微点交流论坛

标题: 防火墙关闭135-139端口后，137端口仍有连出，是否属正常 [打印本页]

作者: darknight 时间: 2010-7-29 09:44 标题: 防火墙关闭135-139端口后，137端口仍有连出，是否属正常

如图

还一个问题，好象很多人都说MDM.EXE这个进程容易被攻击，可以关闭么，
可以的话如何永久关闭

作者: Legend 时间: 2010-7-29 09:58
感谢楼主的反馈。
您具体使用的微点软件具体是什么版本？
楼主使用的防火墙是您新建的规则包策略吗？
新建规则包里具体是怎么设置的？请您详细描述下。

作者: 社区007 时间: 2010-7-29 10:00
你用什么防火墙禁用的135-137端口？
如果是用微点的防火墙自带的规则包禁用的？用的是哪个规则包？用规则包4试试
mdm.exe是系统自带的调试程序，禁用它不会影响系统的正常运行。
具体参考http://baike.baidu.com/view/612440.htm

作者: darknight 时间: 2010-7-29 10:07
没有新建，我用的规则包四，刚查了下，这个程序来源的创建者是

C:\Documents and Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe
创建时间昨天晚上9点53分

但是现在这个文件找不到了

我的微点版本：1.2.10581.0296

Au_.exe这个文件好象正常的话应该是在WINDOWS文件夹下吧，我机器是不是又被控制了

作者: darknight 时间: 2010-7-29 10:10
用的微点防火墙，规则包四

作者: Legend 时间: 2010-7-29 10:14
如果楼主方便，建议您联系微点在线管理员QQ：466248167或383154254.他们将在线协助您分析和处理该问题。

作者: darknight 时间: 2010-7-29 10:14
Au_.exe这个程序好象还修改了CTFMON.EXE的注册表值，但是我的注册表昨天中午装上微点以后就锁了啊

作者: darknight 时间: 2010-7-29 10:15
不敢开远程协助啊，怕再被攻击，没别的办法了么

作者: darknight 时间: 2010-7-29 10:16
把CTFMON.EXE这个启动项禁了可以不？

作者: darknight 时间: 2010-7-29 10:23
这会又被360打开了，是360杀毒的关系？

作者: 社区007 时间: 2010-7-29 10:25
刚才没仔细看ip地址，这个169.254.255.255属于非Internet地址，是在DHCP服务器分配地址失败时候，系统默认分配的一个ip保留地址，保留地址是无法在互联网上使用的，类似于本地的127.0.0.1啦，你本机之间的通信访问，并不是连接外网，所以这是正常的不用管他啦、
ctfmon.exe程序不能禁止，禁止了就无法切换输入法啦。
ctfmon.exe默认路径C:\WINDOWS\system32目录下，看下大小是否被更改过？如果觉得不放心可以把这个文件发给微点让他们看下是否正常？

[ Last edited by 社区007 on 2010-7-29 at 10:34 ]

作者: Legend 时间: 2010-7-29 10:25
出于安全软件特殊性，建议您卸载360杀毒软件测试。

作者: darknight 时间: 2010-7-29 10:34
我发个系统自启动项的截图，专家帮看看哪些有问题，可以删除

作者: darknight 时间: 2010-7-29 10:35
那这个保留地址，有没可能是黑客伪装的？

作者: 社区007 时间: 2010-7-29 10:40

Quote:

Originally posted by darknight at 2010-7-29 10:35 AM:
那这个保留地址，有没可能是黑客伪装的？

关于保留地址建议你baidu了解一下，这儿给你说不清楚。
文件不存在的几个可以选择删除，不过意义不大。

作者: darknight 时间: 2010-7-29 10:43
CTFMON这个文件大小固定的？

大小

校检

作者: darknight 时间: 2010-7-29 10:45
回复15楼

那RUNDLL32这个启动项说系统指定路径下无法匹配，是不是就是说出问题了？

作者: fewfwef 时间: 2010-7-29 10:51
楼主卸载360，说不定是360拦截或是注册表路径改了，这样容易导致找不到匹配文件的情况。

自启动项不删除吧建议，说不定删除万一出现什么情况的，免得麻烦，放那也不碍事

[ Last edited by fewfwef on 2010-7-29 at 10:53 ]

作者: darknight 时间: 2010-7-29 10:55
。。。。这个错误会是安全隐患么，我现在杀毒除了微点就是偶尔用下360

其他的都不敢下，前几天被攻击那会，下的其他杀软全是被黑客改过的程序，杀不出任何病毒

作者: 社区007 时间: 2010-7-29 10:56

Quote:

Originally posted by darknight at 2010-7-29 10:43 AM:
CTFMON这个文件大小固定的？

大小

校检
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=3716c ...

跟我的一样大的，初步判断应该是正常的，不放心发给微点的人看看
如果是微点也应该报警了吧:D
有些文件改不改删，我不能凭着你的截图建议你删除，你可以联系微点的群管理员帮你看下，毕竟他们更专业

作者: Liukeyu 时间: 2010-8-17 15:13
　　大家不要乱配药了，楼主的问题其实只是看到的样子，其实那个端口并不能正常工作的，已经关了嘛！

作者: cv0cv0 时间: 2010-8-18 04:12
你那个ip不是公网ip，放心。

作者: wjxcnn 时间: 2010-8-18 04:35
（不是公网IP）内网IP或系统内部IP是什么概念。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn