Cercando in su google ho trovato questo:

Il trojan che gira in questi giorni si chiama così:

Troia Sokets de Trois v1

ha orig francesi ed è una variante di Blazer5

sfrutta il fault di RPC di Microsoft e permette la gestione da remoto del pc attrverso
le porte 5000 e 5001 stabilendo connessioni TCP

(io ho impostato il firewall per bloccarle così rilevo i tentativi di accesso che
continuano a venire da diversi pc a rotazione)

una volta che uno se lo becca i sintomi sono:
cpu al 100%
chiusura inaspettata della applicazioni e dell'antivirus,
impossibilità di aprire il registro di config di windows.

Se cercate su internet viene detto di cancellare alcuni processi attivi (blazer.exe, ms..qualcosa)
ma nei pc che sono stati infettati non erano presenti.
Il processo che va tolto è
wmiprvse32.exe

tuttavia non compare nel task manager perchè viene caricato all'avvio insieme a service.exe

Ho scoperto due varianti:
1. all'avvio viene caricato il processo wmiprvse32.exe separatamente da services.exe

in questo caso basta rimuovere la voce relativa nel registro di Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

e impedire l'accesso alle porte 5000 e 5001 per non ribeccarlo.

2. il processo wmiprvse32.exe viene caricato automaticamente ma non compare alcuna voce in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
quindi non so come si possa togliere.

Quello che sono riuscita a fare è:
- avviare col cavo di rete staccato (wmiprvse32.exe viene avviato ma sono presenti solo 2 processi, mentre se la rete è disponibile diventano centinaia fino ad intasare tutto!);
- eseguire active ports (si scarica cercando con google) e vedere il PID del processo;
- killarlo (io ho usato versione del comando kill faidate per windows (scaricabile: http://www.nextl3vel.net/Chris123NT/...rtExplorer.zip
)(messo in WINNT così lo richiamo da linea di comando passando il PID del processo da killare))


Se non hai i sontomi descritti penso che puoi stare tranquillo, quelli che ti rileva il Norton sono dei portscanning, si dovrebbe capire dal fatto che usano il protocollo TCP in entrata.

Comunque ora lascio la parola a chi è più esperto di me.
(spero di non aver detto una castroneria).