发现一个木马，用好几款软件都查不到，不过外国网站上有登记。我用抓包软件抓包，发现这个木马一直向一个地方发包：

==================================================
Index : 3
Protocol : TCP
Local Address : 192.168.1.100
Remote Address : 218.106.193.184
Local Port : 3612
Remote Port : 80
Local Host : svr
Service Name : http
Remote Host :
Packets : 5
Data Size : 354 Bytes
Total Size : 698 Bytes
Capture Time : 2009-2-13 10:45:06:171
==================================================


GET /msopen/Admin.jpg HTTP/1.0
User-Agent: MSDNSurfBear
Host: ieopen.yhgames.com
Pragma: no-cache
HTTP/1.1 200 OK

Server: Microsoft-IIS/5.0
Date: Fri, 13 Feb 2009 02:39:14 GMT
Content-Type: image/jpeg
Accept-Ranges: bytes
Last-Modified: Fri, 17 Oct 2008 09:52:56 GMT
ETag: "e07ca7213e30c91:da0"
Content-Length: 24
......................



请问如何才能解决？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; CNCDialer; QQDownload 1.7; GTB5; SV1; Maxthon; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

挺有意思的...楼主是用什么软件抓包的?有好的教程吗?发个系统日志..帮你分析你电脑一下...

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010F1FFD)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010F20E5)

多谢你的回复，呵呵，我用这个软件扫描了一下，好像这个函数被篡改了？

那提示和你无关

不需要管它