瑞星卡卡安全论坛

里面文件都没有    服务  启动    都关了    也就是说  电脑还是我提问题的时候的样子啊!  但是现在还是自动定时运行CMD  自动生成那些文件

你确定我说的你都做了？
新日志发上来看看

又生成了一个
ftp -s:tencent.sys
start C:\tmd.exe
start C:\tmd.exe
del tencent.sys
del %0

附件: 扫描.log (2009-2-27 23:15:09, 48.00 K)
该附件被下载次数 136

附件: 病毒.rar (2009-2-27 23:15:09, 13.32 K)
该附件被下载次数 169

刚刚又自动生成了些文件!

又进行FTP连接

..........
试试大蜘蛛吧

不行的话
我就没辙了


ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

能进安全模式扫描最好

我把病毒文件传到瑞星的邮件了    看他们怎么解决!  本来想给你的  可惜我已经手动删了!  还有    setuplp    这个也蛮多人中了    网上也没有好的解决方案!哎! 我电脑里面的毒是07年9月杀到现在还没有杀完!  不知道是什么毒! 用瑞星查不出毒!    还是我自己看些文件象病毒就删    服务项感觉不好就禁止    !

aaccbbdd      谢谢了啊!  现在虽然电脑里面有毒    但是我想应该是下栽器    有防火墙禁止连接是没有问题了吧!  扫描出来的那些东西我早就手动解决了!  就是不知道哪里有问题啊!  老是自动运行CMD  释放文件    自动FTP  下栽 病毒!

再次强调

你这情况
最好安装规则包:default3:

先看你第一个日志：
下面不认识的异常项目：
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
    <Windows Virtual Assistance><hpms2wtn.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <soft><; c:\Softsetup.exe>  [File is missing]
==================================
服务
[0S0JB5N29R / 0S0JB5N29R][Stopped/Disabled]
  <C:\WINDOWS\J9VT5CHCGGBB.exe -AW8AZKQFO><(File is missing)>

[bixdct / bixdct][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k bixdct-->%SystemRoot%\System32\dathue.dll><N/A>

[DC9952A6 / DC9952A6][Stopped/Disabled]
  <C:\WINDOWS\Fonts\A1845C9E.EXE -k><(File is missing)>

[diqgda / diqgda][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k diqgda-->%SystemRoot%\System32\vuwjoh.dll><N/A>

[COM+ Disk Manager / DiskManager][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k DiskManager-->%SystemRoot%\System32\okxhxf.dll><N/A>

[Event Protocol Service / EventService][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -k EventService-->%SystemRoot%\System32\tttwez.fsl><N/A>

[GameSrv / GameSrv][Running/Auto Start]
  <C:\Program Files\gamenet\CENTCOMM.EXE><>

[TCP/IP NetCOMS Helpen / LmHostne][Stopped/Auto Start]
  <C:\WINDOWS\system32\system.exe><(File is missing)>

[qhddcj / qhddcj][Stopped/Disabled]
  <C:\WINDOWS\system32\svchOST.Exe -kqhddcj-->%SYSTEMROOT%\SYSTEM32\mcrpjb.DLL><N/A>

[skctrp / skctrp][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k skctrp-->%SystemRoot%\System32\dxdwcl.dll><N/A>

[socr / socr][Stopped/Disabled]
  <C:\WINDOWS\system32\svchost.exe -k socr-->%SystemRoot%\System32\oymhfi.dll><N/A>

从下面进程看，竟然是两个个桌面进程，怎么了？？
==================================
正在运行的进程
[PID: 1976 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.3790.1830 (srv03_sp1_rtm.050324-1447)]

[PID: 3504 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.3790.1830 (srv03_sp1_rtm.050324-1447)]

再看你第二个日志，有些东西还在，到底是什么呢？？

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
    <Windows Virtual Assistance><hpms2wtn.exe>  [N/A]
==================================
服务
[COM+ Disk Manager / DiskManager][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k DiskManager-->%SystemRoot%\System32\okxhxf.dll><N/A>

[Event Protocol Service / EventService][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -k EventService-->%SystemRoot%\System32\tttwez.fsl><N/A>

[GameSrv / GameSrv][Running/Auto Start]
  <C:\Program Files\gamenet\CENTCOMM.EXE><>

[TCP/IP NetCOMS Helpen / LmHostne][Stopped/Auto Start]
  <C:\WINDOWS\system32\system.exe><(File is missing)>

按照你1楼提供的三个图来看

很难判断是否是感染性的病毒。

  晕  又生成这些文件了

看你第二个日志，有些东西还在，到底是什么呢？？

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
    <Windows Virtual Assistance><hpms2wtn.exe>  [N/A]
==================================
服务
[COM+ Disk Manager / DiskManager][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k DiskManager-->%SystemRoot%\System32\okxhxf.dll><N/A>

[Event Protocol Service / EventService][Stopped/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -k EventService-->%SystemRoot%\System32\tttwez.fsl><N/A>

[GameSrv / GameSrv][Running/Auto Start]
  <C:\Program Files\gamenet\CENTCOMM.EXE><>

[TCP/IP NetCOMS Helpen / LmHostne][Stopped/Auto Start]
  <C:\WINDOWS\system32\system.exe><(File is missing)>

  这个是什么类  一旦自动启动CMD.EXE    就回启动这个

            哪个是真的?还是都是真的? 
一个服务名称是server    一个是    servers

大蜘蛛杀不了？

大蜘蛛  支持2003  不 还有 怕勿报

  这是今天下午到现在的  自动启用木马下载器指向IP下载

误报？
大蜘蛛会误报
你可以修改处理方式为隔离，不是删除

但是总比这个黑客后门一直害你要好。。。。。。。。。

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒(这时才能修改设置）
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

在传病毒样本

附件: 病毒.rar (2009-2-28 17:55:34, 278.95 K)
该附件被下载次数 157

ftp.exe  cmd.exe这二个文件是系统重要文件

你删除后，系统自身的备份里会自动还原这两文件

不要删了

用瑞星的主动防御，将他俩锁定，阻止其他程序访问吧。

用解压工具WinRAR依路径打开，找绝对位置下是否有下面文件存在

C:\tmd.exe
C:\v6XXaks8.exe
C:\setuplp.exe
C:\Ky5.exe
C:\WINDOWS\tcpsvr1.exe
C:\WINDOWS\tcpsvr2.exe
C:\WINDOWS\tcpsvr3.exe

如果有，就压缩发来看

C:\tmd.exe
C:\v6XXaks8.exe
C:\setuplp.exe
C:\Ky5.exe
C:\WINDOWS\tcpsvr1.exe
C:\WINDOWS\tcpsvr2.exe
C:\WINDOWS\tcpsvr3.exe

这些文件被我手工删了  C:\tmd.exe
C:\v6XXaks8.exe  C:\setuplp.exe  这几个好象意见提交为可疑文件了  一直等瑞星那边答案\\\\\\\\!

你这样

首先进程里阻止这些程序启动

C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\cmd.exe
c:\WINDOWS\system32\wscript.exe

这些系统程序你必须阻止他们运行。

然后用下面附件扫描清理

看结果怎样

有最后的扫描的日志scan.log文件，如果提示扫描到什么，就将日志发我看

最后重启电脑，看情况如何

附件: 扫描清理.rar

能不能先安装了规则包
再看情况。。。。。。
不配合
真是没辙

http://www.namipan.com/index.php

传完给个链接地址

文件名:扫描清理.rar
下载次数:4
文件类型:application/octet-stream
文件大小: 16.12 K
上传时间:2009-2-28 19:02:13
描述:rar    日志是空的  老大

你没扫描呢

自然空的了

我说的你没细看吧？？？

只顾傻傻的猴急的看附件去了？？

那请各位老大告诉我      我怎么禁止FTP.EXE    CMD.EXE    程序运行啊    CMD.EXE 应该是运行那几个P处理的

任务管理器里终止他们的进程

如果终止不了

就我置顶工具贴下载wsyscheck工具，禁止进程创建后，去终止可能的那几个程序的进程

如果不会操作

建议送修

因为你那是重要的服务器

服务器+单机版防火墙=找死（可能不好听）

你试试安装规则包么（安装完要重启电脑）

规则包会自动阻断病毒行为！！