Board logo

标题: 使用微点后无法正常上网(解决) [打印本页]
作者: magicwanyu     时间: 2007-2-14 22:15    标题: 使用微点后无法正常上网(解决)

系统:WinXP SP2(已经安装微软2007年2月11日发布的最新补丁)
电脑:台式机
上网方式:中国电信ADSL 2M宽带网,使用Windows自带的PPPoE拨号软件,U口ADSL猫。
出现问题的微点版本:2月14日从微点官网首页上下载的070211.1.2.10569.0036版,安装完成后自动升级至最新版。
其他:电脑上已安装正版的瑞星2007杀毒软件19.10.20和瑞星2007防火墙19.10、瑞星卡卡安全助手3.2.0.9(以上都为最新版并设为随系统自动启动),超级巡警和Ad-Aware SE Personal(没有设为自动启动)。

故障概况:安装微点主动防御软件后无法正常连接网络。根据微点论坛和微点软件自带的帮助文档对微点软件进行各种设置依旧无法解决故障。卸载微点后故障消失。

详细故障状况:安装最新微点软件完毕,询问“是否重启?”点“否”,随即手工关闭所有打开的程序并重启电脑。重启后,微点自动启动,瑞星防火墙2007不停的发出提示:MPMain.exe(微点主程序)请求连接网络、请求开放本地端口。我全部选择“允许”。此后,发现在手动升级微点时,提示“服务器有问题,请检查”(大意如此)。随后发现瑞星杀毒软件2007和防火墙的智能升级程序、瑞星的可疑文件上报软件无法正常连接网络,也是提示“服务器故障,请检查”(大意如此)。
重启电脑后,微点提示发现未知木马木马(微点软件的提示框上确实连写了两个“木马”,是不是一个小bug?):C:\WINDOWS\system32\idmmbc.dll,无法删除。进入微点软件后查看发现idmmbc.dll为“后门”。(我没有设自动发送病毒样本,而是设为自动提示是否发送未知病毒样本,但微点一直没有询问是否发送)随后发现我使用的傲游浏览器(Maxthon)1.5.9 Build 80增强版无法正常访问网络(不能打开网页)。但此时微点的自动升级功能却可以正常使用。测试后发现此时只有微点的升级程序能访问网络,其他程序都无法正常连接网络。关闭微点防火墙或退出微点都无法解决故障。尝试将傲游浏览器、瑞星可疑文件上报工具添加进微点的“信任程序”、添加进微点的网络访问控制并设为“允许访问网络”,故障依旧。将微点的规则包从1调到5,仍然无法正常上网。
此时打开瑞星防火墙2007,发现微点调用的几个程序都跟互联网有几万到几十万字节的数据交换(不知道是不是我点了2、3次微点“自动升级”的缘故),而任务栏里ADSL连接图标却显示“发送”和“收到”都只有几百字节。
连想到安装微点并重启后瑞星防火墙2007提示微点连接了数个网络地址、开放了几个本地端口,会不会问题出在这里?于是进入瑞星防火墙,删除了跟微点有关的所有规则并重启系统。重启后微点自动启动,瑞星防火墙再次提示MPMain.exe(微点主程序)请求连接网络、请求开放本地端口。上次全点的是“允许”,这次全部点“禁止”。如此这样摆弄一番后,故障依旧。最后卸载微点后,故障消失,一切恢复正常。
不知道是我使用微点的方法不对还是微点和我的系统或软件发生了冲突,亦或是idmmbc.dll木马在作怪?希望各位能给予指点和帮助,并祝东方微点越来越强,一路顺风!

附:瑞星防火墙2007 19.10版记录的微点连接网络、开放本地端口的情况:
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1113 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1112 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1103 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1102 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1097[Rat木马] => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1096 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1095[Rat木马] => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1094 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1093 => 127.0.0.1:7650         
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1092 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1091 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1090[Extreme木马] => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1089 => 127.0.0.1:7650         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:1084         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7200            
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1059 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1058 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1057 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1056 => 127.0.0.1:7650         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7227         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7226         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7225         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7224         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7223         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7222         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7221         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7220                  
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7219         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7218         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7217         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7216         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7215[Backdoor/SubSeven木马]         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7214         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7213         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7212         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7211         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7210         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7209         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7208         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7207         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7206         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7205         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7204         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7203         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7202         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7201         
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7200         
系统禁止本地MPMon.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7300[网络精灵木马]         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1667 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1666 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1665 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1664 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1663 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1661 => 127.0.0.1:7650         
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1660 => 127.0.0.1:7650

[ Last edited by Legend on 2007-8-1 at 11:13 ]
作者: Legend     时间: 2007-2-14 22:42
非常感谢楼主详细的反映。从您反映的情况看,我们希望您再配合我们做个测试
1、请您在重新安装完成微点后,请先允许微点进程访问网络(请将微点的:Mpsvc.exe Mpsvc1.exe,Mpsvc2.exe MpMain.exe,Mpmon.exe MpUpdate.exe 这六个进程加入到瑞星防火墙)
2、如果依然出现不能上网的情况,请打开微点主界面--[系统自启动信息]中,按照启动方式排序,请看 有关 SPI 的启动方式,察看是否有C:\WINDOWS\system32\idmmbc.dll,您回答有或没有就可以(您也可以右键导出系统自启动信息,把有关 SPI 的项目粘贴出来,我们来帮助您分析)
3、不能上网的情况出现后,请您尝试使用下面的命令(在运行中输入cmd,进入dos命令行,输入netsh winsock reset)之后,是否可以上网了

谢谢您的配合

[ Last edited by Legend on 2007-2-14 at 22:51 ]
作者: magicwanyu     时间: 2007-2-14 22:52
都已经加入了啊,可是不行啊~
另外,这是什么原理啊?不把微点加入瑞星防火墙,其他程序也无法访问网络了吗?难道是微点把网络保护了起来,微点不能访问网络,其他软件(包括浏览器)也无法访问网络了吗?能不能阐述一下原理?
作者: magicwanyu     时间: 2007-2-14 22:56
好的,我尽快试。明天一早就把结果发过来。
您说的第2点我卸载微点前已经做了,答案是:有。具体如下:
idmmbc.dll         SPI   其他软件  C:\WINDOWS\system32\idmmbc.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem       
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem       
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem       
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem       
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem

感谢您的帮助!
作者: Legend     时间: 2007-2-14 23:04
非常感谢您的再次测试。如果出现不能上网后请尝试步骤3
另外请把C:\WINDOWS\system32\idmmbc.dll文件以及导出的系统自启动信息发送到support@micropoint.com.cn。如果您发送邮件麻烦您把该贴链接一并写在邮件中。谢谢
作者: magicwanyu     时间: 2007-2-15 11:15
已将C:\WINDOWS\system32\idmmbc.dll文件以及导出的系统自启动信息发送到support@micropoint.com.cn了,该贴的连接也已写入邮件。突然发现idmmbc.dll是安装的股票分析软件附带的,好几个股票分析软件都要调用这个文件。
作者: Legend     时间: 2007-2-15 11:40
谢谢您反馈,您可以暂时按照上面的方法操作。如果还有问题请及时联系我们。
作者: magicwanyu     时间: 2007-2-21 10:51
故障基本解决~

发现安装360安全卫士最新版后出现跟安装微点后完全相同的症状(无法上网)

版主提供的解决方法3(在运行中输入cmd,进入dos命令行,输入netsh winsock reset)是不是重新载入Winsock啊?
我使用瑞星卡卡安全助手,手动将提示异常的Winsock修复,发现之后就可以正常上网了.正在查找资料,看看是什么原理.不知版主有空的时候能否简要介绍一下netsh winsock reset之后就能正常上网的原因.谢谢~!

另外,附上对未知木马idmmbc.dll对扫描结果:
Antivirus Version Update                Result
AntiVir 7.3.1.37 02.20.2007  no virus found
Authentium 4.93.8 02.19.2007  no virus found
Avast 4.7.936.0 02.19.2007  no virus found
AVG 386 02.19.2007  no virus found
BitDefender 7.2 02.20.2007  no virus found
CAT-QuickHeal 9.00 02.20.2007  no virus found
ClamAV devel-20060426 02.20.2007  no virus found
DrWeb 4.33 02.20.2007  no virus found
eSafe 7.0.14.0 02.20.2007  no virus found
eTrust-Vet 30.4.3414 02.20.2007  no virus found
Ewido 4.0 02.19.2007  no virus found
FileAdvisor 1 02.20.2007  no virus found
Fortinet 2.85.0.0 02.20.2007  no virus found
F-Prot 4.2.1.29 02.19.2007  no virus found
F-Secure 6.70.13030.0 02.20.2007  no virus found
Ikarus T3.1.0.31 02.20.2007 Trojan-Downloader
Kaspersky 4.0.2.24 02.20.2007  no virus found
McAfee 4966 02.19.2007  no virus found
Microsoft 1.2204 02.20.2007  no virus found
NOD32v2 2072 02.20.2007  no virus found
Norman 5.80.02 02.20.2007  no virus found
Panda 9.0.0.4 02.20.2007  no virus found
Prevx1 V2 02.20.2007  no virus found
Sophos 4.14.0 02.19.2007  no virus found
Sunbelt 2.2.907.0 02.17.2007  no virus found
Symantec 10 02.20.2007  no virus found
TheHacker 6.1.6.061 02.20.2007  no virus found
UNA 1.83 02.20.2007  no virus found
VBA32 3.11.2 02.19.2007  no virus found
VirusBuster 4.3.19:9 02.19.2007  no virus found

只有一款杀毒软件将其识别为病毒.
作者: magicwanyu     时间: 2007-2-21 17:19
转自360安全论坛:
Winsock LSP“浏览器绑架”
    这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,会造成用户计算机无法访问网络!LSP全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以针对性地投放广告,获取用户访问习惯——想一想,当你访问一个网络的时候,所有数据都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会造成用户不能访问网络。

似乎这就是我不能上网的原因.似乎是安装微点或360安全卫士后删除某恶意软件导致的.
作者: speedtt     时间: 2007-7-31 00:11
我也是遇到这样的问题
重启后,在微点提示框里,选择不删除&信任C:\WINDOWS\system32\idmmbc.dll,才能正常上网

不懂idmmbc.dll到底是个什么东东?

用unlocker查看了,似乎是与进程中的所有网络软件动态锁定......:(

[ Last edited by speedtt on 2007-7-31 at 00:22 ]
附件 1: 777777.gif (2007-7-31 00:22, 19.52 K,下载次数: 41)


作者: Legend     时间: 2007-7-31 07:02
请您把C:\WINDOWS\system32\idmmbc.dll文件以及导出的系统自启动信息压缩发送到support@micropoint.com.cn邮箱,并说明情况,我们具体进行测试,谢谢您对微点的支持。
注:发邮件时请把此帖子的链接一同发送,便于工作人员跟踪您的问题,及时为您解决问题。
作者: Legend     时间: 2007-8-1 11:13
楼主的问题微点已经解决,请等待微点的更新,感谢楼主的反馈,楼主可以先自行将微点所报的文件自行加入微点可信设置中去,
具体设置如下:(微点主界面|安全防护与策略|程序行为实时监控策略|可信程序设置添加即可)
此主题暂做关闭主题处理,如有其他问题,请您另开新帖讨论!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn