瑞星卡卡安全论坛

回版主的话：
局域网内只有服务器的情况下，
我重做系统2003，开机后安装360安全卫士，
然后提示有加载项。360报的加载项是无毒的，
我点确认。然后查杀病毒为无·就是那时候没毒。
过了30分钟后，再用360查实·就出现2个病毒
c:\windows\system\serivcers.exe
C:\WINDOWS\SYSTEM32\FF.EXE

日志文件以附件形式发来

好的，回复里面好像没有发附件的那一项·
那我就重新发个贴吧，谢谢各位大哥，帮忙了。

过了30分钟后，再用360查实·就出现2个病毒

那么这期间，没有任何其他电脑开机？？

那你的网络是什么宽带？？是局域网形式的连到你自己那的宽带？？还是个人拨号的宽带？？

重装系统后，使用过其他盘或者自己保存的以前的文件或程序么？？

serivcers.exe病毒查询日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; 360SE)

附件: SREngLOG.log

点击我这贴右下角的“引用”,然后就应该知道怎么发了。:kaka6:

没有·一直使用服务器。
我的网络是家用光纤，以一台D-LINK 504 连接的
重做系统后，什么也没动，
我的服务器是给店面开单用的。我也也只是用远程桌面查杀。

病毒日志

附件: SREngLOG.log

这些项目是些什么呢？？
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <GKylin><C:\Program Files\gnway\ddns\gnwayDDNS.exe>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <Q828026><"C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP>  [(Verified)Microsoft Windows Publisher]

==================================
服务
[gnwayDDNS / gnwayDDNS][Running/Auto Start]
  <C:\Program Files\gnway\ddns\gnsrv.exe><N/A>

==================================
正在运行的进程
[PID: 1864 / SYSTEM][C:\Program Files\gnway\ddns\gnsrv.exe]  [N/A, ]
[PID: 1880 / SYSTEM][C:\Program Files\gnway\ddns\gnwayDDNS.exe]  [N/A, ]
    [C:\Program Files\gnway\ddns\interface.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\actskn43.ocx]  [, 4, 3, 0, 0]
[PID: 2980 / Administrator][C:\Program Files\gnway\ddns\gnwayDDNS.exe]  [N/A, ]
    [C:\Program Files\gnway\ddns\interface.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\actskn43.ocx]  [, 4, 3, 0, 0]

冰刃哪需要开机自启动哟？？
==================================
启动文件夹
[冰刃杀毒]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\冰刃杀毒.lnk --> G:\冰刃IC~1.22\ICESWO~1\IceSword.exe []><N>

注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <GKylin><C:\Program Files\gnway\ddns\gnwayDDNS.exe>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <Q828026><"C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP>  [(Verified)Microsoft Windows Publisher]



第一个是金万维的域名

不好意思大哥·我是个菜鸟

gnwayDDNS.exe

就是金万维的外网IP域名

只是用远程桌面查杀。 :kaka2:

你怎么个远程？？通过外网远程的？？

还是就本本和服务器两台电脑通过路由器在内网互相远程？？？

我通过外网·用远程桌面·查杀的

本本今天一天没用

你这样，断离光纤网络

然后全格，重装系统，将本本和服务器都连入路由器

在不连入外网光纤的情况下

在自己的网内观察看情况如何

我怀疑来之于网络外部。你自己都能通过外网远程自己的服务器了

那么别人远程折腾你的服务器也超简单了

在无毒的情况下，更换你的IP地址试试

你那路由器关闭一次，重新开机，获得的IP地址会更新么？？

我可以用远程桌面查杀，然后重启服务器，
设置服务器自动登录的密码，她就可以自己进到桌面了

那没用

你都可以远程连接那服务器了

别人也可以去折腾的。

自己去那服务器面前，照我说的做试试。

路由会更新IP的

好的谢谢

对了，我好奇呢

你现在人在哪呢？？在服务器面前？？？

还是远程搁那搞呢？？

因为你的服务器系统日志都来了

日志里没看到你说的那些东西存在哟

去那目录内创建那两病毒文件的同名文件夹试试吧

我人力服务器很远，
用远程桌面看的`
如果日志里没有
可能是我刚刚用360 杀过，
我的疑问就是·360能把它杀了
我看系统文件目录里面也真的没有了，刷新也没出来，
过一会他是怎么出来的呢？

如果确实服务器其他盘格了，没有以前的文件存在

同时又没受另一电脑影响

那么必然是服务器被别人远程进去了

服务器其他盘没有格式化·
因为财务数据·太多·格式不了·
但是每次杀毒·查到的·其他盘里面都没有病毒·
看其他盘的隐藏目录里面也没有不认识的东西。
我怀疑这个病毒，篡改了system32里面的一些DLL

360杀了
c:\windows\system\serivcers.exe
C:\WINDOWS\SYSTEM32\FF.EXE

但可能查不到他篡改的system32里面的文件吧。
头疼·啊！

我的服务器密码是新改的，10位密码，数字+英文
目前只有我自己知道

那SRENG 日志如果是服务器的

并且你竟然确实还是继续使用其他盘文件，那么就不用说了，问题还是其他盘文件

不需要反复问了

serivcers.exe 与ff.exe实为同一病毒程序。

中此毒后，serivcers.exe之所以不能直接被瑞星粉碎，是因为serivcers.exe有进程守护功能。

我刚在XP下观察过此毒（完全关闭RIS2010所有监控，否则会被RIS2010灭掉。）
待serivcers.exe完全运行后，若直接用IceSword灭掉其进程，serivcers.exe可立即重新启动。
若先设置IceSword的禁止进程创建，再灭serivcers.exe进程————OK！
接着，删除c:\windows\system\serivcers.exe，搞掂。
注册表，清理不清理，都行。