文件名称：server.exe

　　文件大小：35519 bytes

　　AV命名：Trojan.Win32.Agent.atk （卡吧斯基）

　　加壳方式：未

　　编写语言：Microsoft Visual C++ 6.0

　　病毒类型：后门

　　文件MD5：47bfcace635b88a45ddaa7c022dc0de9

　　文件SHA1：341fce32564b8e940b89ee24a489892c0355d8ff

　　行为分析：

　　1、释放病毒文件：

　　%Systemroot%\system32\drivers\sysproxyed.sys

　　%Systemroot%\system32\sysproxyed.dll

　　2、sysproxyed.dll 注册为系统服务。

　　参数为：%Systemroot%\\system32\svchost.exe -k sysproxyed，开机则由svchost.exe加载注入。

　　3、记录键盘操作，保存为%Systemroot%\system32\sysproxyed.drv。

　　4、每隔一段时间连接222.95.53.1**（江苏省南京市 (玄武区)电信ADSL）。

　　并发送sysproxyed.drv。

　　5、通过系统服务修改SSDT，使Ntquerydirectoryfile指向sysproxyed.dll ，实现R0的Hook。

　　6、Ntquerydirectoryfile则在枚举硬盘文件时，始终漏过：

　　sysproxyed.dll、sysproxyed.drv、sysproxyed.sys信息。（返回失败）

　　系统表现为无法发现或不能对以上文件进行操作。居于R3的进程管理器更是如此。

　　解决方法一（推荐）：

　　down.45its.com下载IceSword120_cn.zip(以下简称冰刃)

　　1、关闭一切不需要的进程，断开网络。

　　2、打开冰刃，设置为禁止线程创建。

　　3、“文件”选项，删除：

　　%Systemroot%\system32\drivers\sysproxyed.sys

　　%Systemroot%\system32\sysproxyed.dll

　　%Systemroot%\system32\sysproxyed.drv

　　后转向冰刃“注册表”功能，删除：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的

　　sysproxyed整个键，不要看错啊

　　4、设置冰刃，重启并监视，确定。

　　5、重启后记住一定要修改QQ、邮箱、网游等帐号！

　　解决方法二：

　　下载SYSCHECK（可到down.45its.com下载）

　　1、打开SYSCHECK，打开SSDT，回存Ntquerydirectoryfile。

　　2、并使用SYSCHECK删除sysproxyed服务。

　　3、重启，重启后删除文件：

　　%Systemroot%\system32\drivers\sysproxyed.sys

　　%Systemroot%\system32\sysproxyed.dll

　　%Systemroot%\system32\sysproxyed.drv

　　解决方法三：

　　下载PAVARK（熊猫反RK工具），或者其他的反Rootkit工具。

　　用法很简单，扫描后全选，删除就可以了~~~

　　PS：今天硬是它耗了一早上，终于赢了，HOHO~~~

　　此类非法修改SSDT比较头疼，应即使升级杀软并开好杀软监控。

　　预防比事后处理来的好~~

　　另外有病毒带有Rookit名称的，病毒重启反复清除无效。

　　建议使用专业的反Rootkit工具或者使用杀软光盘进行DOS杀毒``=。=