[病毒?蠕蟲?]掛一半的xp內建防火牆

最近lab的網路不穩(問題後述)

因為系統資源問題

只使用xp內建的兩光防火牆

在網路不穩下

發現有以下裝況

開啟區域網路狀態

可以發現防火牆還在啟動狀態
[IMG]http://farm4.static.flickr.com/3585/3327116005_5ba334a7cc_o.jpg[/IMG]
只允許本機遠端出去

不能遠端回本機

進入服務後

防火牆的ICS服務卻是沒狀態(關閉)的
[IMG]http://farm4.static.flickr.com/3335/3327951184_4546e3b8ac_o.jpg[/IMG]
要重新啟動

卻顯示

系統存取被拒

無法啟動ICS服務

開啟XP防火牆紀錄的功能

觀看紀錄後發現

疑似有幾個IP異常送封包的狀況

請問最近有任何蠕蟲或病毒會遠端破壞防火牆嗎?

系統是XP-SP2跟XP-SP3都有

謝謝

回覆: [病毒?蠕蟲?]掛一半的xp內建防火牆

目前繼續分析紀錄檔案

發現疑似有問題的IP

都會發送

UDP PORT:1004的封包

謝謝

回覆: [病毒?蠕蟲?]掛一半的xp內建防火牆

[url]http://www.computersky.com/main/html/2008/5011.htm[/url]

不知道是不是這樣...

反正就到那台電腦去用TCPView看一下就知道了 :P

2 個附加檔案

回覆: [病毒?蠕蟲?]掛一半的xp內建防火牆

目前狀況一整個糊塗了

有問題的那幾台pc已經重灌

但是還是會有關閉的狀況

分析防火牆紀錄

關閉時沒有任何IP進入的訊息

改用Comodo Firewall Pro 3.8.64739.471來記錄

紀錄檔案過大

沒辦法很有效的紀錄所需要的資料

請問有其他可以分析的嗎

本來是懷疑以下資訊

可是這2天自動關閉的封包沒有發現此紀錄

_______________________
最近在分析XP防火牆會自動關閉的問題

開啟XP防火牆紀錄功能

目前有很多懷疑

有一個比較奇怪的是

當雙方連接上後

會持續有一段傳送

2009-03-05 16:45:11 CLOSE TCP 140.X.X.X 140.O.O.O 102 1512 - - - - - - - - -
2009-03-05 16:45:19 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:42 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:45 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:48:09 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:26 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:30 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:37 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:53:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:53:57 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:54:05 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:54:21 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE

奇怪的是這串 UDP 0.0.0.0 255.255.255.255 68 67

去查詢了一下UDP的67跟68是DHCP用的

可是這個區域網路都是固定IP

沒有DHCP

為何一直有這一串呢

___________________

謝謝

PS.附上2台IP的XP內建防火牆紀錄檔