瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】为什么我打开文档,系统就向外发数据包?

1   1  /  1  页   跳转

【求助】为什么我打开文档,系统就向外发数据包?

收藏
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-06 15:16 | 显示全部 短消息 资料
字号: 1楼

【求助】为什么我打开文档,系统就向外发数据包?

2005-8-16 windows系统中,打开文件有先开应用软件,再用文件菜单打开相应格式的文件,另一种是双击要查看的文件,系统自动启动对应的应用程序打开文件。我在查看文本文件时,用后一种方式时,打开速度较慢,而且系统在向外发数据,怀疑中木马,但是查看注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command时发现内容为%SystemRoot%\system32\NOTEPAD.EXE %1,正常呀!又怀疑notepad.exe文件有病毒,用最新毒霸和瑞星查毒,也没2005-8-18 问题,现在很纳闷呀!另外发现inf文件打开时也这样。规律是双击一个需要写字板打开的文件时,系统都要先访问网络,几乎只发不收数据,打开较慢。
希望读者能够解释和解决!
问题:为什么我打开文本文件等格式文件,还有部分设置功能时,系统就向外发数据包?
今日用工具检查发包的目的地址和端口,是192.168.0.255,端口137和138,后来关闭基于TCP/IP上的netbios协议,就不发包,但是这是什么原因?
2005-8-29现在应对这个问题,我使用天网防火墙,它拦截了这个“包”的发送,日志如下发送到 192.168.0.255 的 UDP 数据包,
          本机端口: NetBios-NS[137] ,
          对方端口: NetBios-NS[137]
          该包被拦截。
打开文档速度仍然较慢。
2005-9-6 使用瑞星防火墙,安全级别设为"高",用于挡住发包,但是需要打到"中"才能使用局域网软件。独孤豪侠,天天泡泡:还是没解决!
最后编辑2005-09-14 17:21:19
分享到:
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-06 15:54 | 显示全部 短消息 资料
字号: 2楼

自己顶
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-08 08:24 | 显示全部 短消息 资料
字号: 3楼

嗯?
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-09 09:46 | 显示全部 短消息 资料
字号: 4楼

gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-11 21:03 | 显示全部 短消息 资料
字号: 5楼

没有!
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-14 08:17 | 显示全部 短消息 资料
字号: 6楼

关闭所有任务栏上软件时的状况:
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\billwei>netstat -a

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    foundermicrosot:smtp  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:pop3  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:epmap  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:1025  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:3001  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:3002  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:3003  foundermicrosot:0      LISTENING
  TCP    foundermicrosot:netbios-ssn  foundermicrosot:0      LISTENING
  UDP    foundermicrosot:isakmp  *:*
  UDP    foundermicrosot:3009  *:*
  UDP    foundermicrosot:3035  *:*
  UDP    foundermicrosot:3036  *:*
  UDP    foundermicrosot:3037  *:*
  UDP    foundermicrosot:netbios-ns  *:*
  UDP    foundermicrosot:netbios-dgm  *:*

C:\Documents and Settings\billwei>
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-14 16:48 | 显示全部 短消息 资料
字号: 7楼

格式化C盘呀!那不找不到原因了,能分析以上数据吗?
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-14 17:04 | 显示全部 短消息 资料
字号: 8楼

请分析最新采集的数据:
Logfile of HijackThis v1.99.1
Scan saved at 17:00:39, on 2005-9-14
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\KAV6\KAVSvc.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\KAV6\KPopMon.EXE
C:\WINDOWS\System32\conime.exe
C:\Program Files\SkyNet\FireWall\PFWmain.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\KAV6\KWatchUI.EXE
C:\Program Files\bt\BitComet\BitComet.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\GoSuRF\gsfbwsr.exe
E:\share\PhotoUDV2.91\PhotoUD.exe
C:\Program Files\Iparmor\Iparmor.exe
C:\Program Files\notepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\notepad.exe
C:\DOCUME~1\billwei\LOCALS~1\Temp\Rar$EX16.608\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEHandle Class - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:\WINDOWS\System32\TPHANDLE.dll
O2 - BHO: (no name) - {9AFD91F9-6B03-4D22-A1E1-67D224CB7AB1} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: IEHlprObj Class - {EE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\INTERN~1\HMAPI.dll (file missing)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV6\KAIEPlus.DLL
O4 - HKLM\..\Run: [KAVRun] C:\KAV6\KAVRun.EXE
O4 - HKLM\..\Run: [Kulansyn] C:\KAV6\Kulansyn.EXE
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFWmain.exe
O4 - HKLM\..\Run: [iparmor] C:\Program Files\Iparmor\Iparmor.exe mini
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [KpopMon] C:\KAV6\KPopMon.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 使用超级解霸播放 - C:\Program Files\Herosoft\Hero 9\MPURLGET.HTM
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 豪杰超级解霸V8实时播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O9 - Extra button: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: 金山毒霸网站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - Extra button: 在线查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - C:\KAV6\kavie.htm
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://bbsky.wuhan.net.cn/plugin/PowerPlr.ocx
O16 - DPF: {7A38130D-BEB7-4D60-BE7A-4C4AB6A85CD1} - http://bar.souhuu.com/vcbar1.cab
O16 - DPF: {DF6FE46D-1D23-4668-AD3A-CDEA1262B282} (PowerDld Control) - http://bbsky.wuhan.net.cn/plugin/PowerDld.ocx
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7198832F-EED9-4D37-83A5-2468CDE4E73B}: NameServer = 202.103.24.68,202.103.0.117,192.168.0.1
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - C:\KAV6\KAVSvc.EXE
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
gototop
 
cpav医生
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-09-14 17:17 | 显示全部 短消息 资料
字号: 9楼

file missing如何修复
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT