysinfoX.dll和autorun.inf两个文件（X为任意一个数字）。用任务管理器查看不会有可疑进程。

病毒机理：在%systemroot%/system32下生成sysinfo.dll并插入explorer.exe和winlogon.exe进程中实现在安全模式下的加载。并且在所有盘符下生成sysinfoX.dll和autorun.inf两个文件（X为任意一个数字）。不断创建HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子项和子键，HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子键，实现浏览器劫持，不断地将HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的ShowSuperHidden的值设为4，使得用户不能查看隐藏文件。

清除方法：只要删除木马文件sysinfo.dll就可以实现清除。单因为病毒在安全模式下都会加载所以在感染系统的查毒已经不可能。这时我们需要准备一个能引导系统并且能访问NTFS分区的工具（我用的是winPE）来引导系统。然后进入已感染系统的%systemroot%/system32下搜索并删除sysinfo.dll，然后重启。接着删除上面注册表中的所有键值。并用右键打开磁盘并手工删除所有盘符下的sysinfoX.dll和autorun.inf文件（注意：此时不可双击打开磁盘）。重启，大功告成！