~~.exe病毒修改mmc.exe的解决方法

~~.exe病毒修改了MMC.EXE文件，如果贸然用正常的系统文件替换，就会造成系统崩溃。
由于sigverif工具无法正确验证数字签名（主要是那个mmc.exe,而user32.dll可以验证，gpedit.msc不肯验证），procmon在监控没完成的情况下退出，所以没能观察到系统文件的文化。后来看了baohe和花谢花飞飞满天的分析，受到启发。事先分别用sreng2检查了系统文件夹的文件签名，用a8a9备份了windows下的可执行文件的MD5，system32下的dll和exe文件的MD5，drivers目录下的sys文件的MD5。
运行病毒后没作任何操作便重启，以尽量接近中毒情况。
重启后用sreng2扫了个报告（见附件），日志处理方案见附件（经cchao21提醒，漏掉一个，更新了。谢谢21）。
用a8a9检查先前文件的MD5变化，结果发现winhlp32.exe和user32.dll两个文件MD5值有变化，MMC因正在运行，无法检查。其它文件未见变化（系统中不同位置的两个beep.sys虽然被病毒修改，但MD5没变，只是修改时间变了，这个问题在BAOHE的帖子后我作了说明。而gpedit.msc文件未改动－－MD5值没变）。
于是先替换winhlp32.exe和user32.dll文件，然后用xdelbox处理日志中出现的病毒文件。重启系统未见异常。至于mmc.exe和其它非活动状态病毒文件我就不用处理了（我是在虚拟机中运行病毒的）。

关键文件：user32.dll！！！！！！！！（和花儿的观察有点不同，userinit.exe未被感染，可能环境有所不同）。

疑问：
1、有点奇怪：sreng2怎么没能反映user32.dll 这个文件的异常？
2、c:\windows\system32\drivers\msiffei.sys这个文件无论在windows下用冰刃看，还是用xd删除时都未发现？
3、beep.sys的“修改时间”变了，但MD5没变，这是为何？