Quando più di un indizio diventa una prova

[Ol3iconfini]

Ciao a tutti, ho postato qualche giorno fa un topic "sospetti", che ha a che fare con dei problemi improvvisi di xp...
Da Ieri, ogni volta che mi connetto, ogni 3 secondi norton mi comunica testualmente :
Controllo programmi
Rischio alto
Un sistema remoto sta cercando di accedere al computer
ora ....
data ....
protocollo UDP (in ingresso)
indirizzo remoto 212.***.***.*** router 520
indirizzo locale 213.***.***.*** router 520
Ovviamente blocco il tentativo...

Ho scansionato il computer innumerevoli volte ma tutto sembra "sano"

Aspetto le vostre considerazioni...
Grazie per le risposte.

[dvds]

scusa, ma cosa dovremmo rispondere?

[Ol3iconfini]

Dvds, non credo proprio che sia la situazione per tirare fuori la vena comica che c' è in te... Ho chiesto il parere di chi è in grado di aiutarmi, di chi può capire cosa significa ciò che mi dice norton, di chi ha in mente quali azioni perseguire per esperienza, di chi ha la voglia di chiarire a quali problemi vado in contro, et cetera et cetera.

[Ol3iconfini]

Anche per aiutare chi in futuro potrà avere gli stessi miei problemi.. In fondo l' obiettivo di ogni forum dovrebbe essere questo, aiutare uno per crescere tutti....

[dvds]

chiedo scusa se ti sono semprato ironico, ma la mia era una domanda seria... per essere comici c'è già OT

però sinceramente non so cosa ti aspetti come risposta... se Internet Security ha bloccato il tentativo di intrusione, mi sentirei al sicuro...

[Ol3iconfini]

Dvds dixit:
"però sinceramente non so cosa ti aspetti come risposta... se Internet Security ha bloccato il tentativo di intrusione, mi sentirei al sicuro... "

Tu ti sentiresti sicuro se da un giorno all' altro norton continuase ogni 3 secondi a dirti che un sistema remoto cerca di accedere al computer? :master:

Una domanda. Potrebbe essere qualche programma che tenta, magari, di comunicare al server l' avvenuta istallazione sul mio computer??

O che altro???

[Ol3iconfini]

Dunque ragazzi, spero di avere la vostra solidarietà, o meglio, la vostra solidale partecipazione a risolvere il mio problema... Oramai sono QUASI sicuro di essere infettato... Non riesco proprio a capacitarmi del fatto, visto che difficilmente faccio stupidaggini... Mai scaricati file porno, solo qualche progaramma di utilità, qualche canzone... TUTTO ovviamente scansionato.
Ma arrivo al dunque..
Da oramai due giorni norton rileva tentativi di connessione TCP/ UDP in entrata... Per non parlare dei pacchetti TCP non-syn/non-ack su una connessione non valida.
Addirittura dieci minuti fa norton mi comunica che un computer con indirizzo ip 212.***.***.*** ha tentato di connettersi al computer utilizzando Blocco predefinito Trojan Horse BAckdoor/SubSeven...
Ora vi pongo le seguenti domande, sperando in una vostra collaborazione:
1) Come posso assicurarmi di essere EFFETTIVAMENTE infetto?
2) Perchè Norton non rileva niente?
3) Nel caso fossi infetto, come posso "guarire" ?
4) Quali medicine?

Vi riporto i risultati del comando netstat -a, confidando nella vostra buona fede:

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP nomecomputer:epmap 0.0.0.0:0 LISTENING
TCP nomecomputer:microsoft-ds 0.0.0.0:0 LISTENING
TCP nomecomputer:1025 0.0.0.0:0 LISTENING
TCP nomecomputer:1027 0.0.0.0:0 LISTENING
TCP nomecomputer:4041 0.0.0.0:0 LISTENING
TCP nomecomputer:4136 0.0.0.0:0 LISTENING
TCP nomecomputer:4269 0.0.0.0:0 LISTENING
TCP nomecomputer:4271 0.0.0.0:0 LISTENING
TCP nomecomputer:4274 0.0.0.0:0 LISTENING
TCP nomecomputer:4310 0.0.0.0:0 LISTENING
TCP nomecomputer:4445 0.0.0.0:0 LISTENING
TCP nomecomputer:5000 0.0.0.0:0 LISTENING
TCP nomecomputer:1028 0.0.0.0:0 LISTENING
TCP nomecomputer:3001 0.0.0.0:0 LISTENING
TCP nomecomputer:3002 0.0.0.0:0 LISTENING
TCP nomecomputer:3003 0.0.0.0:0 LISTENING
TCP nomecomputer:3006 0.0.0.0:0 LISTENING
TCP nomecomputer:4269 localhost:1028 CLOSE_WAIT
TCP nomecomputer:4271 localhost:1028 CLOSE_WAIT
TCP nomecomputer:4310 localhost:1028 CLOSE_WAIT
UDP nomecomputer:epmap *:*
UDP nomecomputer:microsoft-ds *:*
UDP nomecomputer:isakmp *:*
UDP nomecomputer:1026 *:*
UDP nomecomputer:3008 *:*
UDP nomecomputer:3014 *:*
UDP nomecomputer:3015 *:*
UDP nomecomputer:3200 *:*
UDP nomecomputer:ntp *:*
UDP nomecomputer:1900 *:*
UDP nomecomputer:2051 *:*
UDP nomecomputer:2234 *:*
UDP nomecomputer:4022 *:*
UDP nomecomputer:4320 *:*
UDP nomecomputer:4479 *:*


Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 127.0.0.1:4269 127.0.0.1:1028 CLOSE_WAIT
TCP 127.0.0.1:4271 127.0.0.1:1028 CLOSE_WAIT
TCP 127.0.0.1:4310 127.0.0.1:1028 CLOSE_WAIT

5) Vedete qualcosa di anomalo?

Grazie per le risposte.

[dvds]

Originariamente inviato da Ol3iconfini
Oramai sono QUASI sicuro di essere infettato...
[...]
1) Come posso assicurarmi di essere EFFETTIVAMENTE infetto?
2) Perchè Norton non rileva niente?
3) Nel caso fossi infetto, come posso "guarire" ?
4) Quali medicine?

secondo me sei infetto da manie di persecuzione e paranoia, però non sono uno psicologo

Originariamente inviato da Ol3iconfini
5) Vedete qualcosa di anomalo?

no

[Dwarf]

Originariamente inviato da Ol3iconfini

Addirittura dieci minuti fa norton mi comunica che un computer con indirizzo ip 212.***.***.*** ha tentato di connettersi al computer utilizzando Blocco predefinito Trojan Horse BAckdoor/SubSeven...

Sono connesso da due ore, ieri sera ho formattato il pc quindi è pulito, nonostante questo Norton mi da avvisi come questo massimo ogni 30 minuti.....
I firewall sono molto sensibili e Norton in particolare non segnala se si tratta di un tentativo di connessione o di un port scanning.

[Ol3iconfini]

Dwarf, ci sarà un motivo per cui da Ottobre ad ieri Norton non mi segnalava niente ed ora segnala pacchetti UDP in ingresso ogni 3 secondi...? :master: :master: