1. 敘述問題： 首先我防毒軟體長期使用Norton360，定期3個月左右重灌系統一次保持清潔。 約9月初，IE讀取網頁變很慢，有時甚至會(無法回應)數秒， 即使讀取完，滑鼠滾輪捲動會有頓感(所有網頁都一樣)。 然後去看Norton的歷史紀錄，出現如下"Medium" Severity level: Unauthorized Access Blocked (open file) Actor C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORER.EXE Target C:\ProgramData\Norton\...底下nppw.dat檔案 每讀取幾個網頁，上面這個紀錄就會增加十幾個左右，應該是造成LAG的原因。 但不知道這紀錄是啥意思，看到open file就覺得毛毛的， 會不會是Norton在阻擋某些東西，還是有什麼相衝到。 然後重點是用了好幾年的Norton，以前都沒出現類似狀況/紀錄， 現在卻出現了，感覺有可能IE某些設定被動過還是怎樣的... 然後我去看我哥電腦的Norton也沒有這種問題(硬體和系統環境都差不多)。 發生後幾天想說乾脆重灌系統好了，原本以為重灌就會好了，但重灌後症狀還是存在， 這就是我最頭痛的地方，重灌也沒辦法解決... 找了很多掃毒工具，都掃不到什麼，除了自己用的Norton360還用過: Panda、卡巴斯基、賣咖啡、微軟、Spybot、Ad-Aware 然後就去用置底的掃log，從此不再用IE，已經改用Chrome目前用的好好的， 可是IE的問題還是很想搞清楚，懷疑可能有惡意程式、後門啥的。 其他有疑惑的地方... 每次開機後約5~7分鐘不等，Norton會出現一個紀錄，也是"Medium" Severity level: Unauthorized Access Blocked (Access Process Data) Actor C:\WINDOWS\SYSTEM32\CONHOST.EXE 有用ProcessExplorer去看，這個CONHOST.EXE大約只會出現數秒鐘，還要我去堵他=..= 雖然我不太會看ProcessExplorer，把CONHOST.EXE點開看到Command line的地方， \??\C:\Windows\system32\conhost.exe "2041800209-24809497-105237704-2454225331513673305 -622463066-108208957793478808 出現這個C槽前面還有"\??\"，這是啥意思...隱藏路徑? 然後常駐2個csrss.exe，這個CONHOST.EXE出現的時候是掛在其中一個csrss.exe底下， 而且出現的時候某個svchost.exe底下會同時出現有什麼DLL字眼的exe，太快看不清楚。 平常的時候，隨意打開ProcessExplorer時，某個svchost.exe底下會掛一個dllhost.exe 然後馬上就不見了，讓我感覺好像在躲我的感覺=..= 這是正常嗎? 有去找VirusTotal甚至下載Upload來用，這個CONHOST.EXE沒辦法上傳，會說無此路徑... 難道VirusTotal還有不能上傳的檔案，這是正常的嗎?=..= 其他Norton曾出現的紀錄是... Severity: Medium Activity: Unauthorized Access Blocked (Set Regietry Security Key) Actor C:\Windows\system32\svchost.exe Target HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_EECTRL\0000\Control 然後改用Chrome之後，雖然Norton就不會跑出IE的紀錄，可是偶而會變成...svchost.exe Unauthorized Access Blocked (open file) Actor C:\Windows\system32\svchost.exe 一樣一出現就是一長排的紀錄...怪怪的 而且不知道為什麼，我的Norton歷史紀錄只要過一陣子， 那些有問題的紀錄就會被清空，害我要回去看哪些PIN都沒辦法... 以前可以保存到十幾頁都還可以，現在最多就是4頁。 然後我當然有去估狗Symantec官方論壇，看其他人類似的症狀， 回覆我是感覺有點敷衍，都說請忽略它... 可是我很顯然的IE變的太LAG，意識到事情不對勁跑去用Chrome，我很難去忽略這症狀... 也許有中後門抑或沒有，有潔癖的我，只要發現跟以前使用上有什麼不一樣， 就會疑神疑鬼... 有人可以教我其他檢查的方法，或是幫我看一下log，謝謝! 2. 系統資料： Windows 7 64bit CPU:i5-3470 RAM:16G 3. 分析報告： 這是上禮拜掃的(重灌之後)，有需要再掃一次的話請告知thx (使用google雲端空間) Combofix報告：http://ppt.cc/lLnb Hijackthis ：http://ppt.cc/EXOU SRENG ：http://ppt.cc/1-jH 防毒軟體報告：Spybot http://ppt.cc/~nI3 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.34.100.73 ※ 編輯: homerPlumes 來自: 114.34.100.73 (09/20 23:04)