瑞星卡卡安全论坛个人产品讨论区瑞星其他产品瑞星安全助手卡卡上网安全助手 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

1   1  /  1  页   跳转

[求助] 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

(1) UDP 192.168.1.3:11935 -> 67.215.242.139:6881

每次看防火墙日志的时候总是有一大堆这样的拦截记录,基本上每十几分钟就一次

netstat显示本机的11935断口为tray.exe占用 并 监听

"瑞星安全助手"我一装完就是设置成"手动"升级的

系统才重装完不到半个月

(2) 有的时候会出现DNS查询混乱

后来我修改了防火墙规则,将所有的出站的UDP53端口改为记录,并且只放行电信提供的两个DNS IP地址,再ipconfig /flushdns掉DNS缓存,才发现原来每次不能防问网页错误,而P2P,下载正常的时候,马上去查拦截记录,全是因为DNS查询被自动指向了错误的DNS服务器:

比如"UDP 192.168.1.3:1609 -> 222.186.189.247:53  "这样

基本DNS查询全是被自动劫持指向"222.186.189.*"这个号码段的53端口,而不去连接福建电信本来提供的218.85.157.99和218.85.152.99

网络设置和DNS设置绝对没问题,内网为静态IP,手动设置的DNS,都非自动获取


有没有"瑞星安全助手"被黑客绑架利用的可能呢?

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
分享到:
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

目前只有路由的拦截log,如果要瑞星防火墙,给1天时间,就能提交给你们看,上传路口在哪里?瑞星防火墙软件里面可以上传吗?
gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

问题严重了

就在刚才,猛然发现"开始"->"所有程序"里被人安装了一个"百度地址栏"程序,昨天还没看见呢,这两天以来我一直都在这台机旁边,就上上网页,看看1755端口的凤凰网新闻,还有就是电信的网络电视,其他连下载都无啊,更别说安装过任何程序了

而且,刚才查看瑞星全功能的日志才发现"内核加固"已经不管用了,"内核加固"我一直都是手动设置的,里面只有"拒绝"和"提示",通通打钩,没有一个"放过",大部分的"提示"我也会手动拒绝,特别是"全局挂钩子"这个明显被我设置"拒绝"的居然赫然出现在日志里被静默地"允许"了!!!!!!!别说卡卡的挂钩子被自动允许了,刚才发现连电信数字电视的那个挂钩子也居然被自动允许了,从来我都是拒绝数字电视挂钩的啊~~~~~~~~~

然后我立即重启动,结果开机其他一切正常,0号进程为90几,系统很空闲,瑞星绿色小雨伞却点不开,右键也无反应,再重启,这下才终于可以来这里发贴~~~~~~~~

还有瑞星经常要他"提示"的时候不提示,比如CMD,因为我设置"启动子进程"为"提示,有的时候有提示框,有的时候重启后一进XP,就CMD,瑞星无提示框,CMD可以出来,就是在里面netstat,ipconfig之类的就通通无效了,就是没任何提示,直接出现下一个命令提示符,一看瑞星日志,居然被自动拒绝了,服掉!

我半个月前一装好系统就装的瑞星和卡卡,而且都是"手动升级",瑞星还设置了密码,"普通用户"启动的,所有密码都非弱密码,端口基本封全封掉,电脑上就只剩tray.exe的11935端口和RavMonD.exe的1025和6059端口在监听了,BT和迅雷之类的都木有装呀,半个月前重装就是被黑客入侵,现在就装了几个软件,除了Jscirpt外,其他脚本我都全禁用了

好了,新鲜火辣的日志来了,刚出炉,还是热的,6881抓到几个,往其他53UDP还没抓到,因为现在DNS解析还算正常.

到底是什么状况呀,为神马受伤的总是我!!!!!!!!!!!!!!!

附件附件:

文件名:最近3天.rar
下载次数:468
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-8 12:03:01
描述:rar

gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

tray.exe连接67.215.242.139的6881端口 到底是tray.exe内部的设置,还是不正常的情况呢?

还有为什么卡卡我都已经设置手动升级了,上次还跳出来一个要我升级的提示框,到底是怎么回师,而且那个提示框好假,好粗糙,我没点,直接把那个提示框关闭,感觉那提示升级的框是几年前的卡卡界面了,现在我装的是最新的"瑞星安全助手"啊,两个的字体大小风格都差很大

要是TRAY.EXE被黑客操控,不是比木马的危害还大????
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

毒刚杀的,无毒,无木马,不要动不动就只用修复,杀毒什么的回复吧,发贴发日志上来就是为了找出问题的答案呀
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

tray.exe正常情况下到底要不要加载挂钩子呢?
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

瑞星安全助手01.00.01.14(最后更新日期:2011-9-6)
瑞星全功能版本号23.00.43.51(最后更新日期2011-9-6)

注:在"程序联网控制"里面的"高级选项"里的"启用瑞星信任程序智能识别模式"早已经被我关掉,我全都是手动档人工操作,瑞星里面不能手动设置,的防护基本里面都是设置中高级别或最高级别,可居然我刚才试了一下,windows\system32\下的文件我仍然可以随意改文件名,无任何提示~~~~~~~~

网络防护是"IP规则优先"
gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

向上反馈了就好

还有一问题也顺便帮我反馈上去吧

为什么RavMonD.exe老是和64.4.28.251 ~ 64.4.28.254这个IP的443端口段进行"同步连接"?经常性而且持续密集的

瑞星防火墙的IP规则设置了拒绝规则也不会报警而且封不掉,还是照样连接,IP规则里的黑名单设置了也封不掉,检查过了,没有冲突或有重叠性的"放行"规则,

刚才我试了一下,NND居然我的路由firewall也封不掉,把这几个IP地址专门设成禁止出站和进站都无效,加上专门把出站的443端设置成deny也无效且无记录(本来是放行不记录的),居然这么离谱,重启动所有设备还这样,到底是怎么了?

UDP53到其他非电信DNS的IP记录现在有了,

除里最前面的几条到192.168.254.254:53的拦截记录外(因为我在路由里做了DHCP并手动设置了电信的DNS地址,电脑的TCP/IP里设置的DNS地址是指向内网路由的地址,那几条是那时候规则里忘记排除路由地址了)

其他的UDP53记录都是,居然还有几条是到255.255.255.255:53的.

最后一排的UDP53,那时候我仅仅访问了一下路由的WEB界面,除了杀毒,什么其他软件和网页都没开呀,居然就多出几条到外网IP的UDP53拦截!!!!!出到底是怎么回事,问题到底出在哪里?到底是哪里出了漏洞?




最新的瑞星日志在附件里

希望一有结果就马上尽快回复或和我联系吧~~~~~~~~~~~~~

附件附件:

下载次数:343
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-8 15:46:31
描述:rar

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT