帮忙请进！！ bbs.ikaka.com

南宫古竑 - 2006-1-24 0:52:00

我也不知道是怎么回事，总之电脑用到大约两个小时左右，一个瑞星的程序突然活动起来，然后带动一大堆程序，提示要网络连接，接着活动程序一箩筐，电脑没变慢，但是有些程序，如游戏运行就失效了，无法运行。

附件: 638139200612405258.GIF

南宫古竑 - 2006-1-24 0:58:00

好像最先是一个瑞星程序提示要网络连接，然后跟着就有程序要网络连接，可是这些程序都已在瑞星的访问规则中定义过了啊，可是他们又询问一次，为什么呢，我都不知道怎么回事，为了安全我把一些网络连接规则禁止了，我也看不懂那些东西。

附件: 638139200612410044.gif

南宫古竑 - 2006-1-24 1:02:00

上面是重新提示定义的访问规则
下面是系统状态

附件: 638139200612410224.gif

南宫古竑 - 2006-1-24 1:03:00

是不是中毒，或是什么地方设定问题啊，
先谢谢了

落叶飘泪 - 2006-1-24 1:28:00

里面的程序根据图无法判断，建议扫日志上来分析

落叶飘泪 - 2006-1-24 1:30:00

那个不是代表你中了灰鸽子
而是说明那个端口可能被灰鸽子
利用

南宫古竑 - 2006-1-24 2:08:00

多谢了，这里是日志
2006-01-24 00:59:53, 系统禁止本地HprSnap5.exe连接网络的请求，地址为：TCP, 0.0.0.0:1755[流媒体服务] => 66.40.33.130:80[WEB网页]程序名称为：D:\HyperSnap-DX 5\HprSnap5.exe
2006-01-24 00:28:43, 系统禁止本地ctfmon.exe连接网络的请求，地址为：TCP, 0.0.0.0:1658 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\ctfmon.exe
2006-01-24 00:28:40, 系统禁止本地soundman.exe连接网络的请求，地址为：TCP, 0.0.0.0:1653 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\soundman.exe
2006-01-24 00:28:33, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1664 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-24 00:28:33, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1663 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-24 00:28:32, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1662 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-24 00:28:24, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1661 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-24 00:27:33, 系统禁止本地wdfmgr.exe连接网络的请求，地址为：TCP, 0.0.0.0:1632 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\wdfmgr.exe
2006-01-24 00:27:30, 系统禁止本地nvsvc32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1630[网易泡泡] => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\nvsvc32.exe
2006-01-24 00:27:21, 系统禁止本地RavStub.exe连接网络的请求，地址为：TCP, 0.0.0.0:1629 => 58.215.75.38:80[WEB网页]程序名称为：C:\Program Files\Rising\Rav\RavStub.exe
2006-01-24 00:26:41, 系统禁止本地services.exe连接网络的请求，地址为：TCP, 0.0.0.0:1620 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\services.exe
2006-01-23 23:28:32, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1504 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 23:28:31, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1503[Netmeeting] => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 23:28:31, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1502 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 22:32:42, 系统禁止本地alg.exe连接网络的请求，地址为：TCP, 222.217.126.48:1047 => 219.133.96.78:21[文件传输]程序名称为：C:\WINDOWS\system32\alg.exe
2006-01-23 22:10:01, 系统禁止本地alg.exe连接网络的请求，地址为：TCP, 222.217.122.130:3089 => 221.236.28.99:21[文件传输]程序名称为：C:\WINDOWS\system32\alg.exe
2006-01-23 21:50:42, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2960 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 21:50:42, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2959 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 21:50:39, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2958 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 20:50:42, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2645 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 20:50:42, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2644 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 20:50:39, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2643 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 19:51:42, 系统禁止本地RavStub.exe连接网络的请求，地址为：TCP, 0.0.0.0:2617 => 58.215.75.38:80[WEB网页]程序名称为：C:\Program Files\Rising\Rav\RavStub.exe
2006-01-23 19:50:42, 系统禁止本地services.exe连接网络的请求，地址为：TCP, 0.0.0.0:2609 => 58.215.75.38:80[WEB网页]程序名称为：C:\WINDOWS\system32\services.exe
2006-01-23 19:50:35, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2630 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 18:50:35, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2372 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 18:50:35, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2371 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 18:50:35, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:2370 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 17:51:35, 系统禁止本地rsvp.exe开放本地端口的请求，地址为：0, 222.217.116.247:0程序名称为：C:\WINDOWS\system32\rsvp.exe
2006-01-23 17:33:23, 系统禁止本地LogDataServer.exe开放本地端口的请求，地址为：UDP, 0.0.0.0:10000程序名称为：D:\MirServer\GameLog\LogDataSrv\LogDataServer.exe
2006-01-23 01:43:26, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1302 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 01:43:26, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1301 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-23 01:43:26, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1300 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-22 02:10:06, 系统禁止本地Mirdll.ini连接网络的请求，地址为：TCP, 0.0.0.0:1028 => 127.0.0.1:7000[Remote Grab木马]程序名称为：F:\mir2\Mirdll.ini
2006-01-22 00:41:31, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1432 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-22 00:41:31, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1431 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-22 00:41:31, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1430 => 202.104.11.94:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-19 23:57:43, 系统禁止本地LoginSrv.exe开放本地端口的请求，地址为：TCP, 0.0.0.0:5500程序名称为：D:\MirServer\Mud2\LogSrv\LoginSrv.exe
2006-01-19 02:35:38, 系统禁止本地rsvp.exe开放本地端口的请求，地址为：0, 169.254.131.247:0程序名称为：C:\WINDOWS\system32\rsvp.exe
2006-01-19 00:30:02, 系统禁止本地HprSnap5.exe连接网络的请求，地址为：TCP, 0.0.0.0:1424 => 66.40.33.130:80[WEB网页]程序名称为：D:\HyperSnap-DX 5\HprSnap5.exe
2006-01-19 00:03:04, 系统禁止本地rsvp.exe开放本地端口的请求，地址为：0, 169.254.131.247:0程序名称为：C:\WINDOWS\system32\rsvp.exe

南宫古竑 - 2006-1-24 2:08:00

2006-01-23 22:40:54, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:40:18, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:40:16, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:39:51, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:39:19, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:38:39, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:38:39, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:38:33, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:36:13, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:36:11, 系统禁止程序访问游戏进程，被禁止程序路径：C:\Herosoft\HeroV8\VCvtShell.dll
2006-01-23 22:33:47, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:32:59, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:32:33, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:32:29, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:16:26, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:14:59, 系统禁止程序访问游戏进程，被禁止程序路径：D:\HyperSnap-DX 5\dxsnap.dll
2006-01-23 22:14:24, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:14:24, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\System32\svchost.exe
2006-01-23 22:14:20, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:14:19, 系统禁止程序访问游戏进程，被禁止程序路径：D:\Tencent\TT\TTraveler.exe
2006-01-23 22:13:29, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:13:24, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:12:53, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:12:53, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:12:50, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:12:44, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:12:11, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:12:11, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:12:02, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:10:45, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:10:45, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\system32\lsass.exe
2006-01-23 22:10:40, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:10:00, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE
2006-01-23 22:09:53, 系统禁止程序访问游戏进程，被禁止程序路径：C:\WINDOWS\Explorer.EXE

南宫古竑 - 2006-1-24 2:11:00

如果中毒了，瑞星应该有报才对啊

南宫古竑 - 2006-1-24 2:16:00

上面那些活动程序刚开机没有，但是过了两小时左右就会出现

羔仔 - 2006-1-24 2:20:00

楼主..你在不在线?

南宫古竑 - 2006-1-24 2:20:00

这是端口信息
端口：

协议本地地址远程地址状态进程ID 进程名
TCP 222.217.119.5 : 1956 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1964 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1968 219.238.233.238 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1973 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1941 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1969 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1977 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1961 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1974 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 222.217.119.5 : 1970 219.238.233.252 : 80 ESTABLISHED 2444 D:\Tencent\TT\TTraveler.exe
TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 816 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0 : 6059 0.0.0.0 : 0 LISTENING 1008 C:\Program Files\Rising\Rav\RavMonD.exe
TCP 169.254.136.172 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
UDP 127.0.0.1 : 1610 * : * 548 C:\WINDOWS\System32\winlogon.exe
UDP 0.0.0.0 : 1027 * : * 956 C:\WINDOWS\System32\svchost.exe
UDP 169.254.136.172 : 137 * : * 4 NT OS Kernel
UDP 127.0.0.1 : 1614 * : * 956 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1657 * : * 1284 C:\Program Files\Rising\Rav\RavMon.exe
UDP 127.0.0.1 : 1878 * : * 2444 D:\Tencent\TT\TTraveler.exe
UDP 127.0.0.1 : 1607 * : * 1008 C:\Program Files\Rising\Rav\RavMonD.exe
UDP 127.0.0.1 : 1611 * : * 816 C:\WINDOWS\System32\svchost.exe
UDP 169.254.136.172 : 138 * : * 4 NT OS Kernel
UDP 222.217.119.5 : 123 * : * 880 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1615 * : * 1168 C:\Program Files\Rising\Rav\RavStub.exe
UDP 127.0.0.1 : 1650 * : * 400 C:\Program Files\Rising\Rfw\RfwMain.exe
UDP 127.0.0.1 : 1654 * : * 980 C:\Program Files\Rising\Rav\RavTask.exe
UDP 127.0.0.1 : 1623 * : * 1304 C:\WINDOWS\System32\nvsvc32.exe
UDP 169.254.136.172 : 123 * : * 880 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1631 * : * 1380 C:\WINDOWS\System32\wdfmgr.exe
UDP 127.0.0.1 : 123 * : * 880 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1608 * : * 608 C:\WINDOWS\System32\lsass.exe
UDP 127.0.0.1 : 1612 * : * 596 C:\WINDOWS\System32\services.exe
UDP 127.0.0.1 : 1616 * : * 860 C:\Program Files\Rising\Rav\CCenter.exe
UDP 0.0.0.0 : 68 * : * 880 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1609 * : * 880 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1613 * : * 764 C:\WINDOWS\System32\svchost.exe
UDP 0.0.0.0 : 1092 * : * 956 C:\WINDOWS\System32\svchost.exe
UDP 127.0.0.1 : 1617 * : * 1048 C:\Program Files\Rising\Rfw\rfwsrv.exe
UDP 127.0.0.1 : 1648 * : * 384 C:\WINDOWS\Explorer.EXE
UDP 127.0.0.1 : 1652 * : * 932 C:\WINDOWS\SOUNDMAN.EXE
UDP 127.0.0.1 : 1656 * : * 928 C:\WINDOWS\System32\ctfmon.exe
UDP 127.0.0.1 : 1660 * : * 1136 C:\WINDOWS\System32\rundll32.exe
UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel

羔仔 - 2006-1-24 2:23:00

http://www.skycn.com/soft/3252.html下载木马克星.
安装完后再去:http://luosoft.com/newiparmor50b/iparmor.exe下载最新版本.复制到你安装木马的目录上

不言放弃 - 2006-1-24 2:23:00

把上述禁止的程序全部改为允许

都是正常的系统程序

CAJINCHEN - 2006-1-24 2:30:00

防火墙的程序控制,对于系统进程选择允许即可.

南宫古竑 - 2006-1-24 3:07:00

呵呵谢谢大家了汗我搞定了

瑞星卡卡安全论坛