昨天，下午电脑用的好好的，突然间速度怪慢，打开任务管理器，CPU100%,杀毒软件也不起作用。

用omnipeek抓了一下包(2007-6-12.pkt)，请看peermap,protocol,两张图，发现以下几个怪问题：

本机的IP为192.168.20.200 内网：192.168.20.0／24

1.本机的192.168.20.200 跟192.168.23.0／24这一段IP的连接，因为内网根本就没有这些IP，这些IP都是假的......

2.本机跟192.168.20.209 的这台机的利用CIFS的协议在传来传去一些什么信息？

3.我也没有去访问过192.168.20.209这台电脑？

4.为什么，最新的杀毒软件一点反应都没有？（卡巴，瑞星都试过）

CIFS (Common Internet File System)

通用Internet文件系统

CIFS 是一个新提出的协议，出现在win2000中以及以后的操作系统中以取代SMB。它使程序可以访问远程Internet计算机上的文件并要求此计算机的服务。CIFS 使用客户/服务器模式。客户程序请求远在服务器上的服务器程序为它提供服务。服务器获得请求并返回响应。CIFS是公共的或开放的SMB协议版本，并由Microsoft使用。SMB协议现在是局域网上用于服务器文件访问和打印的协议。象SMB协议一样，CIFS在高级运行，而不象TCP/IP协议那样运行在底层。CIFS可以看做是现丰应用程序协议如文件传输协议和超文本传输协议的一个实现。
CIFS 功能
1 访问服务器本地文件并读写这些文件
2 与其它用户一起共享一些文件块
3 在断线时自动恢复与网络的连接
4 使用西欧字符文件名

一般来说，CIFS使用户得到比FTP更好的对文件的控制。它提供潜在的更直接地服务器程序接口，这比使用HTTP协议的浏览器更好。
CIFS 是开放组标准而且已经被作为Internet应用程序标准被提交到IETF。

引自：http://ei.szpt.edu.cn/longen/A-D/CIFS.htm

悬，trace file 存了吗？穿上来吧？

[ 本帖最后由 Ricky 于 2007-6-13 22:29 编辑 ]

不是病毒就是木马 呵呵
开始怀疑是人为扫描呢
微妙级速度疯狂向port 135,445,1433发送连接请求
扫描了192.168.23段的248台主机
以及24段的30台左右主机以及20段的6台主机

其中得到ip为192.168.20.209的主机响应
然后重复209访问系统默认共享文件ADMIN$,C$,D$,E$,F$,G$  但均被拒绝
并不断尝试创建文件连接 同时以失败告终

期间不断的通过http成功下载了一个长名的exe文件
http://8.255.52.253/msdownload/u ... 9fc253dfeb69c25.exe

版主能否将你分析的过程给大家做一个说明呢？我们很需要这方面的指点。谢谢了

版主能否将你分析的过程给大家做一个说明呢？我们很需要这方面的指点。谢谢了

选择任意一个.200主机与8.255.52.253的IP包 比如第7个数据包然后：右键-->Select Related Packets-->by Source and Destination 就能过去掉其他数据包，这样会看的清楚些。
我帮版主把图贴上

209访问系统默认共享文件ADMIN$,C$,D$,E$,F$,G$  但均被拒绝

[ 本帖最后由 KIMICN 于 2007-6-14 15:46 编辑 ]

受教育阿

恩，这个要来支持一下。

这是windows xp 的默认更新，大家都知道XP漏洞百出了，所以一般更新都是打开的。这应该不会影响太大，问题就在，我中招的电脑是192.168.20.0/24网段的，扫描了192.168.23段的248台主机，这个不存在的网段有什么用，这是什么病毒啊？？？

为什么要扫描23网段那就要问写病毒的人了，其实如果写病毒的人愿意他可以扫描任意网段。如果你真有23这个网段那么影响的范围不更大吗！

最近也有几台机子出现这种情况，有的更离谱扫描几十个网段，杀毒软件管用吗？（对于病毒主机我只有提醒的份 ），楼主最后怎么解决的？

你把那个下载回来的文件拉传上来我看看
我现在在家,我可不想自己有什么事情

那个下载的文件是系统补丁类程序
属于windows更新事件 要它干什么

有可能是病毒