Ho installato NortonInternetSecurity 2003 su un SO WinME.
In precedenza ho utilizzato WinMX e dopo qualche problema del pc ho riformattato partendo dall'Fdisk compreso /MBR.

Ho deciso di non utilizzare WinMx e navigo in siti "tranquilli". Il fatto spiacevole è che durante la navigazione se vado a verificare il registro delle connessioni vedo suul'indirizzo IP localhost sulla porta locale BACKDOOR-g-1(1243) che dopo aver trasmesso e ricevuto dati si posiziona sull'indirizzo remoto localhost sulla porta remota.

Ho provato a scrivere tre volte al supporto Symantec con nessuna risposta in merito (servizio veramente pietoso con tante richieste di altri utenti Symantec in attesa di consigli) per cui richiedo l'assistenza tecnica del moderatore e degli altri esperti del forum.

Da notare che utilizzo maniacalmente anche la scansione con TheCleaner, ho chiuso o disattivato tutto quello ritenevo possibile nel firewall.

Ho modificato la password di accesso di Windows (ma è utile?) che altro devo fare?

Grazie attendo il vostro aiuto.

E' il trojan subseven, il firewall norton dovrebbe avere una regola per il blocco delle porte.........inoltre nel sito c'è scritto:

There are currently two known variants:

Variant 1
Installer: Data2.exe
Loader: Tinurak.exe
Server: Watching.dll

This variant adds a the value named Kernel16 to the following registry key:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices

Variant 2
Installer: Window.exe
Loader: Nodll.exe
Server: Lmdrki_33.dll

This variant adds the line run=nodll to the Win.ini file.

Both variants of BackDoor.G listen on the following three ports:
1243
6711
6776

In sostanza vedi del traffico in uscita? Se si prova un trojan remover.....

Ciao

Grazie Bilancino per l'attenzione.
Ho verificato nel registro e in win.ini ma non ho trovato nulla di sospetto.
Le porte con il test di sicurezza on-line della symantec risultano nascoste.
Ho il dubbio di un file allocato nel pc che si esegua con il collegamento ad internet poichè la partenza avviene dall'indirizzo IP locale e dalla porta di servizio locale.
The cleaner non scova niente.

Una frivolezza: ho chiamato il supporto tecnico di Fastweb per capire se effettivamento ho un indirizzo IP dinamico dato che il firewall mi indica sempre lo stesso identico indirizzo IP locale, non ha saputo darmi una risposta e alla stessa domanda fatta in questo forum sul Backdoor-g-1(1243) mi ha consigliato di diminuire il livello di protezione perchè alcuni suoi clienti sono riusciti a risolvere il problema delle intrusioni !!!

L'unica possibilità che se vedi del traffico da quella porta forse è un p2p che usa la stessa porta per comunicare e quindi il firewall pensa che sia il subseven........

Ciao