拿到这个sysmgr.exe，在虚拟机上，本想试试它有多厉害，结果让人失望：
共运行三次，三次它都没有成功地进入系统，也没有复制自身到system32文件夹：

第一次，在不开浏览器的情况下，运行后在进程中，但不再有动作。
这种情况下，结束此进程，就可删除

第二次，在先运行sysmgr.exe的情况下，再打开IE浏览器，TINY墙提示sysmgr.exe要修改IE的内存被禁止，IE和sysmgr.exe进程随之被TINY终止。
此时sysmgr.exe同样马上可删。

第三次，先开IE，再运行sysmgr.exe，这次是SSM提示它要修改IE进程的内存，允许了之后，sysmgr.exe成功修改IE内存后终止自身进程。
TINY墙的Track'n Reverse监控到的文件创建记录显示它创建了一个tmp文件（见图，重复试三次，每次创建的文件名稍有不同，从zco1.tmp到zco3.tmp），之后又自己删除这个文件。除此之外，也没有对硬盘文件和注册表进行其他操作。
结束IE进程，然后这个sysmgr.exe同样可以直接删除。

根据以上结果，sysmgr.exe在我的虚拟机里感染并不完全，可能原因：
1.它不是病毒的主文件，所以单凭它并不能完成感染的过程。
2.它类似于一个下载器。如果被它修改内存的IE进程运行的时间一长，可能会偷偷从网上下载真正的木马。

因此，测试可能不完全，所以暂时也不能谈“查杀”。希望baohe和其他的各位也试试，或者把那个被修改了内存的IE进程挂上网上久一点，也许会有收获。

引用:

【与时拒进的贴子】终于有结果了，我们没有TINY和SSM的用户怎么办？——英文的，设置也复杂，问一下SSM下载哪个版本？ ………………

我装TINY和SSM——是为了监控病毒感染的行为，找出其查杀方法。并不要求普通会员都装，毕竟监控起来，不时弹出提示的话（包括打开游览器时IE程序修改注册表中相应项目，都会有提示），可能会让新手无所适从。尤其是TINY墙，如果要设置起来，不熟悉系统的话，是相当麻烦的，我现在也只是在虚拟机里刚装，为了使病毒能完全感染，不敢设太多保护规则，都是先用默认的。要进一步设置，baohe是行家。

引用:

【noname123的贴子】顶上去啊~！    斑竹快快想办法啊，好多机命等着救啊~！ ………………

叫你删的那个驱动，是否已删除？如果注册表项没有办法完全删除，文件是否已删除？是否还报毒？