Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

подозрительная активность Norton AntiVirus при проверке отправляемых сообщений (заявка № 143973)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13

    Arrow подозрительная активность Norton AntiVirus при проверке отправляемых сообщений

    Windows XP SP-2
    Norton Antivirus, Symnatec Client Firewall 8.7.4.110

    Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными. Что со всем этим делать? Заранее спасибо!А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.P.S.Но есть ещё некоторые настораживающие моменты. Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались). Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново. Кроме того, в Regional and Language Settings почему-то поменялся на "Россия", хотя система Windows English и до этого был UK, и поменять регион не получается, так как после закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия". Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно? И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date".
    Последний раз редактировалось osh; 16.08.2013 в 12:50.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) osh, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Правила
    4. Создайте новую тему в разделе Помогите с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)
    Как оформить заявку в разделе "Помогите!"

  5. #4
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Поскольку при редактировании моего начального поста в начале этого топика он был каким-то непонятным образом удален в процессе сохранения изменений, то во избежание путаницы я лучше создам новую тему с нуля, а эту предлагаю уважаемому модератору удалить.

    NB!
    А администрация сайта в курсе, что он, судя по всему, совсем не дружит с Оперой (последняя версия 12.15).

  6. #5
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13

    подозрительная активность Norton AntiVirus при проверке отправляемых сообщений

    Windows XP SP-2
    Norton Antivirus, Symnatec Client Firewall 8.7.4.110

    Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.



    Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе

    Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.




    Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными.


    Что со всем этим делать? Заранее спасибо!
    А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.


    P.S.
    Но есть ещё некоторые настораживающие моменты.

    Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались).

    Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново.

    Кроме того, в Regional and Language Settings регион самопроизвольно изменился на "Россия", хотя система Windows English и до этого был UK. Поменять регион обратно не получается, так как после изменения на UK и закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия".

    Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно?

    И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date".



    А еще очень странное содержание файла hosts: не представляю, откуда там все эти "одноклассники" и "вконтакте". Насколько я помню, я их туда не вносил, и вообще, так уж получилось, что ни разу в жизни этих сайтов не посещал.

    Приклладываю логи проверки системы от AVZ и HijackThis.
    Правда, я не понял, как выполнить пункт 1 инструкции: "выгрузите антивирусную программу и сетевой экран (если они у Вас есть)". Насколько я понимаю, не существует штатного способа выгрузить интегрированный в систему антивирус и фаерволл. Можно, наверное, принудительно прибить их процессы через Task Manager или Process Explorer, но об этом в инструкции ничего не сказано
    Вложения Вложения
    Последний раз редактировалось osh; 16.08.2013 в 15:31.

  7. #6
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

    ОС обновить не мешало бы в конце лечения.

  8. #7
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Запустил предложенный скрипт. Он сначала чего-то там сканировал, а потом жестоко (даже без запроса на подтверждение!) перезагрузил систему.

    После перезагрузки сделал повторные логи AVZ и HiJackThis, прикладываю.

    После перезагрузки ничего не изменилось: NAV по-прежнему показывает сообщения в трее о проверке непонятно кем отсылаемых сообщений, и по-прежнему невозможно обновить вирусную базу NAV через LiveUpdate: пишет, что уже стоит актуальная база up-to-date, хотя на самом деле она 2-месячной давности. Так что, похоже, это не случайный баг NAV


    ОС обновить не мешало бы в конце лечения.
    Это вы про SP-2? Да, старовата немного Уже сколько месяцев собираюсь новую машину покупать с Windows 7, но то денег не хватает, то времени...


    NB!
    Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!). Когда я его выгружаю, окно сообщения NAV о проверке исходящих сообщений не появляется.
    Вложения Вложения
    Последний раз редактировалось osh; 16.08.2013 в 16:50.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Цитата Сообщение от osh Посмотреть сообщение
    Windows XP SP-2
    Norton Antivirus, Symnatec Client Firewall 8.7.4.110
    Ни один из этих продуктов больше не поддерживается производителем.

    Symantec Antivirus больше не будет получать обновления антивирусных баз.

    Norton, судя по символу в области уведомлении тоже очень старый - бесполезен.

    Для Windows XP необходимо установить SP3.

  10. Никита Соловьев получил(а) благодарность за это сообщение от


  11. #9
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Ни один из этих продуктов больше не поддерживается производителем.
    Благодарю за информацию, принял к сведению. Может быть, именно по этой причине NAV не хочет обновлять свои базы? Хотя все равно странно, он мог бы об этом прямо сообщить, что, мол, базы для данного продукта не обновляются, а не вводить пользователя в заблуждение сообщением, что антивирусные базы являются актуальными.

    В общем, я действительно собираюсь заняться кардинальным обновлением софта. Но не на зараженной же системе этим заниматься! Поэтому буду признателен за помощь в выяснении, что же все-таки тут у меня происходит.

  12. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Цитата Сообщение от osh Посмотреть сообщение
    Может быть, именно по этой причине NAV не хочет обновлять свои базы?
    У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.

  13. Никита Соловьев получил(а) 2 благодарностей за это сообщение от


  14. #11
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    У вас, наверное, версия 2009 или 2010 - это уже не актуально.
    У меня, страшно сказать, версия 2007 года. Как поставил тогдашнюю актуальную версию 6 лет назад при покупке машины, так с тех пор эта версия и стоит. До сих пор не видел необходимости в апгрейде, обновлял только вирусные базы. Действительно, надо будет обновить софт.

    Но всё это для меня - вопрос завтрашнего дня. Вопрос дня сегодняшнего - выяснить, что творится в системе и, если имеет место заражение, то детектировать его и как-то его побороть.

  15. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Вирусов у вас нет.

    Цитата Сообщение от osh Посмотреть сообщение
    Но всё это для меня - вопрос завтрашнего дня.
    Как раз, этот момент очень важен. Если Вы не хотите, чтобы они в скором времени появились.

    Начните с установки service pack 3.

  16. #13
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Прошу прощения, не заметил первой строчки ответа.

    Вирусов у вас нет.
    Это очень радостная новость! Но что-то же все-таки есть, все эти внезапно и одновременно возникшие странности не могут же объясняться только устаревшим софтом и системой!


    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Начните с установки service pack 3.
    Я понимаю, что важен. Но какой смысл ставить обновления на (предположительно) заражённую систему? Здравый смысл говорит, что сначала её надо вылечить, а потом уже апгрейдить. Разве не так?

  17. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Цитата Сообщение от osh Посмотреть сообщение
    Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!).
    В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.

  18. #15
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.
    В эту версию не укладываются два факта:
    1. По многолетнему опыту знаю, что NAV отображает таким всплывающим окном проверку именно и только отправляемых сообщений. Проверку входящих сообщений он почему-то вообще никогда не отображает в системном трее (иногда я получаю очень большие по объему сообщения, а комп медленный, так что окно проверки входящих уж точно не осталось бы мной незамеченным).
    2. TheBat! не может сам ничего подгружать с сервера. У меня на всех ящиках протокол IMAP, при синхронизации с сервером грузятся только заголовки сообщений. Тела и вложения подгружаются только тогда, когда я сам выбираю в программе вручную соответствующее сообщение явным образом.

    Кроме того, остаются еще загадочные явления, описанные мной в первом посте этого топика: внезапно отвалившийся весь куст системного реестра для моего юзера (при абсолютно исправном диске!), краши при вызове системного контекстного меню. И, возможно, наиболее странное, навечно прописанные "Россия" в региональных настройках системы. Почему именно "Россия" (а не, допустим, Верхняя Вольта??), при английской системе и исходных настройках UK? И почему это не удается изменить?..

  19. #16
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Уважаемые гуру!

    Как насчёт моей проблемы? Понедельник, конечно, день тяжелый, но, может, хотя бы завтра кто-нибудь ответит на мои сомнения?

    Заранее большое спасибо!

  20. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.
    Обновляйте ОС, обновляйте ПО. Также было бы кстати сделать очистку временных файлов и деинсталлировать приложения, которые не используются.

  21. #18
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.
    На всякий случай переспрошу. Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что описанные выше странные феномены могут быть связаны с заражением вирусом или трояном? Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?

  22. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,441
    Вес репутации
    905
    Цитата Сообщение от osh Посмотреть сообщение
    Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что описанные выше странные феномены могут быть связаны с заражением вирусом или трояном?
    Я полагаюсь на файлы-отчеты, которые Вы предоставили для исследования.

    Цитата Сообщение от osh Посмотреть сообщение
    Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?
    Я не могу назвать конкретную причину. Их может быть очень много.

  23. Никита Соловьев получил(а) благодарность за это сообщение от

    osh

  24. #20
    Junior Member Репутация
    Регистрация
    16.08.2013
    Сообщений
    28
    Вес репутации
    13
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.
    Спасибо!

    Тогда еще один вопрос в завершение темы.

    Какой именно продукт Symantec имеет смысл ставить на одиночную пользовательскую машину (то есть, там, где удаленное администрирование, пакетное развертывание и т.п. корпоративные фичи не имеют значения).

    Я имею в виду не свой старенький лаптоп, о котором мы говорили раньше, а новый довольно мощный ноут с процессором Intel Quadro Core i7-3740QM памятью 16 GB и т.д, который я, наверное, на днях куплю.

    Вроде бы читал, что наиболее user-friendly и вообще гибкий в работе - это на сегодня Symantec Endpoint Protection. Но ведь и линейки Symantec Client Security, Norton Antivirus и Norton Internet Security тоже ведь сохраняют популярность? Короче, я в полной растерянности.

  • Уважаемый(ая) osh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 16.08.2013, 14:07
    2. Norton AntiVirus 2013, Norton Internet Security 2013 и новый Norton 360 (beta)
      От Ilya Shabanov в разделе Публичное бета-тестирование
      Ответов: 0
      Последнее сообщение: 21.08.2012, 19:42
    3. Подозрительная активность
      От DVMin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.11.2010, 12:54
    4. Подозрительная активность почты
      От IndeeZ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 14:46
    5. Norton Internet Security и Norton AntiVirus 2008 – в России
      От SDA в разделе Антивирусы
      Ответов: 0
      Последнее сообщение: 24.11.2007, 18:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01547 seconds with 22 queries