IE使用udp协议是否正常？网上搜索不到

＠_＠

已经发现有将近一周了，奇怪现象为：

１、IE等浏览工具后面都有小尾巴，即udp协议，这个协议监听远程127.0.0.1:1026（端口不固定）（以前我记得没有这种现象，最近一周才发现）

２、udp这个端口监听一段时间后，好像就会告诉别人本机的IP地址，然后就会有奇怪无名进程进行TCP数据包传送，地址从127.0.0.1:1026端口发送到远程127.0.0.1:2124端口（端口不固定）

我知道127.0.0.1代表本地IP，但是因为奇怪TCP数据包的传输，因此担心远程地址的那个127是伪装的，而实际就是陌生人（黑客）的远程地址。

３、wmiprvse.exe进程原本只有一个，奇怪的TCP数据包传输之后，就会出现两个wmiprvse.exe的进程，都使用的相同的程序，就是加载的模块数量不一样，新出来的那个进程加载的模块体积大，（模块我只看出品公司标识也没有发现有啥可疑的），关闭新出现的那个，还会继续出现，杀不掉。

４、已经用三大杀毒软件进行查杀，查不到毒。从网上查，网上信息中只有说“神气儿”木马带UDP协议，可从服务中检查，可是我从服务中也未检查到可疑服务。只有网络连接中的防火墙“例外规则”，把共享和远程桌面都划上了钩，而我以前从未划上过钩。

５、遇到有表单的网页，瑞星检测，IE程序会修改有关于notebook的注册表键值为新建，似乎要把表单内容发送到别方。另外还有一些奇怪现象，暂时不列。

６、重新装系统后照样IE等程序有UDP小尾巴（不会恢复我以前观察到的正常状态了），然后就会继续２的现象等等……，另外很奇怪，光驱启动竟然有些失灵，软驱启动调一次再关机，光驱才能正常启动，以前这种现象没有。

７、难道我真要格式化所有分区吗？那太恐怖了，求助各位高手大侠帮助，谢谢！

zt970831

不清楚，
看这现象像病毒

别人的浏览器有这种现象么?
有没有可能是打了补丁，微软浏览器对用户情况的反馈呢？

wmiprvse - wmiprvse.exe - 进程信息

进程文件： wmiprvse or wmiprvse.exe
进程名称： Microsoft Windows Management Instrumentation

描述：
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。

所处位置
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe
如果在其他位置存在，那就是病毒，间谍，木马或蠕虫。

zt970831

这个不知道有没有用：

新病毒wmiprvse.exe,已发现中两台机了

中了之后，就是IP冲突，无法上网。

在 c:\windows\System32 中的 wmiprvse.exe是系统的
在其它文件夹的是病毒，间谍，木马或蠕虫。

你的是后者。应删去wbem\wmiprvse.exe

zt970831

wbem（存放WMI测试程序，用于查看和更改公共信息模型类、实例和方法等。请勿删除）

无可奈何，直接跟你说了吧，你的机器很正常，根本就没有什么病毒！

＠_＠

那以下现象怎么解释？

１、IE等浏览工具后面都有小尾巴，即udp协议，这个协议监听远程127.0.0.1:1026（端口不固定）（以前我记得没有这种现象，最近一周才发现）有两个udp进程,一个是用端口0，另外一个是用1000以上的不固定端口

２、我无论重新装多少次机器，开始的网络连接中的防火墙“例外规则”，共享和远程桌面都没有划过钩，而奇怪的TCP数据包和第二个wmiprvse.exe进程出现后，这里就变成划上钩的啦！

３、遇到有表单的网页，瑞星检测，IE程序会修改有关于notebook的注册表键值为新建，要把表单内容以txt的未加密的格式发送到别方。

楼主应该开了防火墙吧，我觉得127.0.0.1-127.0.0.1的有时候是防火墙的一种过滤方式

horky

听好了，他们说的太麻烦，ie上网用到udp协议，它首先用dns域名解析时用的是udp然后定位ip后就用tcp协议传输信息了！！相信我，我是学网络的！！