瑞星卡卡安全论坛个人产品讨论区瑞星其他产品瑞星安全助手卡卡上网安全助手 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

12   1  /  2  页   跳转

[求助] 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

(1) UDP 192.168.1.3:11935 -> 67.215.242.139:6881

每次看防火墙日志的时候总是有一大堆这样的拦截记录,基本上每十几分钟就一次

netstat显示本机的11935断口为tray.exe占用 并 监听

"瑞星安全助手"我一装完就是设置成"手动"升级的

系统才重装完不到半个月

(2) 有的时候会出现DNS查询混乱

后来我修改了防火墙规则,将所有的出站的UDP53端口改为记录,并且只放行电信提供的两个DNS IP地址,再ipconfig /flushdns掉DNS缓存,才发现原来每次不能防问网页错误,而P2P,下载正常的时候,马上去查拦截记录,全是因为DNS查询被自动指向了错误的DNS服务器:

比如"UDP 192.168.1.3:1609 -> 222.186.189.247:53  "这样

基本DNS查询全是被自动劫持指向"222.186.189.*"这个号码段的53端口,而不去连接福建电信本来提供的218.85.157.99和218.85.152.99

网络设置和DNS设置绝对没问题,内网为静态IP,手动设置的DNS,都非自动获取


有没有"瑞星安全助手"被黑客绑架利用的可能呢?

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
分享到:
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

请您提供防火墙日志。日志上传方法:
右键防火墙监控图标>>查看日志>>备份日志,将备份的db文件上传
感谢您的支持!
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

目前只有路由的拦截log,如果要瑞星防火墙,给1天时间,就能提交给你们看,上传路口在哪里?瑞星防火墙软件里面可以上传吗?
gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

点击页面右上角【回复】后,再点击【浏览】就能上传了

gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

问题严重了

就在刚才,猛然发现"开始"->"所有程序"里被人安装了一个"百度地址栏"程序,昨天还没看见呢,这两天以来我一直都在这台机旁边,就上上网页,看看1755端口的凤凰网新闻,还有就是电信的网络电视,其他连下载都无啊,更别说安装过任何程序了

而且,刚才查看瑞星全功能的日志才发现"内核加固"已经不管用了,"内核加固"我一直都是手动设置的,里面只有"拒绝"和"提示",通通打钩,没有一个"放过",大部分的"提示"我也会手动拒绝,特别是"全局挂钩子"这个明显被我设置"拒绝"的居然赫然出现在日志里被静默地"允许"了!!!!!!!别说卡卡的挂钩子被自动允许了,刚才发现连电信数字电视的那个挂钩子也居然被自动允许了,从来我都是拒绝数字电视挂钩的啊~~~~~~~~~

然后我立即重启动,结果开机其他一切正常,0号进程为90几,系统很空闲,瑞星绿色小雨伞却点不开,右键也无反应,再重启,这下才终于可以来这里发贴~~~~~~~~

还有瑞星经常要他"提示"的时候不提示,比如CMD,因为我设置"启动子进程"为"提示,有的时候有提示框,有的时候重启后一进XP,就CMD,瑞星无提示框,CMD可以出来,就是在里面netstat,ipconfig之类的就通通无效了,就是没任何提示,直接出现下一个命令提示符,一看瑞星日志,居然被自动拒绝了,服掉!

我半个月前一装好系统就装的瑞星和卡卡,而且都是"手动升级",瑞星还设置了密码,"普通用户"启动的,所有密码都非弱密码,端口基本封全封掉,电脑上就只剩tray.exe的11935端口和RavMonD.exe的1025和6059端口在监听了,BT和迅雷之类的都木有装呀,半个月前重装就是被黑客入侵,现在就装了几个软件,除了Jscirpt外,其他脚本我都全禁用了

好了,新鲜火辣的日志来了,刚出炉,还是热的,6881抓到几个,往其他53UDP还没抓到,因为现在DNS解析还算正常.

到底是什么状况呀,为神马受伤的总是我!!!!!!!!!!!!!!!

附件附件:

文件名:最近3天.rar
下载次数:467
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-8 12:03:01
描述:rar

gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

建议您不保留用户配置文件修复瑞星后,升级至最新版本进行杀毒尝试
感谢您的支持!
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复: 为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

tray.exe连接67.215.242.139的6881端口 到底是tray.exe内部的设置,还是不正常的情况呢?

还有为什么卡卡我都已经设置手动升级了,上次还跳出来一个要我升级的提示框,到底是怎么回师,而且那个提示框好假,好粗糙,我没点,直接把那个提示框关闭,感觉那提示升级的框是几年前的卡卡界面了,现在我装的是最新的"瑞星安全助手"啊,两个的字体大小风格都差很大

要是TRAY.EXE被黑客操控,不是比木马的危害还大????
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

毒刚杀的,无毒,无木马,不要动不动就只用修复,杀毒什么的回复吧,发贴发日志上来就是为了找出问题的答案呀
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

tray.exe正常情况下到底要不要加载挂钩子呢?
gototop
 

回复:为什么tray.exe总是连接67.215.242.139的6881端口,难道tray被劫持?

您的防火墙以及瑞星安全助手版本分别是多少
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT