magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#1 使用微点后无法正常上网(解决)
系统:WinXP SP2(已经安装微软2007年2月11日发布的最新补丁)
电脑:台式机
上网方式:中国电信ADSL 2M宽带网,使用Windows自带的PPPoE拨号软件,U口ADSL猫。
出现问题的微点版本:2月14日从微点官网首页上下载的070211.1.2.10569.0036版,安装完成后自动升级至最新版。
其他:电脑上已安装正版的瑞星2007杀毒软件19.10.20和瑞星2007防火墙19.10、瑞星卡卡安全助手3.2.0.9(以上都为最新版并设为随系统自动启动),超级巡警和Ad-Aware SE Personal(没有设为自动启动)。
故障概况:安装微点主动防御软件后无法正常连接网络。根据微点论坛和微点软件自带的帮助文档对微点软件进行各种设置依旧无法解决故障。卸载微点后故障消失。
详细故障状况:安装最新微点软件完毕,询问“是否重启?”点“否”,随即手工关闭所有打开的程序并重启电脑。重启后,微点自动启动,瑞星防火墙2007不停的发出提示:MPMain.exe(微点主程序)请求连接网络、请求开放本地端口。我全部选择“允许”。此后,发现在手动升级微点时,提示“服务器有问题,请检查”(大意如此)。随后发现瑞星杀毒软件2007和防火墙的智能升级程序、瑞星的可疑文件上报软件无法正常连接网络,也是提示“服务器故障,请检查”(大意如此)。
重启电脑后,微点提示发现未知木马木马(微点软件的提示框上确实连写了两个“木马”,是不是一个小bug?):C:\WINDOWS\system32\idmmbc.dll,无法删除。进入微点软件后查看发现idmmbc.dll为“后门”。(我没有设自动发送病毒样本,而是设为自动提示是否发送未知病毒样本,但微点一直没有询问是否发送)随后发现我使用的傲游浏览器(Maxthon)1.5.9 Build 80增强版无法正常访问网络(不能打开网页)。但此时微点的自动升级功能却可以正常使用。测试后发现此时只有微点的升级程序能访问网络,其他程序都无法正常连接网络。关闭微点防火墙或退出微点都无法解决故障。尝试将傲游浏览器、瑞星可疑文件上报工具添加进微点的“信任程序”、添加进微点的网络访问控制并设为“允许访问网络”,故障依旧。将微点的规则包从1调到5,仍然无法正常上网。
此时打开瑞星防火墙2007,发现微点调用的几个程序都跟互联网有几万到几十万字节的数据交换(不知道是不是我点了2、3次微点“自动升级”的缘故),而任务栏里ADSL连接图标却显示“发送”和“收到”都只有几百字节。
连想到安装微点并重启后瑞星防火墙2007提示微点连接了数个网络地址、开放了几个本地端口,会不会问题出在这里?于是进入瑞星防火墙,删除了跟微点有关的所有规则并重启系统。重启后微点自动启动,瑞星防火墙再次提示MPMain.exe(微点主程序)请求连接网络、请求开放本地端口。上次全点的是“允许”,这次全部点“禁止”。如此这样摆弄一番后,故障依旧。最后卸载微点后,故障消失,一切恢复正常。
不知道是我使用微点的方法不对还是微点和我的系统或软件发生了冲突,亦或是idmmbc.dll木马在作怪?希望各位能给予指点和帮助,并祝东方微点越来越强,一路顺风!
附:瑞星防火墙2007 19.10版记录的微点连接网络、开放本地端口的情况:
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1113 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1112 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1103 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1102 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1097[Rat木马] => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1096 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1095[Rat木马] => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1094 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1093 => 127.0.0.1:7650
系统禁止本地MPMon.exe连接网络的请求,地址为:TCP, 0.0.0.0:1092 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1091 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1090[Extreme木马] => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1089 => 127.0.0.1:7650
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:1084
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7200
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1059 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1058 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1057 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1056 => 127.0.0.1:7650
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7227
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7226
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7225
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7224
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7223
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7222
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7221
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7220
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7219
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7218
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7217
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7216
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7215[Backdoor/SubSeven木马]
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7214
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7213
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7212
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7211
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7210
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7209
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7208
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7207
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7206
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7205
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7204
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7203
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7202
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7201
系统禁止本地MPMain.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7200
系统禁止本地MPMon.exe开放本地端口的请求,地址为:TCP, 127.0.0.1:7300[网络精灵木马]
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1667 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1666 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1665 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1664 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1663 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1661 => 127.0.0.1:7650
系统禁止本地MPMain.exe连接网络的请求,地址为:TCP, 0.0.0.0:1660 => 127.0.0.1:7650
[ Last edited by Legend on 2007-8-1 at 11:13 ]
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-14 22:15 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#2
非常感谢楼主详细的反映。从您反映的情况看,我们希望您再配合我们做个测试
1、请您在重新安装完成微点后,请先允许微点进程访问网络(请将微点的:Mpsvc.exe Mpsvc1.exe,Mpsvc2.exe MpMain.exe,Mpmon.exe MpUpdate.exe 这六个进程加入到瑞星防火墙)
2、如果依然出现不能上网的情况,请打开微点主界面--[系统自启动信息]中,按照启动方式排序,请看 有关 SPI 的启动方式,察看是否有C:\WINDOWS\system32\idmmbc.dll,您回答有或没有就可以(您也可以右键导出系统自启动信息,把有关 SPI 的项目粘贴出来,我们来帮助您分析)
3、不能上网的情况出现后,请您尝试使用下面的命令(在运行中输入cmd,进入dos命令行,输入netsh winsock reset)之后,是否可以上网了
谢谢您的配合
[ Last edited by Legend on 2007-2-14 at 22:51 ]
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息 |
|
|
|
2007-2-14 22:42 |
|
magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#3
都已经加入了啊,可是不行啊~
另外,这是什么原理啊?不把微点加入瑞星防火墙,其他程序也无法访问网络了吗?难道是微点把网络保护了起来,微点不能访问网络,其他软件(包括浏览器)也无法访问网络了吗?能不能阐述一下原理?
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-14 22:52 |
|
magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#4
好的,我尽快试。明天一早就把结果发过来。
您说的第2点我卸载微点前已经做了,答案是:有。具体如下:
idmmbc.dll SPI 其他软件 C:\WINDOWS\system32\idmmbc.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
感谢您的帮助!
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-14 22:56 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-14 23:04 |
|
magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#6
已将C:\WINDOWS\system32\idmmbc.dll文件以及导出的系统自启动信息发送到support@micropoint.com.cn了,该贴的连接也已写入邮件。突然发现idmmbc.dll是安装的股票分析软件附带的,好几个股票分析软件都要调用这个文件。
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-15 11:15 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-15 11:40 |
|
magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#8
故障基本解决~
发现安装360安全卫士最新版后出现跟安装微点后完全相同的症状(无法上网)
版主提供的解决方法3(在运行中输入cmd,进入dos命令行,输入netsh winsock reset)是不是重新载入Winsock啊?
我使用瑞星卡卡安全助手,手动将提示异常的Winsock修复,发现之后就可以正常上网了.正在查找资料,看看是什么原理.不知版主有空的时候能否简要介绍一下netsh winsock reset之后就能正常上网的原因.谢谢~!
另外,附上对未知木马idmmbc.dll对扫描结果:
Antivirus Version Update Result
AntiVir 7.3.1.37 02.20.2007 no virus found
Authentium 4.93.8 02.19.2007 no virus found
Avast 4.7.936.0 02.19.2007 no virus found
AVG 386 02.19.2007 no virus found
BitDefender 7.2 02.20.2007 no virus found
CAT-QuickHeal 9.00 02.20.2007 no virus found
ClamAV devel-20060426 02.20.2007 no virus found
DrWeb 4.33 02.20.2007 no virus found
eSafe 7.0.14.0 02.20.2007 no virus found
eTrust-Vet 30.4.3414 02.20.2007 no virus found
Ewido 4.0 02.19.2007 no virus found
FileAdvisor 1 02.20.2007 no virus found
Fortinet 2.85.0.0 02.20.2007 no virus found
F-Prot 4.2.1.29 02.19.2007 no virus found
F-Secure 6.70.13030.0 02.20.2007 no virus found
Ikarus T3.1.0.31 02.20.2007 Trojan-Downloader
Kaspersky 4.0.2.24 02.20.2007 no virus found
McAfee 4966 02.19.2007 no virus found
Microsoft 1.2204 02.20.2007 no virus found
NOD32v2 2072 02.20.2007 no virus found
Norman 5.80.02 02.20.2007 no virus found
Panda 9.0.0.4 02.20.2007 no virus found
Prevx1 V2 02.20.2007 no virus found
Sophos 4.14.0 02.19.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.20.2007 no virus found
TheHacker 6.1.6.061 02.20.2007 no virus found
UNA 1.83 02.20.2007 no virus found
VBA32 3.11.2 02.19.2007 no virus found
VirusBuster 4.3.19:9 02.19.2007 no virus found
只有一款杀毒软件将其识别为病毒.
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-21 10:51 |
|
magicwanyu
新手上路
积分 8
发帖 8
注册 2007-2-14
|
#9
转自360安全论坛:
Winsock LSP“浏览器绑架”
这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,会造成用户计算机无法访问网络!LSP全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以针对性地投放广告,获取用户访问习惯——想一想,当你访问一个网络的时候,所有数据都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会造成用户不能访问网络。
似乎这就是我不能上网的原因.似乎是安装微点或360安全卫士后删除某恶意软件导致的.
| |
※ ※ ※ 本文纯属【magicwanyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-21 17:19 |
|
speedtt
新手上路
积分 1
发帖 1
注册 2007-7-31
|
|
|
2007-7-31 00:11 |
|
|
