Hallo,

ich weiß langsam nicht mehr weiter, weil die Sache immer verrückter wird.
Ich habe kürzlich alle Partitionen aufgelöst, alle Inhalte auf meiner Festplatte mit DBAN gelöscht und überschrieben und dannach ein komplett neues Windows7 Betriebssystem mit neuem Key installiert, weil die Vermutung nahe lag, dass sich auf meinem MBR ein Trojaner eingenistet hatte (ich erinnere mal an diesen Beitrag http://www.trojaner-board.de/100767-...q-anserin.html). Wie ich in diesem Beitrag ankündigte, wollte ich mein System von Grund auf neu aufsetzen und das tat ich auch! Während der Prozedur war der Rechner vollständig von allen Netzwerkverbindungen getrennt. Es gab bisher auch keinen Datenverkehr mit anderen Datenträgern, außer meinen Windows- und Treiber-CDs und der externen HD für das Windows Backup, welche vorher formatiert wurde. Nachdem ich den grundlegenden Schutz eingerichtet (Antivirenprogramm, Firewall und Co.) und mein OS gleich mit Sicherheitsupdates auf den neuesten Stand gebracht habe, testete ich meine Verbindung (arbeite übrigens nur noch als Standard-User). Immerhin lief das Surfen wieder so flott wie nie, bei meiner kleinen Kabelleitung! Jedoch werde ich auf Seiten, die durch ein sogenanntes "Bad Behavior" Skript geschützt werden, weiterhin geblockt, welches angeblich Webseiten vor Spambots und anderen bösartigen Angriffen schützen soll. Ich habe auf dem Project Honey Pot Monitor anschließend nach der Ursache gesucht und musste sehen, dass ich wieder in eine Composite Blocking List eingetragen wurde (zuletzt am 24.10.11, also kürzlich bei meinem ersten Internetbesuch mit dem neuaufgesetzten OS). Warum denn bitte schön? Kein Virus/Trojaner überlebt es, wenn er mehrfach überschrieben wird und trotzdem, eine der ersten Webseiten, die ich besuche wirft mich schon wieder auf die Blacklist (oder auch Greylist)...? Man kann den Eintrag auf dieser Liste zwar selbst löschen, aber wenn ich erneut auf eine geschützte Seite gehe, werde ich weiterhin geblockt und wahrscheinlich auch erneut wieder geblacklistet... Da ich vom nackten Win7 ein Backup durchgeführt habe, kann ich gerne nochmal alles "DBANisieren"... aber ich glaube kaum, dass das was bringen wird... +_+ Ich kann seitdem ich diesen Trojaner hatte, Seiten nicht mehr besuchen, bei den es Jahre lang nie Probleme gab. *_* Und einen Grund für 100%ige Gewissheit, dass ich wirklich clean bin, kann ich auch nicht haben... obwohl es schwer vorstellbar ist, dass bei DBAN irgendwas überlebt.
So fällt Online-Shopping und Online-Banking weiterhin erstmal mit dieser Kiste flach. Weiß hier vllt. jemand Rat? Oder könnte vielleicht wissen, woran es liegt? Ich könnte mir vorstellen, dass ich mit einem NAT verbunden bin, aber daran kann es eigentlich auch nicht liegen...

MfG Nexu

Zitat:

Jedoch werde ich auf Seiten, die durch ein sogenanntes "Bad Behavior" Skript geschützt werden, weiterhin geblockt

Kannst du das mal genauer erläutern? Das kann ich so nicht nachvollziehen.

Zitat:

dass ich mit einem NAT verbunden bin, aber daran kann es eigentlich auch nicht liegen...

NAT ist nur eine bestimmte Technik, jeder DSL-Router macht sowas. Die entscheidende Frage ist, in welchem Netzwerk du dich befindest und welchen bzw. wessen Internetanschluss du verwendest.

Zitat:

Zitat von cosinus

Kannst du das mal genauer erläutern? Das kann ich so nicht nachvollziehen.

"Bad Behavoir" so heißt ein PHP-basiertes Projekt, welches auf hxxp://bad-behavior.ioerror.us/ zum Download angeboten wird. Es schützt die Webseiten vor Spam-Mailern und anderen ungewollten Zugriffensreihen, so wird es zumindest erklärt. Ein PC wie ehemals meiner, der wie ein Christbaum im Web leuchtet und durch Trojaner und Ähnlichen ungewollt als Spam-Mailer missbraucht wird, kann da leicht geblockt werden... allerdings wird man wieder angeblich freigeschaltet, sobald das Problem behoben wurde. So weit ich es aus meinen Recherchen ermittelt habe. Ob es da eine Karenzzeit gibt, bis man wieder auf der Whitelist landet oder nicht weiß ich nicht. Jedenfalls landete ich unabhängig davon nach dem Zeitpunkt der Neuaufsetzung des Systems wieder auf der CBL (eine Liste die z.B. Spam-Mailer blacklistet). Ob ich mich davon beirren lassen sollte, weiß ich nicht. Jedenfalls werden diesmal im Gegensatz zum letzten Mal keine detailierten Gründe angegeben, warum ich da wieder eingetragen wurde.

Zitat:

The CBL takes its source data from very large spamtraps/mail infrastructures, and only lists IPs exhibiting characteristics which are specific to open proxies of various sorts (HTTP, socks, AnalogX, wingate etc) and dedicated Spam BOTs (such as Cutwail, Rustock, Lethic etc) which have been abused to send spam, worms/viruses that do their own direct mail transmission, or some types of trojan-horse or "stealth" spamware, dictionary mail harvesters etc.

Wie gesagt, bisher hatte ich kaum Aktivitäten im Web nach der Neueinrichtung, aber anscheinend reicht der Aufruf einer Seite, die durch dieses Skript geschützt wird und schon landet man erneut in der Liste der bösen Übeltäter... das verunsichert mich...
Es gibt aber leider bisher keine Chance für mich herauszubekommen ob ich nun wirklich meine IP weiterhin für bösartige Aktivitäten missbraucht wird, außer das ich ggf. in verschiedenen Listen im Web geloggt werde, die behaupten es wäre da was. TCP-View meldet nichts verdächtiges... das einzige, was ich machen kann ist alle ausgehenden Verbindungen mit FW blocken und Programme gezielt zu lassen, falls es wirklich von mir ausgeht. Nur dann gibt's reichlich Probleme mit den Windows und Software Updates (Flash, Reader und Co.)... und richtig die Lösung kann das auch nicht sein -.-

Zitat:

Zitat von cosinus

NAT ist nur eine bestimmte Technik, jeder DSL-Router macht sowas. Die entscheidende Frage ist, in welchem Netzwerk du dich befindest und welchen bzw. wessen Internetanschluss du verwendest.

Ich habe keinen DSL-Router, sondern ein lahmes Kabel-Modem von Arris (älteres Modell, genaueres weiß ich gerade nicht), auf das ich nicht mal zugreifen kann. Es wird vom Provider einmal kalibriert und lässt sich dann nicht mehr verändern. Ich weiß nicht, ob mein Kabel-Modem wirklich NAT-fähig ist (sollte eigentlich sein) und ob ich wirklich diese externe IP alleine nutze... in meiner Wohnung hängt jedenfalls kein zweites Gerät dran, aber ich wohne nur in einem Appartment eines größeren Gebäudekomplexes mit vielen Wohnungen, die wahrscheinlich von einer zentralen Kabel/ und DSL-Anschlussstelle versorgt werden. Zumindest waren hier, als ich eingezogen bin keine DSL-Anschlüsse mehr frei. O.o

Ein reines Modem macht kein NAT. Wenn dem so ist, hängt dein Rechner direkt am Internet. Das heißt, alle Paktefilterungen muss deine Windows-Firewall erledigen. Das hab ich bei mir auch so, die Windows-Firewall aber auf "keine Ausnahmen zulassen" fixiert, mit Adminrechten wird auch nicht gearbeitet. Nur wenn ich das Windows mal pflegen muss, meine Freundin nutzt es nur, ich nutze Linux (Ubuntu).

Nur mal so zum Spaß, boote doch auch mal Ubuntu oder ein anderes Linux-System von Live-CD (bei Ubuntu Ausprobiertmodus) und teste einfach mal ob du da auch noch in der Blacklist bist.

Nach DBAN jedenfalls kann KEIN Schädling mehr auf der Platte sein. Auch der MBR wird geplättet, sofern man DBAN auf die Platte loslässt und nicht nur die einzelnen Partition überschreiben lässt.

Zitat:

Ein reines Modem macht kein NAT. Wenn dem so ist, hängt dein Rechner direkt am Internet. Das heißt, alle Paktefilterungen muss deine Windows-Firewall erledigen.

Genau so ist es!
Ich habe mit meinem Provider telefoniert (hätte ich schon viel eher machen sollen). Der hat mir genau das bestätigt, was du sagtest. Ich besitze ein Modem und teile meine externe IP mit zahlreichen anderen Geräten... das können hunderte sein! -.- Der eigentliche Router steht ganz wo anders... und bündelt alle Geräte in einem internen Netzwerk. Dort findet dann die NAT statt. Das heißt von Anfang an muss es nicht mein Fehler gewesen sein, dass ich in der Blacklist stand. Ergo ist es sinnlos mich aus diesen Listen auszutragen. Kein Wunder, dass 14 verschiedene User Agents zu dieser IP bereits detektiert wurden und auch MAC und Linux als OS in Verbindung mit dieser IP in der Liste standen. Naja, aber das habe ich ja auch heute erst entdeckt... ich konnte mir dennoch nicht sicher sein, dass ich wirklich sauber bin. Immerhin muss ich bei Aktionen wie zum Beispiel Online-Banking vorher absolut sicher sein.

Dann hat sich das Problem ja erledigt. Scheiße nur, dass ich einiger meiner liebsten Webseiten durch so einen Mist nicht mehr besuchen kann. Muss ich damit erstmal leben...

Bei welchem Provider bist du noch gleich?

KKS, ein kleiner regionaler Anbieter, der Kabelinternet, Kabelphone und Kabelfernsehen anbietet. Kabel Deutschland und andere große Anbieter liegen außerhalb des Versorgungsbereiches oder können mich nur gegen Aufpreis versorgen, wenn überhaupt eine Leitung frei ist... insbesondere bei DSL kann es vorkommen, dass alle Leitungen bereits genutzt werden. ... nunja. -.-