这两个怪异的进程：severe.exe和jusodl.exe，而且是删不掉这两个进程，因为它们互相监视，就跟以前中的3721一样，而且它们监视内存中的特殊进程，比如regedit、msconfig都无法打开，就连冰刃icesword和sreng都监视，因为通过这些可以修改注册表的相关条目来禁掉它们。但是我改一下名字比如在后面加个1就可以打开了，看来它们还不想伤及无辜，真tmd有意思。但是还有个后台线程pnvifj.exe监视注册表，怕改掉run条目和Winlogon下的shell，这样它的入口就毁掉了，看来方法还是较为老套的，但我已开始是不知道这些的，因为中毒经验尚浅，后来用processnt查看explorer的快捷方式才知道它后面带了个conime.exe文件，这就是入口，这个conime.exe在system32下有一个是系统文件，但它这个位于drivers目录下，连同pnvifj.exe都是隐藏的。而且内存进程还监视folder属性修改，如果用资源管理器显示隐藏文件，它会自动再修改回去，这样你就看不到隐藏文件了。重启之后进入带命令行的安全模式，登录之后就弹出个cmd对话框，这时没有加载explorer，亦即两个进程也没有加载。这时就可以通过命令行删除上述隐藏文件了。
cd \windows\system32
del /a:h severe.exe    
del /a:h jusodl.exe
cd drivers
del /a:h pnvifj.exe   
del /a:h conime.exe

然后编辑一个reg文件，修改HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell条目，保存为111.reg（内容如下）后用reg命令导入：reg import 111.reg。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon]
"Shell"="c:\WINDOWS\explorer.exe"

这样再输入shutdown -r -t 0 立刻重启，不出意外的话就应该可以了。

目前还没有相应的专杀工具出来，大家可以试试。