作者homerPlumes (小雪兔)
看板AntiVirus
標題[問題] 疑似IE被植後門 Norton有可疑歷史紀錄
時間Fri Sep 20 22:57:20 2013
1. 敘述問題:
首先我防毒軟體長期使用Norton360,定期3個月左右重灌系統一次保持清潔。
約9月初,IE讀取網頁變很慢,有時甚至會(無法回應)數秒,
即使讀取完,滑鼠滾輪捲動會有頓感(所有網頁都一樣)。
然後去看Norton的歷史紀錄,出現如下"Medium" Severity level:
Unauthorized Access Blocked (open file)
Actor
C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORER.EXE
Target
C:\ProgramData\Norton\...底下nppw.dat檔案
每讀取幾個網頁,上面這個紀錄就會增加十幾個左右,應該是造成LAG的原因。
但不知道這紀錄是啥意思,看到open file就覺得毛毛的,
會不會是Norton在阻擋某些東西,還是有什麼相衝到。
然後重點是用了好幾年的Norton,以前都沒出現類似狀況/紀錄,
現在卻出現了,感覺有可能IE某些設定被動過還是怎樣的...
然後我去看我哥電腦的Norton也沒有這種問題(硬體和系統環境都差不多)。
發生後幾天想說乾脆重灌系統好了,原本以為重灌就會好了,但重灌後症狀還是存在,
這就是我最頭痛的地方,重灌也沒辦法解決...
找了很多掃毒工具,都掃不到什麼,除了自己用的Norton360還用過:
Panda、卡巴斯基、賣咖啡、微軟、Spybot、Ad-Aware
然後就去用置底的掃log,從此不再用IE,已經改用Chrome目前用的好好的,
可是IE的問題還是很想搞清楚,懷疑可能有惡意程式、後門啥的。
其他有疑惑的地方...
每次開機後約5~7分鐘不等,Norton會出現一個紀錄,也是"Medium" Severity level:
Unauthorized Access Blocked (Access Process Data)
Actor
C:\WINDOWS\SYSTEM32\CONHOST.EXE
有用ProcessExplorer去看,這個CONHOST.EXE大約只會出現數秒鐘,還要我去堵他=..=
雖然我不太會看ProcessExplorer,把CONHOST.EXE點開看到Command line的地方,
\??\C:\Windows\system32\conhost.exe
"2041800209-24809497-105237704-2454225331513673305
-622463066-108208957793478808
出現這個C槽前面還有"\??\",這是啥意思...隱藏路徑?
然後常駐2個csrss.exe,這個CONHOST.EXE出現的時候是掛在其中一個csrss.exe底下,
而且出現的時候某個svchost.exe底下會同時出現有什麼DLL字眼的exe,太快看不清楚。
平常的時候,隨意打開ProcessExplorer時,某個svchost.exe底下會掛一個dllhost.exe
然後馬上就不見了,讓我感覺好像在躲我的感覺=..= 這是正常嗎?
有去找VirusTotal甚至下載Upload來用,這個CONHOST.EXE沒辦法上傳,會說無此路徑...
難道VirusTotal還有不能上傳的檔案,這是正常的嗎?=..=
其他Norton曾出現的紀錄是...
Severity: Medium
Activity: Unauthorized Access Blocked (Set Regietry Security Key)
Actor
C:\Windows\system32\svchost.exe
Target
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_EECTRL\0000\Control
然後改用Chrome之後,雖然Norton就不會跑出IE的紀錄,可是偶而會變成...svchost.exe
Unauthorized Access Blocked (open file)
Actor
C:\Windows\system32\svchost.exe
一樣一出現就是一長排的紀錄...怪怪的
而且不知道為什麼,我的Norton歷史紀錄只要過一陣子,
那些有問題的紀錄就會被清空,害我要回去看哪些PIN都沒辦法...
以前可以保存到十幾頁都還可以,現在最多就是4頁。
然後我當然有去估狗Symantec官方論壇,看其他人類似的症狀,
回覆我是感覺有點敷衍,都說請忽略它...
可是我很顯然的IE變的太LAG,意識到事情不對勁跑去用Chrome,我很難去忽略這症狀...
也許有中後門抑或沒有,有潔癖的我,只要發現跟以前使用上有什麼不一樣,
就會疑神疑鬼...
有人可以教我其他檢查的方法,或是幫我看一下log,謝謝!
2. 系統資料:
Windows 7 64bit
CPU:i5-3470
RAM:16G
3. 分析報告:
這是上禮拜掃的(重灌之後),有需要再掃一次的話請告知thx
(使用google雲端空間)
Combofix報告:http://ppt.cc/lLnb
Hijackthis :http://ppt.cc/EXOU
SRENG :http://ppt.cc/1-jH
防毒軟體報告:Spybot http://ppt.cc/~nI3
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.34.100.73
※ 編輯: homerPlumes 來自: 114.34.100.73 (09/20 23:04)
→ danny8376:關掉Norton toolbar試試 09/26 02:29
→ danny8376:至於上方的描述都是正常行為 \??\ 這東西 09/26 02:30
→ danny8376:光是系統內的REG就能看到了 09/26 02:32