瑞星卡卡安全论坛

(1) UDP 192.168.1.3:11935 -> 67.215.242.139:6881

每次看防火墙日志的时候总是有一大堆这样的拦截记录,基本上每十几分钟就一次

netstat显示本机的11935断口为tray.exe占用 并 监听

"瑞星安全助手"我一装完就是设置成"手动"升级的

系统才重装完不到半个月

(2) 有的时候会出现DNS查询混乱

后来我修改了防火墙规则,将所有的出站的UDP53端口改为记录,并且只放行电信提供的两个DNS IP地址,再ipconfig /flushdns掉DNS缓存,才发现原来每次不能防问网页错误,而P2P,下载正常的时候,马上去查拦截记录,全是因为DNS查询被自动指向了错误的DNS服务器:

比如"UDP 192.168.1.3:1609 -> 222.186.189.247:53  "这样

基本DNS查询全是被自动劫持指向"222.186.189.*"这个号码段的53端口,而不去连接福建电信本来提供的218.85.157.99和218.85.152.99

网络设置和DNS设置绝对没问题,内网为静态IP,手动设置的DNS,都非自动获取


有没有"瑞星安全助手"被黑客绑架利用的可能呢?

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

请您提供防火墙日志。日志上传方法：
右键防火墙监控图标>>查看日志>>备份日志，将备份的db文件上传
感谢您的支持！

目前只有路由的拦截log，如果要瑞星防火墙，给１天时间，就能提交给你们看，上传路口在哪里？瑞星防火墙软件里面可以上传吗？

点击页面右上角【回复】后，再点击【浏览】就能上传了

问题严重了

就在刚才,猛然发现"开始"->"所有程序"里被人安装了一个"百度地址栏"程序,昨天还没看见呢,这两天以来我一直都在这台机旁边,就上上网页,看看1755端口的凤凰网新闻,还有就是电信的网络电视,其他连下载都无啊,更别说安装过任何程序了

而且,刚才查看瑞星全功能的日志才发现"内核加固"已经不管用了,"内核加固"我一直都是手动设置的,里面只有"拒绝"和"提示",通通打钩,没有一个"放过",大部分的"提示"我也会手动拒绝,特别是"全局挂钩子"这个明显被我设置"拒绝"的居然赫然出现在日志里被静默地"允许"了!!!!!!!别说卡卡的挂钩子被自动允许了,刚才发现连电信数字电视的那个挂钩子也居然被自动允许了,从来我都是拒绝数字电视挂钩的啊~~~~~~~~~

然后我立即重启动,结果开机其他一切正常,0号进程为90几,系统很空闲,瑞星绿色小雨伞却点不开,右键也无反应,再重启,这下才终于可以来这里发贴~~~~~~~~

还有瑞星经常要他"提示"的时候不提示,比如CMD,因为我设置"启动子进程"为"提示,有的时候有提示框,有的时候重启后一进XP,就CMD,瑞星无提示框,CMD可以出来,就是在里面netstat,ipconfig之类的就通通无效了,就是没任何提示,直接出现下一个命令提示符,一看瑞星日志,居然被自动拒绝了,服掉!

我半个月前一装好系统就装的瑞星和卡卡,而且都是"手动升级",瑞星还设置了密码,"普通用户"启动的,所有密码都非弱密码,端口基本封全封掉,电脑上就只剩tray.exe的11935端口和RavMonD.exe的1025和6059端口在监听了,BT和迅雷之类的都木有装呀,半个月前重装就是被黑客入侵,现在就装了几个软件,除了Jscirpt外,其他脚本我都全禁用了

好了,新鲜火辣的日志来了,刚出炉,还是热的,6881抓到几个,往其他53UDP还没抓到,因为现在DNS解析还算正常.

到底是什么状况呀,为神马受伤的总是我!!!!!!!!!!!!!!!

附件: 最近3天.rar

建议您不保留用户配置文件修复瑞星后，升级至最新版本进行杀毒尝试
感谢您的支持！

tray.exe连接67.215.242.139的6881端口 到底是tray.exe内部的设置,还是不正常的情况呢?

还有为什么卡卡我都已经设置手动升级了,上次还跳出来一个要我升级的提示框,到底是怎么回师,而且那个提示框好假,好粗糙,我没点,直接把那个提示框关闭,感觉那提示升级的框是几年前的卡卡界面了,现在我装的是最新的"瑞星安全助手"啊,两个的字体大小风格都差很大

要是TRAY.EXE被黑客操控,不是比木马的危害还大????

毒刚杀的,无毒,无木马,不要动不动就只用修复,杀毒什么的回复吧,发贴发日志上来就是为了找出问题的答案呀

tray.exe正常情况下到底要不要加载挂钩子呢?

您的防火墙以及瑞星安全助手版本分别是多少

瑞星安全助手01.00.01.14(最后更新日期:2011-9-6)
瑞星全功能版本号23.00.43.51(最后更新日期2011-9-6)

注:在"程序联网控制"里面的"高级选项"里的"启用瑞星信任程序智能识别模式"早已经被我关掉,我全都是手动档人工操作,瑞星里面不能手动设置,的防护基本里面都是设置中高级别或最高级别,可居然我刚才试了一下,windows\system32\下的文件我仍然可以随意改文件名,无任何提示~~~~~~~~

网络防护是"IP规则优先"

此问题已反馈，有结果会尽快和您联系，感谢您的支持！

向上反馈了就好

还有一问题也顺便帮我反馈上去吧

为什么RavMonD.exe老是和64.4.28.251 ~ 64.4.28.254这个IP的443端口段进行"同步连接"?经常性而且持续密集的

瑞星防火墙的IP规则设置了拒绝规则也不会报警而且封不掉,还是照样连接,IP规则里的黑名单设置了也封不掉,检查过了,没有冲突或有重叠性的"放行"规则,

刚才我试了一下,NND居然我的路由firewall也封不掉,把这几个IP地址专门设成禁止出站和进站都无效,加上专门把出站的443端设置成deny也无效且无记录(本来是放行不记录的),居然这么离谱,重启动所有设备还这样,到底是怎么了?

UDP53到其他非电信DNS的IP记录现在有了,

除里最前面的几条到192.168.254.254:53的拦截记录外(因为我在路由里做了DHCP并手动设置了电信的DNS地址,电脑的TCP/IP里设置的DNS地址是指向内网路由的地址,那几条是那时候规则里忘记排除路由地址了)

其他的UDP53记录都是,居然还有几条是到255.255.255.255:53的.

最后一排的UDP53,那时候我仅仅访问了一下路由的WEB界面,除了杀毒,什么其他软件和网页都没开呀,居然就多出几条到外网IP的UDP53拦截!!!!!出到底是怎么回事,问题到底出在哪里?到底是哪里出了漏洞?




最新的瑞星日志在附件里

希望一有结果就马上尽快回复或和我联系吧~~~~~~~~~~~~~

附件: 2011_9_8_当天15_46.rar

已将您的问题补充反馈，感谢您的支持！

您的问题需要远程处理，可以点此将QQ号通过短消息发给我
感谢您的支持！