看板 AntiVirus 關於我們 聯絡資訊
1. 敘述問題: 首先我防毒軟體長期使用Norton360,定期3個月左右重灌系統一次保持清潔。 約9月初,IE讀取網頁變很慢,有時甚至會(無法回應)數秒, 即使讀取完,滑鼠滾輪捲動會有頓感(所有網頁都一樣)。 然後去看Norton的歷史紀錄,出現如下"Medium" Severity level: Unauthorized Access Blocked (open file) Actor C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORER.EXE Target C:\ProgramData\Norton\...底下nppw.dat檔案 每讀取幾個網頁,上面這個紀錄就會增加十幾個左右,應該是造成LAG的原因。 但不知道這紀錄是啥意思,看到open file就覺得毛毛的, 會不會是Norton在阻擋某些東西,還是有什麼相衝到。 然後重點是用了好幾年的Norton,以前都沒出現類似狀況/紀錄, 現在卻出現了,感覺有可能IE某些設定被動過還是怎樣的... 然後我去看我哥電腦的Norton也沒有這種問題(硬體和系統環境都差不多)。 發生後幾天想說乾脆重灌系統好了,原本以為重灌就會好了,但重灌後症狀還是存在, 這就是我最頭痛的地方,重灌也沒辦法解決... 找了很多掃毒工具,都掃不到什麼,除了自己用的Norton360還用過: Panda、卡巴斯基、賣咖啡、微軟、Spybot、Ad-Aware 然後就去用置底的掃log,從此不再用IE,已經改用Chrome目前用的好好的, 可是IE的問題還是很想搞清楚,懷疑可能有惡意程式、後門啥的。 其他有疑惑的地方... 每次開機後約5~7分鐘不等,Norton會出現一個紀錄,也是"Medium" Severity level: Unauthorized Access Blocked (Access Process Data) Actor C:\WINDOWS\SYSTEM32\CONHOST.EXE 有用ProcessExplorer去看,這個CONHOST.EXE大約只會出現數秒鐘,還要我去堵他=..= 雖然我不太會看ProcessExplorer,把CONHOST.EXE點開看到Command line的地方, \??\C:\Windows\system32\conhost.exe "2041800209-24809497-105237704-2454225331513673305 -622463066-108208957793478808 出現這個C槽前面還有"\??\",這是啥意思...隱藏路徑? 然後常駐2個csrss.exe,這個CONHOST.EXE出現的時候是掛在其中一個csrss.exe底下, 而且出現的時候某個svchost.exe底下會同時出現有什麼DLL字眼的exe,太快看不清楚。 平常的時候,隨意打開ProcessExplorer時,某個svchost.exe底下會掛一個dllhost.exe 然後馬上就不見了,讓我感覺好像在躲我的感覺=..= 這是正常嗎? 有去找VirusTotal甚至下載Upload來用,這個CONHOST.EXE沒辦法上傳,會說無此路徑... 難道VirusTotal還有不能上傳的檔案,這是正常的嗎?=..= 其他Norton曾出現的紀錄是... Severity: Medium Activity: Unauthorized Access Blocked (Set Regietry Security Key) Actor C:\Windows\system32\svchost.exe Target HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_EECTRL\0000\Control 然後改用Chrome之後,雖然Norton就不會跑出IE的紀錄,可是偶而會變成...svchost.exe Unauthorized Access Blocked (open file) Actor C:\Windows\system32\svchost.exe 一樣一出現就是一長排的紀錄...怪怪的 而且不知道為什麼,我的Norton歷史紀錄只要過一陣子, 那些有問題的紀錄就會被清空,害我要回去看哪些PIN都沒辦法... 以前可以保存到十幾頁都還可以,現在最多就是4頁。 然後我當然有去估狗Symantec官方論壇,看其他人類似的症狀, 回覆我是感覺有點敷衍,都說請忽略它... 可是我很顯然的IE變的太LAG,意識到事情不對勁跑去用Chrome,我很難去忽略這症狀... 也許有中後門抑或沒有,有潔癖的我,只要發現跟以前使用上有什麼不一樣, 就會疑神疑鬼... 有人可以教我其他檢查的方法,或是幫我看一下log,謝謝! 2. 系統資料: Windows 7 64bit CPU:i5-3470 RAM:16G 3. 分析報告: 這是上禮拜掃的(重灌之後),有需要再掃一次的話請告知thx (使用google雲端空間) Combofix報告:http://ppt.cc/lLnb Hijackthis :http://ppt.cc/EXOU SRENG :http://ppt.cc/1-jH 防毒軟體報告:Spybot http://ppt.cc/~nI3 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.34.100.73 ※ 編輯: homerPlumes 來自: 114.34.100.73 (09/20 23:04)
danny8376:關掉Norton toolbar試試 09/26 02:29
danny8376:至於上方的描述都是正常行為 \??\ 這東西 09/26 02:30
danny8376:光是系統內的REG就能看到了 09/26 02:32