瑞星卡卡安全论坛

拿到这个sysmgr.exe，在虚拟机上，本想试试它有多厉害，结果让人失望：
共运行三次，三次它都没有成功地进入系统，也没有复制自身到system32文件夹：

第一次，在不开浏览器的情况下，运行后在进程中，但不再有动作。
这种情况下，结束此进程，就可删除

第二次，在先运行sysmgr.exe的情况下，再打开IE浏览器，TINY墙提示sysmgr.exe要修改IE的内存被禁止，IE和sysmgr.exe进程随之被TINY终止。
此时sysmgr.exe同样马上可删。

第三次，先开IE，再运行sysmgr.exe，这次是SSM提示它要修改IE进程的内存，允许了之后，sysmgr.exe成功修改IE内存后终止自身进程。
TINY墙的Track'n Reverse监控到的文件创建记录显示它创建了一个tmp文件（见图，重复试三次，每次创建的文件名稍有不同，从zco1.tmp到zco3.tmp），之后又自己删除这个文件。除此之外，也没有对硬盘文件和注册表进行其他操作。
结束IE进程，然后这个sysmgr.exe同样可以直接删除。

根据以上结果，sysmgr.exe在我的虚拟机里感染并不完全，可能原因：
1.它不是病毒的主文件，所以单凭它并不能完成感染的过程。
2.它类似于一个下载器。如果被它修改内存的IE进程运行的时间一长，可能会偷偷从网上下载真正的木马。

因此，测试可能不完全，所以暂时也不能谈“查杀”。希望baohe和其他的各位也试试，或者把那个被修改了内存的IE进程挂上网上久一点，也许会有收获。

附件: 6484772006914151346.JPG

恩，小聪斑竹分析得很好
学习

个人觉得第一种它不是病毒的主文件，所以单凭它并不能完成感染的过程可能大点

学习

终于有结果了，我们没有TINY和SSM的用户怎么办？——英文的，设置也复杂，问一下SSM下载哪个版本？

引用:

【与时拒进的贴子】终于有结果了，我们没有TINY和SSM的用户怎么办？——英文的，设置也复杂，问一下SSM下载哪个版本？ ………………

我装TINY和SSM——是为了监控病毒感染的行为，找出其查杀方法。并不要求普通会员都装，毕竟监控起来，不时弹出提示的话（包括打开游览器时IE程序修改注册表中相应项目，都会有提示），可能会让新手无所适从。尤其是TINY墙，如果要设置起来，不熟悉系统的话，是相当麻烦的，我现在也只是在虚拟机里刚装，为了使病毒能完全感染，不敢设太多保护规则，都是先用默认的。要进一步设置，baohe是行家。

SSM有简体中文版本的
TINY设置真的很麻烦

那我们这些菜菜级的该怎么办啊！

引用:

【yayaxf的贴子】那我们这些菜菜级的该怎么办啊！ ………………

学吧，谢谢版主啊

是要学！
可是现在我要解决燃眉之急啊◎！
怎么办啊！

顶一下

顶上去啊~！    斑竹快快想办法啊，好多机命等着救啊~！

baohe 斑竹也说过了...

病毒的主体不是这文件...

最好能看几份SRE 看看异常项..

引用:

【noname123的贴子】顶上去啊~！    斑竹快快想办法啊，好多机命等着救啊~！ ………………

叫你删的那个驱动，是否已删除？如果注册表项没有办法完全删除，文件是否已删除？是否还报毒？

此病毒在开机后第一次启动浏览器之前，我曾试图用多种工具查找该文件，但不论在正常模式或安全模式都找不到sysmgr.exe这个文件。当然如果安装了瑞星，第一次启动浏览器之后也一样找不到这个进程，除非把瑞星卸载掉。我估计sysmgr.exe是iexplore.exe执行时所调用的某个模块生成的，生成时判断%SystemRoot%\System32\目录下有没有这个文件，如果没有就生成该文件，如果有同名文件并且是非只读的，就覆盖它。因此目前我暂时采用以下办法阻止该病毒：在%SystemRoot%\System32\目录下找一个可执行文件，如bootok.exe，将其复制并改名为sysmgr.exe，再将文件属性设置为只读，这样就不会出现烦人的瑞星拦截提示了。这样，我相信由于该病毒无法生成执行文件sysmgr.exe，应该也就没有机会感染你的电脑了。当然最终解决的办法是必须找出生成sysmgr.exe的模块，我已经初步检查过iexplore.exe启动时调用的所有模块，但没有发现可疑模块，我感到有些纳闷。由于担心卸载瑞星后惹上更大的麻烦，所以我这里无法获得sysmgr.exe文件，加之工作太忙，没有时间和精力做这件事。希望各位高手根据我提供的信息，找到彻底查杀的办法。