|
|||||||
|
|
|
 |
|
|
Strumenti |
21-10-2002, 12:26
|
#1 |
|
Senior Member
Iscritto dal: Mar 2001
Città: Milano
Messaggi: 456
|
Backdoor-g-1(1243)
Ho installato NortonInternetSecurity 2003 su un SO WinME.
In precedenza ho utilizzato WinMX e dopo qualche problema del pc ho riformattato partendo dall'Fdisk compreso /MBR. Ho deciso di non utilizzare WinMx e navigo in siti "tranquilli". Il fatto spiacevole è che durante la navigazione se vado a verificare il registro delle connessioni vedo suul'indirizzo IP localhost sulla porta locale BACKDOOR-g-1(1243) che dopo aver trasmesso e ricevuto dati si posiziona sull'indirizzo remoto localhost sulla porta remota. Ho provato a scrivere tre volte al supporto Symantec con nessuna risposta in merito (servizio veramente pietoso con tante richieste di altri utenti Symantec in attesa di consigli) per cui richiedo l'assistenza tecnica del moderatore e degli altri esperti del forum. Da notare che utilizzo maniacalmente anche la scansione con TheCleaner, ho chiuso o disattivato tutto quello ritenevo possibile nel firewall. Ho modificato la password di accesso di Windows (ma è utile?) che altro devo fare? Grazie attendo il vostro aiuto. |
|
|
|
21-10-2002, 12:52
|
#2 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
E' il trojan subseven, il firewall norton dovrebbe avere una regola per il blocco delle porte.........inoltre nel sito c'è scritto:
There are currently two known variants: Variant 1 Installer: Data2.exe Loader: Tinurak.exe Server: Watching.dll This variant adds a the value named Kernel16 to the following registry key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Variant 2 Installer: Window.exe Loader: Nodll.exe Server: Lmdrki_33.dll This variant adds the line run=nodll to the Win.ini file. Both variants of BackDoor.G listen on the following three ports: 1243 6711 6776 In sostanza vedi del traffico in uscita? Se si prova un trojan remover..... Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
21-10-2002, 13:54
|
#3 |
|
Senior Member
Iscritto dal: Mar 2001
Città: Milano
Messaggi: 456
|
Grazie Bilancino per l'attenzione.
Ho verificato nel registro e in win.ini ma non ho trovato nulla di sospetto. Le porte con il test di sicurezza on-line della symantec risultano nascoste. Ho il dubbio di un file allocato nel pc che si esegua con il collegamento ad internet poichè la partenza avviene dall'indirizzo IP locale e dalla porta di servizio locale. The cleaner non scova niente. Una frivolezza: ho chiamato il supporto tecnico di Fastweb per capire se effettivamento ho un indirizzo IP dinamico dato che il firewall mi indica sempre lo stesso identico indirizzo IP locale, non ha saputo darmi una risposta e alla stessa domanda fatta in questo forum sul Backdoor-g-1(1243) mi ha consigliato di diminuire il livello di protezione perchè alcuni suoi clienti sono riusciti a risolvere il problema delle intrusioni !!! |
|
|
|
|
21-10-2002, 16:34
|
#4 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
L'unica possibilità che se vedi del traffico da quella porta forse è un p2p che usa la stessa porta per comunicare e quindi il firewall pensa che sia il subseven........
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:22.
