右下角不显示瑞星杀毒软件和防火墙标志是怎么回事

发布网友 发布时间：2022-04-27 02:18

我来回答

共3个回答

热心网友 时间：2022-06-22 06:03

网的日志一般有三行：
第一行：数据包发送（接受）时间/发送者IP地址/对方通讯端口/数据包类型/本机通讯端口
第二行：为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ，其中标志位A、S和F较常用。
ACK：确认标志 提示远端系统已经成功接收所有数据
SYN：同步标志 该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号
FIN：结束标志 带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。
RST：复位标志，具体作用未知。
第三行：对数据包的处理方法：不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，即防火墙拦截了！因此对方不能确定你在线否！

【⑴】：最常见的：尝试用ping来探测本机

··在防火墙规则里设置“防止别人用PING命令探测主机”，你的电脑就不会返回给对方ICMP包，这样别人就无法用PING命令探测你的电脑的存在。这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如下日志：

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，
类型: 8 ， 代码: 0，
该包被拦截。

这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击，不过黑客可以通过编写攻击程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动攻击，使被攻击电脑的操作系统蓝屏、死机。蓝屏*一般用的就是IGMP协议。

一般形成IGMP攻击时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。不过，有时收到这样的提示信息也并不一定是黑客或病毒在攻击，在局域网中也会常收到来自网关的类似数据包。

另外：你的机子安装了许多自动在线升级的软件，如瑞星、KV、WINDOWS自动更新、木马克星、魔法兔子等等软件，当这些软件的提供商即服务器，他要升级这些软件时，他在检查他的客户端发出升级指令，这个检查客户的过程就是PING客户。这点被多好朋友忽视。这是是善意的PING 。

··也有另一种PING信息日志：

[14:00:24] 210.29.14.130 尝试用Ping来探测本机，
该操作被拒绝。

这种情况一般是扫描器探测主机，主要目的是探测远程主机是否连网！

··如果偶尔一两条没什么，但如果显示有N个来自同一IP地址的记录，很有可能是别人用黑客工具探测你主机信息或者因为病毒了。如：

[14:00:24] 210.29.14.45 尝试用Ping来探测本机，
该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机，
该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机，
该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机，
该操作被拒绝。

若不是黑客所为，那这些机器一般是感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息，这样的情况就要注意先打冲击波补丁，并且查毒。我中了V-King。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。

【⑵】：一些常见端口信息日志

··[16:47:24] 60.31.133.146试图连接本机的135端口，
TCP标志：S，
该操作被拒绝。

同上，是利用RPC服务漏洞的冲击波类的蠕虫病毒，该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。

··[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口，
TCP标志：S，
该操作被拒绝。

特征：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁

139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络*享；网上黑客也可通过NetBIOS知道你的电脑中的一切!NetBIOS是网络的输入输出系统，尽管现在TCP/IP 协议成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。对于连接到互联网上的机器，NetBIOS完全没有用处，可以将它去掉。不会吗？自己查

··[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口，
TCP标志：S，
该操作被拒绝。

开了445端口，在局域网中轻松访问各种共享文件夹或共享打印机，但正因为有了它，别有用心者才有了可乘之机

SMB： Windows协议族，用于文件和打印共享服务。
NBT： 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。

在NBT上面,有SMB基础报文头部。SMB可以直接运行于TCP之上而无须NBT

在Windows NT中SMB基于NBT实现。 而在WinXP中，SMB除了基于NBT的实现，还有直接通过445端口实现。 当WinXP（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。

135端口是用来提供RPC通信服务的，445和139端口一样，是用来提供文件和打印机共享服务的。正常情况,局域网的机器共享和传输文件(139端口。连接你的135和445端口的机器本身应该是被动地发数据包，或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。既然如此，那当然也可能是利用聊的人扫描ip段，这个也是常见的，初学黑客技术都这样，十足的狂扫迷，但往往什么也没得到，这种人应该好好看看

TCP/IP协议原理。

前面说了，局域网传播病毒会PING局域网机器，那有漏洞的主机当然躲不过端口连接，连接135端口的是冲击波（Worm.Blaster）病毒，尝试用Ping来探测本机也属于此，这种135端口的探测一般是局域网传播，现象为同一个ip不断连接本机135端口，此时远程主机没打冲击波补丁，蠕虫不断扫描同一ip段(这个是我自己的观点，冲击波的广域网和局域网传播方式估计不同吧，欢迎指正！)

某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。此时日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。这种人应该同情下，好好杀毒吧！

··[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口，
TCP标志：S，
该操作被拒绝。

一般上网的用户都有这种情况，网站服务器的回显等等啊，出现一两个这样的报警没关系的。

如果你安装了IIS来建立自己的个人网站，开放了WEB服务，即会开放80端口。因此黑客扫描判断你是否开放了WEB服务，寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为，不需要过于担心了。

如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。

若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。

··[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口，
TCP标志：S，
该操作被拒绝。

这个也分两种，一种是有人想探测你的主机是不是开放了21端口，想看看共享资源；另一种是用扫描器扫ip段的ftp服务端口，一般没什么恶意。21端口是FTP服务所开放的端口，导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP，以寻求软件、电影的下载。

··[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口，
TCP标志：S，
该操作被拒绝。

这个是有人扫描ip段中的代理服务器，一般代理服务器默认端口常见的如Wingate[1080]，*roxy[808,1080]等等，也没什么关系。

··[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。

系统因素：Blazer 5[5000]端口是winxp的服务器端口，WindowsXP默认启动的 UPNP服务，没有病毒木马也是打开的，大家看到的报警一般属于这种情况，因为本地或远程主机的5000端口服务异常，导致不断连接5000端口。

木马因素：有些木马也开放此端口，如木马blazer5开放5000端口，木马Sockets de roie开放5000、5001、5321端口等！

··[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,
本机端口: 1214 ，
对方端口: OICQ Server[8000]
该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，
本机端口: 4001 ，
对方端口: OICQ Server[8000]
该包被拦截。

腾讯QQ服务器端开放的就是8000端口.一般是qq服务器的问题，因为接受不到本地的客户响应包，而请求不断连接，还有一种可能就是主机通过qq服务器转发消息，但服务器发给对方的请求没到达，就不断连接响应了(TCP连续三次握手出错了，我是这么认为的，我研究不深，具体没找到权威资料，可能说的不对，欢迎指正)

··[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，
本机端口: 33438 ，
对方端口: 10903
该包被拦截。

这种情况一般是游戏开放的服务端口，一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏

。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。

··[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，
本机端口: 6884 ，
对方端口: 6881
该包被拦截。

这个是BT服务端口(6881~~6889)，每个bt线程占用一个端口，据说只能开9个，但有时候防火墙报警，原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句，何大哥有时候喜欢整几个*下载的软件，因此楼上的不能用BT，因为他的电脑做主机*了这些端口，不能使其BT端口全部打开。解决方法：端口映射，换默认端口！

一般高端端口没有什么好担心的，这是有人在用扫IP的软件在扫IP地址而正好扫到你的IP地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP，如果实在太烦，你可以把你的那个端口关掉。

【⑶】：日志记录的攻击性记录
常见的有洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。

··SYN Flood洪水攻击：

[11:13:55] 接收到210.29.14.130的SYN Flood攻击，
该操作被拒绝。

··IGMP数据包攻击：

[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截

这是日志中最常见最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。

碰到这种情况可以分两种：一种是你得罪他了，和你有仇；另一种就是攻击者吃饱了撑的或是一个破坏狂，这种人一般就一个人住，做点坏事也没别人知道的。品格有点小恙，遇到了，多注意点吧。

【⑷】真正想入侵的日志这样的，应该注意：

··[11:13:55] 219.130.135.151试图连接本机的3389端口，
TCP标志：S，
该操作被拒绝。

这种应该引起重视，3389这么恐怖的事情都来，菜鸟的最爱。

··[11:13:55] 210.29.14.130试图连接本机的1433端口，
TCP标志：S，
该操作被拒绝。

远程溢出，溢出的SYSTEM32就可以做CMD在你电脑上起作用，你整个电脑就在对方控制中了。

··[11:13:55] 210.29.14.130试图连接本机的23端口，
TCP标志：S，
该操作被拒绝。

··[11:13:55] 210.29.14.130试图连接本机的4899端口，
TCP标志：S，
该操作被拒绝。
以上两个不知道自己去网上查。

··[5:49:55] 61.114.78.110 试图连接本机的7626端口
TCP标志：S
该操作被拒绝

冰河木马的端口，黑客迷们的最爱

··[11:13:55] 210.29.14.130试图连接本机6267端口，
TCP标志：S，
该操作被拒绝。

广外女生木马的默认端口，很经典的一个国产木马

··[11:13:55] 210.29.14.130试图连接本机5328端口，
TCP标志：S，
该操作被拒绝。

风雪木马的默认端口

这几条记录就要注意一下，假如你没有中木马，也就没有打7626这几个端口，当然没什么事。而木马如果已植入你的机子，你已中了木马，木马程序自动打开这几个端口，迎接远方黑客的到来并控制你的机子。但你装了防火墙以后，一般即使你中了木马，该操作也会被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得靠你的经验和资料来分析该端口的是和哪种木马相关联，从而判断对方的企图，并采取相应措施，封了那个端口。

另外还有一些：
··[6:14:20] 192.168.0.110 的【1294】端口停止对本机发送数据包
TCP标志：F A
继续下一规则

[6:14:20] 本机应答192.168.0.110的【1294】端口
TCP标志：A
继续下一规则

从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在天网防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没必要以为有新的记录就是人家在攻击你，上面的日志是正常的，别怕！UDP监视查找IP可以利用这个道理。

关机时出现提示“有1用户已登入到你的计算机，\\***,是否切断与他的联系”

你中了木马，当木马的服务器（黑客）发出指令PING所有客户端，如果你的防火墙好就被拦截了，出现“[16:39:29] 218.74.？.？ 尝试用Ping 来探测本机，该操作被拒绝”的情况，没有防火墙，只有杀毒软件，就被入侵了，关机时出现“有1用户已登入到你的计算机\\***,是否切断与他的联系”的情况。

参考资料：不好请不要骂我，我既然回复了多热心啊！右下角不显示瑞星杀毒软件和防火墙标志是怎么回事

热心网友 时间：2022-06-22 06:03

请您先使用下面的橙色八月病毒工具检测系统

8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写，可清除“QQ通行证（Trojan.PSW.QQPass）”、“传奇终结者（Trojan.PSW.Lmir）”、“密西木马（Trojan.psw.misc）”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。

注：建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。

附：病毒列表上的病毒主要针对以下安全软件

卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸

http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

热心网友 时间：2022-06-22 06:03

瑞星推出橙色八月专用提取清除工具
http://publish.it168.com/2006/0806/20060806000501.shtml
这些新的变种病毒有一个共同的特征，专门针对主流杀毒软件进行破坏。当病毒发现用户正在使用杀毒软件时，会自动将它们关闭，使用户无法杀毒。同时，某些病毒还会造成杀毒软件查毒时系统“蓝屏”或自动重启。建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。