подозрительная активность Norton AntiVirus при проверке отправляемых сообщений
Windows XP SP-2
Norton Antivirus, Symnatec Client Firewall 8.7.4.110
Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными. Что со всем этим делать? Заранее спасибо!А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.P.S.Но есть ещё некоторые настораживающие моменты. Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались). Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново. Кроме того, в Regional and Language Settings почему-то поменялся на "Россия", хотя система Windows English и до этого был UK, и поменять регион не получается, так как после закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия". Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно? И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date".
Последний раз редактировалось osh; 16.08.2013 в 12:50.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) osh, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
4. Создайте новую тему в разделе Помогите с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)
Поскольку при редактировании моего начального поста в начале этого топика он был каким-то непонятным образом удален в процессе сохранения изменений, то во избежание путаницы я лучше создам новую тему с нуля, а эту предлагаю уважаемому модератору удалить.
NB!
А администрация сайта в курсе, что он, судя по всему, совсем не дружит с Оперой (последняя версия 12.15).
подозрительная активность Norton AntiVirus при проверке отправляемых сообщений
Windows XP SP-2
Norton Antivirus, Symnatec Client Firewall 8.7.4.110
Недавно заметил такое очень подозрительное явление: через каждые несколько минут (интервалы времени нерегулярные - иногда 2-3 минуты, иногда 8 минут, 15 минут и пр.) в системном трее рядом с иконкой сабжа появляется окошко сообщения о проверке отсылаемого сообщения.
Поскольку сам я никаких сообщений никому не отсылал уже много часов, то напрашивается крайне противное предположение, что сообщения отсылает какой-то троян, , засевший у меня в системе
Можно ли где-то посмотреть, по указанию какого приложения, на какой адрес и с каким содержанием были отправлены проверенные NAV исходящие сообщение? По логике, такой лог должен где-то быть... В журнале событий нет ни одной записи про эти операции.
Прогнал систему через сканнер DrWeb CrueIt!, он нашёл всего 4 "подозрительных" файла, из них 1 (everything.exe) - 100% false detection, а остальные 3 тоже не кажутся такими уж опасными.
Что со всем этим делать? Заранее спасибо!
А может, это просто глюк Norton Antivirus? Вроде бы такое уже бывало пару раз.
P.S.
Но есть ещё некоторые настораживающие моменты.
Во-первых, странный сбой системы, случившийся несколько недель назад, после которого слетели все хранившиеся в системном реестре мои персональные настройки системы и приложений (но общие для всех юзеров настройки остались).
Во-вторых, при попытке открыть контекстное меню к любому файлу в окне Explorer, на Рабочем Столе и т.п. Explorer (только шелл, не система!) немедленно вылетает и запускается заново.
Кроме того, в Regional and Language Settings регион самопроизвольно изменился на "Россия", хотя система Windows English и до этого был UK. Поменять регион обратно не получается, так как после изменения на UK и закрытия диалога (без всяких сообщений об ошибках) опять восстанавливается "Россия".
Мне до сих пор не приходило в голову связать эти глюки системы с вирусной опасностью - и, наверное, напрасно?
И, самое главное, не удается обновить даже вручную вирусную базу от NAV: хотя она 2-х месячной давности, LiveUpdate пишет, что "product up-to-date".
А еще очень странное содержание файла hosts: не представляю, откуда там все эти "одноклассники" и "вконтакте". Насколько я помню, я их туда не вносил, и вообще, так уж получилось, что ни разу в жизни этих сайтов не посещал.
Приклладываю логи проверки системы от AVZ и HijackThis.
Правда, я не понял, как выполнить пункт 1 инструкции: "выгрузите антивирусную программу и сетевой экран (если они у Вас есть)". Насколько я понимаю, не существует штатного способа выгрузить интегрированный в систему антивирус и фаерволл. Можно, наверное, принудительно прибить их процессы через Task Manager или Process Explorer, но об этом в инструкции ничего не сказано
Последний раз редактировалось osh; 16.08.2013 в 15:31.
Запустил предложенный скрипт. Он сначала чего-то там сканировал, а потом жестоко (даже без запроса на подтверждение!) перезагрузил систему.
После перезагрузки сделал повторные логи AVZ и HiJackThis, прикладываю.
После перезагрузки ничего не изменилось: NAV по-прежнему показывает сообщения в трее о проверке непонятно кем отсылаемых сообщений, и по-прежнему невозможно обновить вирусную базу NAV через LiveUpdate: пишет, что уже стоит актуальная база up-to-date, хотя на самом деле она 2-месячной давности. Так что, похоже, это не случайный баг NAV
ОС обновить не мешало бы в конце лечения.
Это вы про SP-2? Да, старовата немного Уже сколько месяцев собираюсь новую машину покупать с Windows 7, но то денег не хватает, то времени...
NB!
Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!). Когда я его выгружаю, окно сообщения NAV о проверке исходящих сообщений не появляется.
Последний раз редактировалось osh; 16.08.2013 в 16:50.
Ни один из этих продуктов больше не поддерживается производителем.
Благодарю за информацию, принял к сведению. Может быть, именно по этой причине NAV не хочет обновлять свои базы? Хотя все равно странно, он мог бы об этом прямо сообщить, что, мол, базы для данного продукта не обновляются, а не вводить пользователя в заблуждение сообщением, что антивирусные базы являются актуальными.
В общем, я действительно собираюсь заняться кардинальным обновлением софта. Но не на зараженной же системе этим заниматься! Поэтому буду признателен за помощь в выяснении, что же все-таки тут у меня происходит.
Может быть, именно по этой причине NAV не хочет обновлять свои базы?
У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.
У вас, наверное, версия 2009 или 2010 - это уже не актуально.
У меня, страшно сказать, версия 2007 года. Как поставил тогдашнюю актуальную версию 6 лет назад при покупке машины, так с тех пор эта версия и стоит. До сих пор не видел необходимости в апгрейде, обновлял только вирусные базы. Действительно, надо будет обновить софт.
Но всё это для меня - вопрос завтрашнего дня. Вопрос дня сегодняшнего - выяснить, что творится в системе и, если имеет место заражение, то детектировать его и как-то его побороть.
Это очень радостная новость! Но что-то же все-таки есть, все эти внезапно и одновременно возникшие странности не могут же объясняться только устаревшим софтом и системой!
Сообщение от Никита Соловьев
Начните с установки service pack 3.
Я понимаю, что важен. Но какой смысл ставить обновления на (предположительно) заражённую систему? Здравый смысл говорит, что сначала её надо вылечить, а потом уже апгрейдить. Разве не так?
Важное уточнение: похоже, невидимые сообщения отправляются только тогда, когда запущен дефолтный почтовый клиент (у меня TheBat!).
В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.
В уведомлении не сказано, какое именно, исходящее или входящее сообщение сканирует программа. The bat может просто подгружать сообщения с сервера в этот момент.
В эту версию не укладываются два факта:
1. По многолетнему опыту знаю, что NAV отображает таким всплывающим окном проверку именно и только отправляемых сообщений. Проверку входящих сообщений он почему-то вообще никогда не отображает в системном трее (иногда я получаю очень большие по объему сообщения, а комп медленный, так что окно проверки входящих уж точно не осталось бы мной незамеченным).
2. TheBat! не может сам ничего подгружать с сервера. У меня на всех ящиках протокол IMAP, при синхронизации с сервером грузятся только заголовки сообщений. Тела и вложения подгружаются только тогда, когда я сам выбираю в программе вручную соответствующее сообщение явным образом.
Кроме того, остаются еще загадочные явления, описанные мной в первом посте этого топика: внезапно отвалившийся весь куст системного реестра для моего юзера (при абсолютно исправном диске!), краши при вызове системного контекстного меню. И, возможно, наиболее странное, навечно прописанные "Россия" в региональных настройках системы. Почему именно "Россия" (а не, допустим, Верхняя Вольта??), при английской системе и исходных настройках UK? И почему это не удается изменить?..
На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.
Обновляйте ОС, обновляйте ПО. Также было бы кстати сделать очистку временных файлов и деинсталлировать приложения, которые не используются.
На главный вопрос ответ уже прозвучал выше: проблемы не связаны с вирусами.
На всякий случай переспрошу. Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что описанные выше странные феномены могут быть связаны с заражением вирусом или трояном? Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?
Правильно ли я понимаю, что Вы не считаете сколько-нибудь обоснованными мои подозрения, что описанные выше странные феномены могут быть связаны с заражением вирусом или трояном?
Я полагаюсь на файлы-отчеты, которые Вы предоставили для исследования.
Сообщение от osh
Возможно ли, что описанное мной странное поведение системы вызвано просто ее общей нестабильностью из-за устаревшей SP-2, большого количества ненужного софта и т.п?
Я не могу назвать конкретную причину. Их может быть очень много.
У вас, наверное, версия 2009 или 2010 - это уже не актуально. На данный момент, последняя версия 2013, она имеет массу нововведений и неплохо работает на низко производительных ПК.
Спасибо!
Тогда еще один вопрос в завершение темы.
Какой именно продукт Symantec имеет смысл ставить на одиночную пользовательскую машину (то есть, там, где удаленное администрирование, пакетное развертывание и т.п. корпоративные фичи не имеют значения).
Я имею в виду не свой старенький лаптоп, о котором мы говорили раньше, а новый довольно мощный ноут с процессором Intel Quadro Core i7-3740QM памятью 16 GB и т.д, который я, наверное, на днях куплю.
Вроде бы читал, что наиболее user-friendly и вообще гибкий в работе - это на сегодня Symantec Endpoint Protection. Но ведь и линейки Symantec Client Security, Norton Antivirus и Norton Internet Security тоже ведь сохраняют популярность? Короче, я в полной растерянности.
Уважаемый(ая) osh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: