有谁碰到过这种问题啊？一直折磨着我

scott_yq · 发表于 2006-9-8 22:12:39

今天第一次用科来抓包，呵呵，菜鸟~ 发现有好多UDP的包，可以说全是UDP的包。。不知道怎么回事。因为我既没有浏览网页，也没有用QQ之类的东西，甚至连杀毒软件都暂停了，但是哪来这么多UDP的包啊。。切到矩阵视图里一看，吓一跳，发现是跟很多很多不同的IP之间传的，甚至还有国外的IP，一个越南，一个什么美国。。郁闷~~ 怎么回事啊？是什么问题呢？

各位高手斑竹们在平时抓包的时候有没有发现同样的问题啊？一般的这种UDP包是什么情况下发的呢？问题关键是它一直在发，很多的

fadu · 发表于 2006-9-8 22:31:50

说说你那网络拓扑图和具体环境是怎样的？

scott_yq · 发表于 2006-9-9 09:18:23

我们是学校实验室的，统一都接交换机上，那边我就不知道怎么连了，然后我今天早上起来又抓了几分钟的包，现上传，帮忙分析一下阿，谢谢谢谢阿

wwwang · 发表于 2006-9-9 09:57:42

59.64.148.236这是什么设备？全是它的包．

scott_yq · 发表于 2006-9-9 11:08:18

那就是我的主机

wwwang · 发表于 2006-9-9 11:51:46

那你的主机有没有扫描代理之类的软件．因为我在你的数据包找到一些代理服务器的ＩＰ

zhang_ming · 发表于 2006-9-9 11:56:56

跟踪一下6100端口是开了哪个东东

artico · 发表于 2006-9-9 15:12:29

提问格式请注意http://www.csna.cn/forum.php?mod ... &extra=page%3D1

artico · 发表于 2006-9-9 15:44:21

请LZ确定自己使用的PC上
是不是有用到腾讯RTX的网络会议功能！或者，至少有安装过！

scott_yq · 发表于 2006-9-10 21:32:12

首先谢谢各位楼上的朋友~~ 呵呵
TO：wwwang    我的机子上没有装什么扫描代理的软件阿？  确实没有
TO：zhang_ming 怎么跟踪一个端口阿？  小弟是新手，呵呵，这个不太懂~  能教教么？谢谢啦
TO：artico 我应该没有安装过你说的藤旬RTX网络会议功能//  也许安装过，那怎么查找能知道自己安装过呢？我现在用的是珊瑚虫的显IP版本
再次谢谢大家的解答阿~~ 希望各位能继续帮帮我啊~~······！！！！

artico · 发表于 2006-9-11 14:37:18

原帖由 scott_yq 于 2006-9-10 21:32 发表
首先谢谢各位楼上的朋友~~ 呵呵
TO：wwwang 我的机子上没有装什么扫描代理的软件阿？确实没有
TO：zhang_ming 怎么跟踪一个端口阿？小弟是新手，呵呵，这个不太懂~ 能教教么？谢谢啦
TO：artic ...

哦，，，那你捕获的数据的时候有开那个显示IP的qq吗？
试试把你那个QQ卸载了再捕获数据看看。。。

scott_yq · 发表于 2006-9-13 11:17:13

谢谢楼上的,我已经卸载了,但还是一直在不停的发送和接受 UDP包，该怎么办啊？我看了下还是都是从6100端口出来的，可是我看了下6100口的进程好像是系统的进程csrss阿，我也用瑞星升级过的杀了毒，还是存在这个问题，着急啊，郁闷坏了，不知道怎么回事~~！！！该怎么办啊？

wwwang · 发表于 2006-9-13 11:32:45

封6100端口看一看会有什么样的问题.然后根据这个问题反推是什么软件造成的!

artico · 发表于 2006-9-13 11:55:16

原帖由 scott_yq 于 2006-9-13 11:17 发表
谢谢楼上的,我已经卸载了,但还是一直在不停的发送和接受 UDP包，该怎么办啊？我看了下还是都是从6100端口出来的，可是我看了下6100口的进程好像是系统的进程csrss阿，我也用瑞星升级过的杀了毒，还是存在这个问题 ...

没访问什么一直都有这样的问题肯定是你PC有某程序的运行试图连接到6100端口，好好查一下吧。。。

rfc126 · 发表于 2006-9-13 15:52:32

建议用MACF 杀一下毒，估计还是有病毒现在有些病毒它是杀不掉的。我有过体会。

zmc837 · 发表于 2006-9-14 08:39:09

瑞星杀毒不敢恭维阿　　　　　　　

scott_yq · 发表于 2006-9-14 09:01:43

那楼上的artico能告诉我怎么封6100端口么？封了之后怎么检查阿//

这个现象一直有，很长时间了，昨天用木马清道夫查出好多木马，本以为问题就解决了，可惜还是那个毛病，都快疯了。。我的QQ是：120728560 哪位高人能加我啊，好好请教一下哈~~~

菜鸟人飞 · 发表于 2006-9-14 09:13:12

在防火墙，加一条策略，禁止TCP和UDP6100，就封堵了6100端口的通讯了。

scott_yq · 发表于 2006-9-14 09:33:05

那难道还得装防火墙/? 我是在自己的机器上，呵呵，从来没有装过防火墙，难道必须这样才可以么

wwwang · 发表于 2006-9-14 09:40:10

你安装的是什么系统？如果是winsp2就自带防火墙！

scott_yq · 发表于 2006-9-14 10:13:06

呵呵，还真是你说的系统，但小弟不知道如何改端口阿，版主大人教教小弟吧。谢谢阿~~

wwwang · 发表于 2006-9-14 10:22:14

打开windows防火墙选启用,另外把例外和高级设置里的选框全部取消.再观察端口情况．（一般的木马可以搞定，有些特殊的就要特殊的工具才可以看到！）

artico · 发表于 2006-9-14 11:22:56

原帖由 scott_yq 于 2006-9-14 09:01 发表
那楼上的artico能告诉我怎么封6100端口么？封了之后怎么检查阿//

这个现象一直有，很长时间了，昨天用木马清道夫查出好多木马，本以为问题就解决了，可惜还是那个毛病，都快疯了。。我的QQ是：120728560 哪位 ...

还是建议你安装个防火墙吧。本人情愿不装杀毒软件至少也会装个防火墙，，，
装上以后就可以把不需要的端口关闭掉，，，

scott_yq · 发表于 2006-9-14 11:59:01

嗯，我刚才在XP下，按照wwwang的说法做了，结果一查，嘿嘿，还是一堆UDP包，势头不减阿~~~~~

郁闷死了快！！！还有什么高招么/？除了加防火墙，问题是还是要把那个东东分析出来啊。到底是个什么东东在作怪阿？？

wwwang · 发表于 2006-9-14 16:08:04

原帖由 scott_yq 于 2006-9-14 11:59 发表
嗯，我刚才在XP下，按照wwwang的说法做了，结果一查，嘿嘿，还是一堆UDP包，势头不减阿~~~~~
郁闷死了快！！！还有什么高招么/？除了加防火墙，问题是还是要把那个东东分析出来啊。到底是个什么东东在作 ...

根据楼主的描述,有几点疑问:
1.重新启动后,有没有程序要求连接?（仔细检查windows防火墙例外设置）
2.查看被连接的端口是否固定?
3.用一些工具查看是否有线程插入与跳变端口的程序存在？

scott_yq · 发表于 2006-9-14 19:03:26

因为我发现是csrss进程在用6100端口,况且我按照楼上的意思,发现windows防火墙例外设置里面有一个Generic Hosts for WinService这个服务,路径在C:\WINDOWS\System32\INETSRV\CSRSS.EXE....小弟不太懂这个,反正不管三七二十一先把这个文件给强制删除了,,,然后重新启动机器后,问题又出来了.这次更牛.再次抓包,见附件,条件是我并没有在机器上浏览网页等等...... 抓了一对HTTP的包..呵呵.. 无敌阿~~~ 我估计还是刚才那个,不知道高手们还能再分析分析么 ?
对了,一直忘了告诉楼上的,机子有时候经常会谈出网页来,并且属于弹出来的并不总一样.呵呵..有哪位高人帮帮小弟阿~~
还有,任务管理器里面有一个奇怪的进程是softupdate.exe..赫赫这个是不是病毒阿/? 还是什么????

wwwang · 发表于 2006-9-15 08:53:05

Generic Hosts for WinService是一个恶意程序.关于机子有时候经常会谈出网页来这个可以用上网助手或者是优化大师修复!

关于SoftUpdate.exe进程(网上资料试试吧!)
--------------------------------------------------------------------------------
病毒吗？杀毒软件没反应。。。应该是流氓程序吧，很顽固。。。不过还是有办法清除的呵~

症状汇总：
1、任务管理器中出现softupdate.exe进程，屏幕保护程序中出现sncool屏保；
2、加载“重要的 Windows 更新的下载和安装服务。。。操作系统将无法升级”服务；
3、某个窗口始终保持保持在其他窗口的最前端，浏览网页下载东东时弹出的窗口一闪而过
（不是用下载软件），不能进行下载；
4、经常占用CPU使用率极高，计算机速度变慢，并伴有假死现象；
5、桌面点右键、任务栏调用任务管理器会没有反应，严重的会假死机；
等等可能并发的症状。。。

解决办法，建议看完之后一并实施：
1.首先删除C:\windows\system32目录下的sncool.scr文件，并打开"我的电脑"/"工具"/"文件夹选项"/"查看"，把"隐藏受保护的操作系统文件（推荐）"取消，并在下面的单选框中选择"显示所有文件和文件夹"确定。

2.打开任务管理器，结束softupdate.exe和explorer.exe两个进程，结束explorer.exe时桌面图标和任务栏会消失（因为病毒可以躲在正常进程里，不这样无法删除）。

3.然后点任务管理器中"文件"/"新建任务"/"浏览"（注意将文件类型选择为全部文件），到C:\windows或者C:\windows\system32目录找到softupdate.exe和37211.dll文件，右键单击删除。点取消退出浏览窗口，在对话框中输入explorer.exe再确定，恢复进程。

5.运行regedit，查找包含SoftUpdate和37211的值以及下面几个键值进行删除。

HKEY_CLASSES_ROOT\CLSID\
删除：{E730189A-9973-4121-B046-AD1C161EC3AF}

HKEY_CLASSES_ROOT\htmlfile\shell\htmlfile\shell\opennew\command\
删除：CLSID

HKEY_CLASSES_ROOT\htmlfile\shell\SOFTWARE\Classes\htmlfile\shell\open\command\
删除：SOFTWARE

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除："Enable Browser Extensions"="yes"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：SoftUpdate

KelvinFu · 发表于 2006-9-15 11:29:17

可能是有恶意程序吧，数据包中，恶意程序不定时间的打开你的本地主机的不同端口与这个地址（61.141.5.132）进行通讯

有谁碰到过这种问题啊？一直折磨着我

谢谢你啊，帮帮我！！

本帖子中包含更多资源

建议

本帖子中包含更多资源