ICMP：因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，如：PING
ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址。
我觉的你提问的这个问题跟你们公司的情况有误
基于ICMP的攻击一般都是攻击者伪造的 还有的就是ICMP碎片消耗系统资源
你们现在不是受到攻击也 跟你们不沾边
再又就是ICMP木马 但是不会开端口
难道你们的6000端口程序被捆绑了么~

我还是觉的怪
在路由里设置了屏蔽了ICMP进/出  
就让ICMP见鬼去了
怎么会有这样的事呢？

http://www.pconline.com.cn/pcedu/soft/lan/jywrm/10306/179145_1.html
我回去在看看ICMP隧道技术，看它是怎么回事~
你们哪个是什么程序，开个端口好玩？

隧道（Tunnel）是一种封装,即把一种协议的报文封装在另一种协议的报文中进行传输.被封装的数据包在INTERNET上传递时所经过的逻辑路径称为隧道.
隧道技术是指包括数据封装.传输和解包的全过程.
ICMP协议隧道技术是通过ICMP协议实现(即互联网控制报文协议),是IP协议的 一个主要部分,被嵌入在IP包中传输.因此,ICMP跟端口没有任何关系
WIN系统下用的比较多的是ICMPATTACH.DLL这个后门,看名字就知道是利用ICMP的了...
以DLL形式注入到任意系统进程,不开端口,本身没有进程.可怕吧
不过也不是完美的,这个后门在重启后会失效,除非用NTSERVICE之类的工具将它注册成系统服务.
对付这种ICMP隧道,根本的办法是封锁ICMP所有类型的通讯.只要封锁了这些ICMP报文类型,利用ICMP协议隧道就让它见鬼去了.
当然,封锁了这些,你也就用不了如PING.TRACERT这些命令探测网络了.看你喜欢哦
你前面说已经在远程和路由里设置,那么用一下PING命令测试就知道是不是成功了
另外,软件防火墙很难觉察的到,用硬件的比较好.毕竟还是安全重要.
另外,如果比较懂协议的,可以用SNIFFER抓包分析.
而且,这种技术大多用与攻击,从你所所的情况看来并不是这么回事呀.

还没解决吗？你们的网管不是随便在一个网吧找来的吧~
如果真被入侵了，入侵者完全可以用自己的后门工具代替
而不会用捆绑这种差劲的技术  因为大多程序捆绑后体积变大
就象fooler说的，我们应该先从系统下手
你要做的就是先断开网络
仔细检查一下系统

我也菜也~~
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
本地策略--审核策略,把一些策略开启,有用的哦
检查用户列表,主要是否被克隆ADMIN
去system32检查一下文件,按时间显示,让那些XXX文件排在前面 特别注意是DLL
进程就自己搞吧,因为DLL是注入方式的,特难缠
要不就停一下你们那个程序,看看情况在说

那么就用icesword看一下系统
不用fport、mport了
这个强!  最新版1.06吧
在加个knlsc吧`~多个工具交叉使用有好处的(命令行)

如果被入侵了  怎么说也会有日志的
比如：某些时间段日志不完整或者整个都给DEL了
icesword难道帮不上忙?
截图你看下固顶文章拉`~