我的一台服务器向外发包目标121.10.113.22，流量很大造成cpu100，换各种杀毒软件查不到病毒，重作系统后依然。只要一配dns和网关就开始发包。详见附件（只截了一部分尺寸太大）

[ 本帖最后由 itmscisco 于 2008-6-3 14:08 编辑 ]

硬盘全部格式化就可以了

忘说一句作了2次系统都是全盘格了重分区作的。

ping request咯，肯定有什么软件在作怪

今天又换地址了成61.128.172.41

系统是2003ser装了sql2000

全是ICMP包，装完系统后不要及着连上网络，打上WINDOWS补丁，装好防病毒，配好防火墙，再连上防络。
和以及的RPC冲击波和震荡波有些相似。

用TDIMon可以看到机器上哪个进程发送数据 （是否有同志可以帮忙确认一下ICMP是否可以看到）

引用:

原帖由 Vader 于 2008-6-3 16:57 发表
用TDIMon可以看到机器上哪个进程发送数据 （是否有同志可以帮忙确认一下ICMP是否可以看到）

试过了，好像不行啊，开了一堆ping －t，tdimon一个都没看到。。。不如直接装个防火墙，有应用程序连接网络第一时间弹出来报警啊。

Sql2000要装sqlsp4补丁的，否则容易遭受蠕虫感染产生拥塞
补丁大概约56M

谢谢各位，sql2000 sp4补丁刚开始就装了，那天解决一天没成功，这些天忙其他的事没去。现在那台服务器没配dns，现在确定只配网关是不向外发包。在给一个抓的包

[ 本帖最后由 itmscisco 于 2008-6-10 09:55 编辑 ]

下面的是楼顶的又一段包

引用:

原帖由 itmscisco 于 2008-6-10 09:54 发表
谢谢各位，sql2000 sp4补丁刚开始就装了，那天解决一天没成功，这些天忙其他的事没去。现在那台服务器没配dns，现在确定只配网关是不向外发包。在给一个抓的包

看下数据包，发现全是10。212。129。236的机器向外发送的目的端口为tcp 1433、大小为66字节的数据包，不用多说，肯定是蠕虫啦

可是杀毒软件用了卡巴升级到最新，symantec的sep11.0升级到最新，mcafee升级到最新，都找出了些病毒而且好像各找的都不一样，也都杀了还是一配dns就忘外发。怀疑中了机器狗了不知道是不是

准备现在去现场了……

故障依旧，谁给找个办法啥！万分感谢！刚用了360的木马专杀一个木马没找到。

引用:

原帖由 itmscisco 于 2008-6-10 15:38 发表
故障依旧，谁给找个办法啥！万分感谢！刚用了360的木马专杀一个木马没找到。

楼主可以使用vader大大说的TDIMON，或者其他工具查看对应的发包进程，然后提供一些信息让坛子里的系统分析高手指点下。

谢谢大家！问题解决了用的是nod32杀毒软件，杀出的是疑似木马删除后就正常了。v大说的tdimon下下来还没用新装的nod32就扫出毒给解决了。
看来遇到这种问题一定是病毒的原因，多换杀毒软件试解决起来。抓的包因为个人水平问题也看不出所以然。

我遇到过一台机器安装了某个版本的智能狂拼后，狂向一个特定域名网址发包的情况（我从代理软件上可以看到这个网址的域名），后卸载掉这个狂拼后问题解决

我建议楼主想办法找到这几个地址对应的域名

可能可以定位是哪个软件发出的

向外发送的是SYN包啊`~看情况象是在扫描探测，你的机器是攻击源