瑞星卡卡安全论坛

前两天发现服务器有问题，没注意，今天发现服务器被入侵，上传有病毒文件，瑞星不知道怎么回事提示不处理



日志上传，在线等~！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件: SREngLOG.txt

这些项目以及对应的文件不认识

==================================
启动文件夹
[快捷方式 run.bat]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\快捷方式 run.bat.lnk --> D:\jboss\bin\run.bat [N/A]><N>

==================================
服务
[Windows Auido Serveris / AuidoServeris][Others/Auto Start]
  <C:\WINNT\system32\svchost.exe -k AuidoServeris-->%SystemRoot%\System32\wtxftm.dll><N/A>

[cfmssrerveris / cfmssrerveris][Others/Auto Start]
  <C:\WINNT\system32\svchost.exe -k cfmssrerveris-->%SystemRoot%\System32\cfmssr.dll><N/A>

[Drunsvnre / Drunsvnre][Stopped/Auto Start]
  <C:\Program Files\Drunsvnre\srvany.exe><N/A>

[Microsoft Device Manager / F795496453K][Running/Auto Start]
  <C:\WINNT\System32\svchost.exe -k Kernels-->c:\winnt\system32\f795496453k.cmd><N/A>

[fgpzqt / fgpzqt][Others/Auto Start]
  <C:\WINNT\system32\svchost.exe -k fgpzqt-->%SystemRoot%\System32\mkzmhe.dll><N/A>

[iqtuin / iqtuin][Others/Auto Start]
  <C:\WINNT\system32\svchost.exe -k iqtuin-->%SystemRoot%\System32\syqzng.dll><N/A>

[Device Manager / Irmon][Others/Auto Start]
  <C:\WINNT\sYSTeM32\SVCHOST.EXE -K NETSVCS-->C:\WINNT\system32\Irmonapi.dll><N/A>

[Portable Media Number / MediaSerial][Others/Auto Start]
  <C:\WINNT\System32\svchost.exe -k  krnlsrvc-->C:\WINNT\system32\RemltsC.dll><N/A>

[NETSVCS_0x0 / NETSVCS_0x0][Others/Auto Start]
  <C:\WINNT\SYSTEM32\SVCHOST.EXE -K NETSVCS-->C:\WINNT\system32\NETSVCS_0x0api.dll><N/A>

[qclabr / qclabr][Others/Auto Start]
  <C:\WINNT\system32\svchost.exe -k qclabr-->%SystemRoot%\System32\mxxtlx.dll><N/A>

==================================
正在运行的进程
    [c:\winnt\system32\f795496453k.cmd]  [N/A, ]
    [C:\WINNT\system32\Meezcouoc.dll]  [N/A, ]
    [C:\WINNT\TEMP\BClib\krnln.fne]  [, 1, 0, 0, 1]
    [C:\WINNT\TEMP\BClib\Exmlrpc.fne]  [N/A, ]
    [C:\WINNT\TEMP\BClib\dp1.fne]  [N/A, ]
    [C:\WINNT\System32\devenum.dll]  [, ]

<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\快捷方式 run.bat.lnk --> D:\jboss\bin\run.bat [N/A]><N>
是我们的业务程序

其他的我也不认识  是病毒吧

是什么病毒？  是不是直接删除这些文件就行了吗

自己去看实际文件呀

:kaka3:  哦 谢了  怎么检查有没有被留下后门？windows提示所需文件被替换 ，怎么查找替换了哪个文件?
谢谢

我也不知道呢

一般服务器都需要经常备份的呀:kaka6: