NortonAntivirus

darkeye

darkeye

Herzlich willkommen!
Hab letztens NortonAntivirus suf meinen Rechner installiert, weil es ja so toll sein soll und fand folgendes herraus:

Nachdem ich es installiert habe wurde mein Rechner über den Port 1026 angesprochen
und ein Signal ging über den folgenden Port raus, 80HTTP!!
Nach jeden Start wurde der Port angesprochen und ein Signal ging auf den HTTP Port raus.

Da meine Firewall den 80 freigeschaltet hat, wegen www. wurde ich auch garnicht gefragt
ob ich das überhaupt will!

Wolte dann natürlich rausfinden was das ist und fand herraus:

Signal geht an IP 192.49.161.200
DomainName crl.verisign.net

Sprach die Domaine dann über das HTTP und fand lauter Daten, die ich aber nicht so richtig entschlüsseln kann, jedoch verriet mir die Readme das es sich um eine Certifizierung handelt(kann nur ein bischen Englisch) oder sowas ähnliches.

Danach entschied ich mich die Einträge in der REGEDIT zu löschen um so das Starten von NortonAntivirus beim Systemstart zu verhindern. Nach dem Neustart nix mehr mit Signal!!!!

Wolte ich nur mal so sagen :)

Vieleicht weiss jemand von euch ja genaueres darüber??

PS: Hab letztens noch gelesen das die ZoneAlarm grade mit einen Sicherheitsloch in der Personal Firewall kämpft und den Patch denächst herrausbringt, da können die Daten über eine ShellExecute() Funktion über den 80Port getunnelt werden.
 
Schau mal bei deiner Firewall in der Logdatei nach, welche Datei von NAV denn da über Port 80 raus will.

Handelt es sich um die Dateien LUALL.exe oder LUCOMSERVER.exe ?
Diese wollen/müssen nämlich über TCP Port 80 ( HTTP ) oder 443 ( HTTPS) raus,
um ein Update der Virensignaturen durchzuführen.
 
Moment.........
......war die Datei ccApp.exe die versucht hat ne verbindung aufzubauen.

Die Virensignatur erfolgt, wie du schon sagtes über die LUCOMSERVER.exe, geht auch zu einer anderen Adresse als ich oben beschrieben hab.
 
Nachdem das Signal gestern weg war, mußte ich fetstellen das es jetzt wieder da ist.

Meine Firewall zeigt mir nur an das jemand geklopft hat aber laut Jammer wurde eine Verbindung zu der Adresse aufgebaut.

Was ist das???
 
crl.verisign.com

es ist nicht die ccapp.exe sondern die ccRegVfy.exe in C:\Programme\Gemeinsame Dateien\Symantec Shared und die ist im autostart mfg matsch
 
HILFE NAHT !

Für alle , die gern wissen wollen , welcher Port für was ist :

1. Freewaretool Active Ports 1.3 von
Company Name: SmartLine Inc.
Author Name: Ashot Oganesyan K.
Contact WWW URL : http://www.ntutility.com
Leider ist es dort nicht mehr zu bekommen . Ihr müßtet bei
Bedarf also im www suchen .

2. http://www.portsdb.org/bin/portsdb.cgi?portnumber=80&protocol=ANY&String=

hier kann man Ports eintragen und bekommt dann die Namen
der Programme , die denselbigen nutzen .

mfg matsch Dezember 2003
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben