背景信息：
　　死性不改系统包内很久以前变增加了一个EZopt工具，主要功能是清理垃圾注册表、垃圾文件、自动搜索开机脚本、禁用无盘无用硬件、启动TTVNC远程，方便客户机键盘鼠标不好用时远程做系统。
　　当程序发现客户机为超级用户时，便会显示EZopt界面，并启动TTVNC，正常的TTVNC验证码格式为计算机名-外网IP地址；当EZopt工具无法获得客户机外网IP时，会将TTVNC验证码设置为www.ttvnc.com，但这种机率比较低；
不明程序运行的可能性推理（因未复现问题，只能推理了）
　　1、客户机开超级；
　　2、EZOPT启动并且未能获取到外网IP，此时EZOPT界面显示验证码是：PC0000-255.255.255.255，但将TTVNC验证码实际设变成了www.ttvnc.com，这并非EZOPT功能，怀疑是TTVNC自己的验证码重置功能导致的；
　　3、有人实时恶意扫描ttvnc的常见验证码，如12345689等等，包括www.ttvnc.com也是弱验证码，假如你随便找台机器把ttvnc验证码设置为www.ttvnc.com，你可能会有机会看到ttvnc被连入的效果，但未必会多出系统文件进程，这也是有一定机率才会出现的，并非100%；
　　4、一旦扫描到并连通，程序投放者可能通过ttvnc2.2版本的后台漏洞，向连接成功的被控端指定目录推送文件，或者执行command命令使程序运行；
　　5、程序运行后，安装ServiceName的服务，并实现后续其它恶意功能；


根据866286提供的信息来看：
　　1、vbs下载的文件是领跑增值业务客户端；

　　2、vbs连接的域名信息如下：

综上所述：
　　问题核心仍在于ttvnc2.2版本的可靠性，同时被黑的概率也非常低，所以大家也无需过分担心，本站建议如下：
　　1、从今以后尽量不要再使用ttvnc，即便使用，验证码已经要相对复杂，切勿使用纯数字，纯字母等简单验证码，免得被黑；
　　2、从16Q3将正式撤下EZOPT工具以及其附带的ttvnc程序；

应对方法：
　　对于系统服务中，已经存在ServiceName的情况，可手工将该服务以及对应文件删除，并清理未知的开机启动项；
　　对于系统服务中，没有ServiceName的情况说明并无问题，因此无需过度担心，可直接挂盘删除C:\WINDOWS\EZOPT内的ttserver.exe即可；