瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 开机总有一个进程占CPU100%
非拉鐵非 - 2010-1-30 13:48:00
开机后总有一个进程占CPU100%,进程名tgftp.exe
每天开机后得先结束这个进程然后才能工作,日复一日....
唉。。。。
:kaka3:

附件: SREngLOG.log

附件: TGFTP.EXE-0BCB3EB5.rar

附件: tgftp.rar

附件: tgftp2.rar
非拉鐵非 - 2010-1-30 13:48:00
VirSCAN.org Scanned Report :
Scanned time  : 2010/02/06 18:32:08 (CST)
Scanner results: 3%的杀软(1/36)报告发现病毒
File Name      : tgftp.exe
File Size      : 207360 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 87855f4716bfa74be06eb67d572028bf
SHA1          : b9e0225120fcf2534524faa2349e6b2a231f3f91
Online report  : http://virscan.org/report/eee459fbc4f9a37e6713b91f59aa2c7c.html
Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
迈克菲        5.3.00          5883              2010-02-05  7.49  New Malware.hi
非拉鐵非 - 2010-1-30 13:48:00
VirSCAN.org Scanned Report :
Scanned time  : 2010/01/30 13:49:11 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : TGFTP.EXE-0BCB3EB5.pf
File Size      : 20742 byte
File Type      : data
MD5            : e9a5dfdea2e08fb66f6ca490dd56fe68
SHA1          : 48d20eb422a6f5067dc1880a8d6722fccb57b9f6
Online report  : http://virscan.org/report/42f0f467d569e6c6e069532202d48f1b.html
Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
非拉鐵非 - 2010-1-30 13:48:00
VirSCAN.org Scanned Report :
Scanned time  : 2010/01/30 13:51:51 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : tgftp.ini
File Size      : 207 byte
File Type      : ASCII text, with CRLF line terminators
MD5            : 12dbb01fbfa7cf9e99d8a7d2f6e2b0b9
SHA1          : 32db810177c9a990daf5ea5d8ad2ec97a0b4f0d3
Online report  : http://virscan.org/report/05aa95cc0807a83530a412fafeeb0146.html
Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
天月来了 - 2010-1-30 13:51:00
你占楼干什么??

干掉这个tgftp.exe文件呗
非拉鐵非 - 2010-1-30 13:56:00
每次开机都有,每次都得结束进程,太麻烦了

日志怎么扫描不出来这个启动项呢?
天月来了 - 2010-1-30 14:44:00
C:\WINDOWS\srvany.exe是什么东西???
非拉鐵非 - 2010-1-30 14:48:00
把它删除吗?
天月来了 - 2010-1-30 14:58:00
自己看文件属性去判断呀,我哪知道是否需要删除哟:kaka6:


要不你下载下面附件,扫描个日志看看能否扫描出什么

附件: 自定义注册表扫描.rar (2010-1-30 15:32:23, 8.42 K)
该附件被下载次数 233



估计那ftp那文件,还是被什么其他程序启动的,并不是它自身在注册表内有启动项
非拉鐵非 - 2010-1-30 15:29:00
日志已经扫描了啊
天月来了 - 2010-1-30 15:33:00
哈哈

因为工作忙

忘记添加附件了:kaka8:

再看9楼附件:kaka6:
非拉鐵非 - 2010-1-30 16:09:00
********** 日志开始 **********
[键]HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST
[值]D:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\SIMIS_HISZS\TGFTP.EXE
[类型]REG_SZ
[内容]d:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\simis_hiszs\tgftp.exe:*:enabled:tgftp
[键]HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST
[值]D:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\SIMIS_HISZS\TGFTP.EXE
[类型]REG_SZ
[内容]d:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\simis_hiszs\tgftp.exe:*:enabled:tgftp
[键]HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST
[值]D:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\SIMIS_HISZS\TGFTP.EXE
[类型]REG_SZ
[内容]d:\哈尔滨市医疗保险药店收费端\医疗保险药店收费端\simis_hiszs\tgftp.exe:*:enabled:tgftp
天月来了 - 2010-1-30 17:01:00
还需要我多说吗??

去询问那软件的开发商呗
天月来了 - 2010-1-30 17:03:00
SRENG日志内显示那软件开机自启动了嘛

==================================
启动文件夹
[NeusoftUpdate]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\NeusoftUpdate.lnk --> D:\哈尔滨~1\NEUSOF~1.0\NEUSOF~1.EXE []><N>
[哈尔滨市医疗保险药店收费端]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\哈尔滨市医疗保险药店收费端.lnk --> D:\哈尔滨~1\医疗保~1\SIMIS_~1\sihis.exe []><N>
非拉鐵非 - 2010-1-31 9:36:00
我市医保都用这个软件,这两项开机自启动是正常的,我去别人家看过,但是就是没有占100%的tgftp.exe进程,唉.....
:kaka3:
天月来了 - 2010-1-31 9:45:00
日志显示,这个tgftp.exe存在于你那宝贝软件中。

你不去询问那家软件开发商,你还能怎么办呢??

去问那家开发商,到底什么原因会导致他们的软件中的tgftp.exe开机自启动,并占内存呀。

你以为我想说什么逻辑呢???
非拉鐵非 - 2010-1-31 10:05:00
月月真厉害
等我联系东软开发,确认与软件无关后,这三个启动项怎么删除啊
天月来了 - 2010-1-31 10:07:00
不能删除呀

因为那可能是软件自身注册的,必需要的项目呀

应该还是软件异常了,才会那样:kaka6:
mopery - 2010-1-31 10:34:00
能否上传一个文件?
C:\WINDOWS\srvany.exe
非拉鐵非 - 2010-1-31 14:21:00


引用:
原帖由 mopery 于 2010-1-31 10:34:00 发表
能否上传一个文件?
C:\WINDOWS\srvany.exe


VirSCAN.org Scanned Report :
Scanned time  : 2010/01/31 14:14:24 (CST)
Scanner results: 3%的杀软(1/36)报告发现病毒
File Name      : srvany.exe
File Size      : 13312 byte
File Type      : PE32 executable for MS Windows (console) Intel 80386 32-bit
MD5            : c9b18abe9063a33e77f6be81cc8df0c5
SHA1          : 88be20fba19ce9462c471f1999410b1c2b511287
Online report  : http://virscan.org/report/927110f01387e87715d27a95a32a3437.html
Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
Dr.Web        5.0.1.12222    2010.01.31        2010-01-31  4.90  Program.SrvAny


VirSCAN.org Scanned Report :
Scanned time  : 2010/01/31 14:19:15 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : SRVANY.EXE-359D0F20.pf
File Size      : 5864 byte
File Type      : data
MD5            : 33f314e8c1081302a7f73ece0a8ad0ad
SHA1          : 1740f3f820ef4cc230b32c31db62d8bb278326ed
Online report  : http://virscan.org/report/0ef6a1dcf23c120a1b569a7195bcf77a.html
Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result

附件: srvany.rar

附件: SRVANY.EXE-359D0F20.rar
非拉鐵非 - 2010-1-31 14:43:00
昨天安装了瑞星,升级到最新版,断开网络链接,全盘查杀。
结果如下图:
每当运行医保软件的时候,瑞星监控就会弹出病毒已清除
Luke8 - 2010-1-31 15:08:00
有一种可能是这个软件在运行的时候,同时也把另1个病毒的文件启动了
过客2007 - 2010-2-5 8:04:00
阿门,MS08067,我也未知是什么原理。解决 方法是:

找到那个DLL文件,然后复制文件名,删除掉(如果已经被杀了,就忽略直接下一条方法)。

删除掉之后,创建一个文件夹,文件名称就是那个DLL文件的名称。

然后再手动清除掉瑞星没有处理的病毒文件,然后删除IE临时文件,顺便再用卡卡打上MS08067补丁。

抱歉,因为相当多的原因没有及时帮助,希望现在的方法也能帮到你。
天月来了 - 2010-2-5 8:08:00
创建一个和那同名的文件夹进行免疫还是不错的

只是网内所有电脑都需要那么免疫一下才好
非拉鐵非 - 2010-2-19 9:00:00
[TCPv6 / TCPv6][Stopped/Auto Start]
  <C:\WINDOWS\srvany.exe><N/A>

这是服务里面的一项

为啥没有微软签名呢?kill他应该没问题吧

附件: SREngLOG.log

附件: tbjtbwqx.rar

附件: srvany.rar
aaccbbdd - 2010-2-19 18:09:00
不是好鸟
干掉
1
查看完整版本: 开机总有一个进程占CPU100%
© 2000 - 2025 Rising Corp. Ltd.