瑞星卡卡安全论坛

附加是用ｅｔｈｅｒｅａｌ检查到的电脑ｉｐ地址为192.168.0.152。
用hijackthis扫描了他的电脑发现很干净。
用tcpview发现有异常。。下面是一些ｔｃｐｖｉｅｗ的日志。

lsass.exe:228    UDP    zbe152:isakmp    *:*       
MSTask.exe:708    TCP    zbe152:1027    zboe152:0    LISTENING   
Rtvscan.exe:520    UDP    zbe152:2967    *:*       
services.exe:216    UDP    zboe152:1026    *:*       
spoolsv.exe:412    UDP    zbe152:1029    *:*       
svchost.exe:392    TCP    zbe152:epmap    zboe152:0    LISTENING   
svchost.exe:392    UDP    zbe152:epmap    *:*       
svchost.exe:500    TCP    zbe152:423    zbe152:0    LISTENING   
svchost.exe:500    TCP    zbe152:1428    zbe152:0    LISTENING   
System:8    TCP    zbe152:1028    zbe152:0    LISTENING   
System:8    TCP    zbe152:netbios-ssn    zboe152:0    LISTENING   
System:8    TCP    zbe152:1035    zbe152:0    LISTENING   


System:8    TCP    zbe152:1069    zbe-net:http    TIME_WAIT   
System:8    TCP    zbe152:1070    zbe-net:http    TIME_WAIT   
System:8    TCP    zbe152:1071    zbe-net:http    TIME_WAIT   

System:8    TCP    zbe152:1072    192.168.0.118:netbios-ssn    TIME_WAIT   
System:8    UDP    zbe152:netbios-ns    *:*       
System:8    UDP    zbe152:netbios-dgm    *:*   
由于时间紧急。今天没有空去那里分析这个问题了。
不知道大家有没有遇到过。另外hijackthis分析是干净的（保证）   


附件: 3895922006225130412.jpg

怎么了？
机器有什么问题？

No.    Time        Source                Destination          Protocol Info
    29 2.989028    192.168.0.152        192.168.1.255        NBNS    Name query NB MY.PHOME.CN<00>

Frame 29 (92 bytes on wire, 92 bytes captured)
    Arrival Time: Feb 27, 2006 11:05:07.785056000
    Time delta from previous packet: 0.751085000 seconds
    Time since reference or first frame: 2.989028000 seconds
    Frame Number: 29
    Packet Length: 92 bytes
    Capture Length: 92 bytes
    Protocols in frame: eth:ip:udp:nbns
Ethernet II, Src: Micro-St_05:74:bc (00:10:dc:05:74:bc), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
    Source: Micro-St_05:74:bc (00:10:dc:05:74:bc)
    Type: IP (0x0800)
Internet Protocol, Src: 192.168.0.152 (192.168.0.152), Dst: 192.168.1.255 (192.168.1.255)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 78
    Identification: 0xcf74 (53108)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 64
    Protocol: UDP (0x11)
    Header checksum: 0x2743 [correct]
        Good: True
        Bad : False
    Source: 192.168.0.152 (192.168.0.152)
    Destination: 192.168.1.255 (192.168.1.255)
User Datagram Protocol, Src Port: netbios-ns (137), Dst Port: netbios-ns (137)
    Source port: netbios-ns (137)
    Destination port: netbios-ns (137)
    Length: 58
    Checksum: 0x573f [correct]
NetBIOS Name Service
    Transaction ID: 0x81c8
    Flags: 0x0110 (Name query)
        0... .... .... .... = Response: Message is a query
        .000 0... .... .... = Opcode: Name query (0)
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...1 .... .... = Recursion desired: Do query recursively
        .... .... ...1 .... = Broadcast: Broadcast packet
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        MY.PHOME.CN<00>: type NB, class IN
            Name: MY.PHOME.CN<00> (Workstation/Redirector)
            Type: NB
            Class: IN


这是俘获的数据包。

建议给系统打全补丁
若使用的是瑞星防火墙
建议导入本论坛的防火墙规则

呵呵！补丁时时更新。
使用ｓｓｍ都没有发现有什么异常。
因为是局域网上的电脑，不带防火墙的。
而且是192.168.0.152发出来的数据包，因此重要的是清除这台电脑。

此病毒不带感染性。

终于把这个病毒搞定了。
通过winmide.dll加载，不知道大家有没有遇到过，我的杀毒软件没有报警。
在注册表把server cs001 cs002 css ｉａｓ清理干净即可。
感觉hijackthis越来越不行了－－对付现在的病毒。