подозрительная активность Norton AntiVirus при проверке отправляемых сообщений

Windows XP SP-2
Norton Antivirus, Symnatec Client Firewall 8.7.4.110

Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.[url=http://s019.radikal.ru/i618/1308/50/a49d28628dd0.gif][img]http://s019.radikal.ru/i618/1308/50/a49d28628dd0t.jpg[/img][/url]Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе :( :(Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.[url=http://s14.radikal.ru/i187/1308/eb/a31e7afbfaf3.gif][img]http://s14.radikal.ru/i187/1308/eb/a31e7afbfaf3t.jpg[/img][/url]Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными.[url=http://img822.imageshack.us/img822/4163/3gc.gif][img]http://img822.imageshack.us/img822/4163/3gc.th.gif[/img][/url] Что со всем этим делать? Заранее спасибо!А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.P.S.Но есть ещё некоторые настораживающие моменты. Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались). Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново. Кроме того, в Regional and Language Settings почему-то поменялся на "Россия", хотя система Windows English и до этого был UK, и поменять регион не получается, так как после закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия". Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно? :(И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date". :O [url=http://img23.imageshack.us/img23/3441/3at.gif][img]http://img23.imageshack.us/img23/3441/3at.th.gif[/img][/url]

Уважаемый(ая) [B]osh[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[URL="http://virusinfo.info/content.php?r=136-pravila"] [B]Правила[/B] [/URL] [QUOTE][B]4.[/B] Создайте новую тему в разделе Помогите с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - [B]virusinfo_syscure.zip[/B], AVZ - [B]virusinfo_syscheck.zip[/B], HJT - [B]hijackthis.log[/B])[/QUOTE]

[URL="http://virusinfo.info/showthread.php?t=121951"][B]Как оформить заявку в разделе "Помогите!"[/B][/URL]

Поскольку при редактировании моего начального поста в начале этого топика он был каким-то непонятным образом удален в процессе сохранения изменений, то во избежание путаницы я лучше создам новую тему с нуля, а эту предлагаю уважаемому модератору удалить.

NB!
А администрация сайта в курсе, что он, судя по всему, совсем не дружит с Оперой (последняя версия 12.15).

Windows XP SP-2
Norton Antivirus, Symnatec Client Firewall 8.7.4.110

Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.



Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе :( :(

Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.




Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными.


Что со всем этим делать? Заранее спасибо!
А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.


P.S.
Но есть ещё некоторые настораживающие моменты.

Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались).

Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново.

Кроме того, в Regional and Language Settings регион самопроизвольно изменился на "Россия", хотя система Windows English и до этого был UK. Поменять регион обратно не получается, так как после изменения на UK и закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия".

Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно? :(

[B]И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date".[/B] :O



А еще очень странное содержание файла hosts: не представляю, откуда там все эти "одноклассники" и "вконтакте". Насколько я помню, я их туда не вносил, и вообще, так уж получилось, что ни разу в жизни этих сайтов не посещал.

Приклладываю логи проверки системы от AVZ и HijackThis.
Правда, я не понял, как выполнить пункт 1 инструкции: "[I]выгрузите антивирусную программу и сетевой экран (если они у Вас есть)". [/I]Насколько я понимаю, не существует штатного способа выгрузить интегрированный в систему антивирус и фаерволл. Можно, наверное, принудительно прибить их процессы через Task Manager или Process Explorer, но об этом в инструкции ничего не сказано :?

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

ОС обновить не мешало бы в конце лечения.

Запустил предложенный скрипт. Он сначала чего-то там сканировал, а потом жестоко (даже без запроса на подтверждение!) перезагрузил систему.

После перезагрузки сделал повторные логи AVZ и HiJackThis, прикладываю.

После перезагрузки ничего не изменилось: NAV по-прежнему показывает сообщения в трее о проверке непонятно кем отсылаемых сообщений, и по-прежнему невозможно обновить вирусную базу NAV через LiveUpdate: пишет, что уже стоит актуальная база up-to-date, хотя на самом деле она 2-месячной давности. Так что, похоже, это не случайный баг NAV :(


[QUOTE]ОС обновить не мешало бы в конце лечения. [/QUOTE]
Это вы про SP-2? Да, старовата немного :D Уже сколько месяцев собираюсь новую машину покупать с Windows 7, но то денег не хватает, то времени...


NB!
Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!). Когда я его выгружаю, окно сообщения NAV о проверке исходящих сообщений не появляется.

[quote="osh;1029418"]Windows XP SP-2
Norton Antivirus, Symnatec Client Firewall 8.7.4.110[/quote]
Ни один из этих продуктов больше не поддерживается производителем.

Symantec Antivirus больше не будет получать обновления антивирусных баз.

Norton, судя по символу в области уведомлении тоже очень старый - бесполезен.

Для Windows XP необходимо установить SP3.

[QUOTE=Никита Соловьев;1029504]Ни один из этих продуктов больше не поддерживается производителем.[/QUOTE]
Благодарю за информацию, принял к сведению. Может быть, именно по этой причине NAV не хочет обновлять свои базы? Хотя все равно странно, он мог бы об этом прямо сообщить, что, мол, базы для данного продукта не обновляются, а не вводить пользователя в заблуждение сообщением, что антивирусные базы являются актуальными.

В общем, я действительно собираюсь заняться кардинальным обновлением софта. Но не на зараженной же системе этим заниматься! Поэтому буду признателен за помощь в выяснении, что же все-таки тут у меня происходит.

[quote="osh;1029505"]Может быть, именно по этой причине NAV не хочет обновлять свои базы?[/quote]
У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.

[QUOTE=Никита Соловьев;1029509]У вас, наверное, версия 2009 или 2010 - это уже не актуально.[/QUOTE]
У меня, страшно сказать, версия 2007 года. Как поставил тогдашнюю актуальную версию 6 лет назад при покупке машины, так с тех пор эта версия и стоит. До сих пор не видел необходимости в апгрейде, обновлял только вирусные базы. Действительно, надо будет обновить софт.

Но всё это для меня - вопрос завтрашнего дня. Вопрос дня сегодняшнего - выяснить, что творится в системе и, если имеет место заражение, то детектировать его и как-то его побороть.

Вирусов у вас нет.

[quote="osh;1029512"]Но всё это для меня - вопрос завтрашнего дня.[/quote]
Как раз, этот момент очень важен. Если Вы не хотите, чтобы они в скором времени появились.

Начните с установки service pack 3.

Прошу прощения, не заметил первой строчки ответа.

[QUOTE]Вирусов у вас нет.[/QUOTE]
Это очень радостная новость! :clapping: Но что-то же все-таки есть, все эти [B][U]внезапно и одновременно возникшие странности[/U][/B] не могут же объясняться только устаревшим софтом и системой!


[QUOTE=Никита Соловьев;1029519]Начните с установки service pack 3.[/QUOTE]
Я понимаю, что важен. Но какой смысл ставить обновления на (предположительно) заражённую систему? Здравый смысл говорит, что сначала её надо вылечить, а потом уже апгрейдить. Разве не так?

[quote="osh;1029460"]Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!).[/quote]
В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.

[QUOTE=Никита Соловьев;1029525]В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.[/QUOTE]
В эту версию не укладываются два факта:
1. По многолетнему опыту знаю, что NAV отображает таким всплывающим окном [B]проверку именно и только отправляемых сообщений[/B]. Проверку входящих сообщений он почему-то вообще никогда не отображает в системном трее (иногда я получаю очень большие по объему сообщения, а комп медленный, так что окно проверки входящих уж точно не осталось бы мной незамеченным).
2. TheBat! не может сам ничего подгружать с сервера. У меня на всех ящиках протокол IMAP, при синхронизации с сервером грузятся только заголовки сообщений. Тела и вложения подгружаются только тогда, когда я сам выбираю в программе вручную соответствующее сообщение явным образом.

Кроме того, остаются еще загадочные явления, описанные мной в первом посте этого топика: внезапно отвалившийся весь куст системного реестра для моего юзера (при абсолютно исправном диске!), краши при вызове системного контекстного меню. И, возможно, наиболее странное, навечно прописанные "Россия" в региональных настройках системы. Почему именно "Россия" (а не, допустим, Верхняя Вольта??), при английской системе и исходных настройках UK? :O :O И почему это не удается изменить?..

Уважаемые гуру!

Как насчёт моей проблемы? Понедельник, конечно, день тяжелый, но, может, хотя бы завтра кто-нибудь ответит на мои сомнения?

Заранее большое спасибо!

На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.
Обновляйте ОС, обновляйте ПО. Также было бы кстати сделать очистку временных файлов и деинсталлировать приложения, которые не используются.

[QUOTE=Никита Соловьев;1030337]На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.[/QUOTE]
На всякий случай переспрошу. Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что [URL="http://virusinfo.info/showthread.php?t=143973&p=1029539&viewfull=1#post1029539"]описанные выше странные феномены[/URL] могут быть связаны с заражением вирусом или трояном? Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?

[quote="osh;1030370"]Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что описанные выше странные феномены могут быть связаны с заражением вирусом или трояном?[/quote]
Я полагаюсь на файлы-отчеты, которые Вы предоставили для исследования.

[quote="osh;1030370"]Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?[/quote]
Я не могу назвать конкретную причину. Их может быть очень много.

[QUOTE=Никита Соловьев;1029509]У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.[/QUOTE]
Спасибо!

Тогда еще один вопрос в завершение темы.

Какой именно продукт Symantec имеет смысл ставить на [B]одиночную пользовательскую машину[/B] (то есть, там, где удаленное администрирование, пакетное развертывание и т.п. корпоративные фичи не имеют значения).

Я имею в виду не свой старенький лаптоп, о котором мы говорили раньше, а новый довольно мощный ноут с процессором Intel Quadro Core i7-3740QM памятью 16 GB и т.д, который я, наверное, на днях куплю.

Вроде бы читал, что наиболее user-friendly и вообще гибкий в работе - это на сегодня Symantec Endpoint Protection. Но ведь и линейки Symantec Client Security, Norton Antivirus и Norton Internet Security тоже ведь сохраняют популярность? Короче, я в полной растерянности. :O