|
Plagegeister aller Art und deren Bekämpfung: CBL Blacklist infected with Conficker botnetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.11.2015, 19:03 | #1 |
| CBL Blacklist infected with Conficker botnet Guten tag, mein Name ist Michael ich brauche Hilfe bei einem derzeitigen Problem. vor kurzem ist mir aufgefallen das ich auf eine gewisse Seite nicht mehr drauf komme, da meine IP angeblich auf einer Blacklist gelandet ist. Nun konnte ich dort auf der Seite schauen weshalb meine IP auf dieser Blacklist gelandet ist. Dort stand folgendes: IP Address 212.68.95.193 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet. It was last detected at 2015-11-01 10:00 GMT (+/- 30 minutes), approximately 1 days, 7 hours, 30 minutes ago. It has been relisted following a previous removal at 2015-10-31 18:02 GMT (1 days, 23 hours, 49 minutes ago) Perhaps the person who previously removed it didn't actually fix the problem. This IP is infected (or NATting for a computer that is infected) with the Conficker botnet. More information about Conficker can be obtained from Wikipedia Please follow these instructions. Dshield has a diary item containing many third party resources, especially removal tools such as Norton Power Eraser, Stinger, MSRT etc. One of the most critical items is to make sure that all of your computers have the MS08-067 patch installed. But even with the patch installed, machines can get reinfected. There are several ways to identify Conficker infections remotely. For a fairly complete approach, see Sophos. If you have full firewall logs turned on at the time of detection, this may be sufficient to find the infection on a NAT: Your IP was observed making connections to TCP/IP IP address 104.244.14.252 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1638 at exactly 2015-11-01 10:25:50 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second. If you don't have full firewall logging, perhaps you can set up a firewall block/log of all access (any port) to IP address 104.244.14.252 and keep watch for hits. WARNING: DO NOT simply block access to 104.244.14.252 and expect to not get listed again. There are many conficker sinkholes - some move around and even we don't know where they all are. Blocking access to just one sinkhole does not mean that you have blocked all sinkholes, so relistings are possible. You have to monitor your firewall logs, identify the infected machine, and repair them if you wish to remain delisted. Recent versions of NMap can detect Conficker, but it's not 100% reliable at finding every infection. Nmap is available for Linux, xxxBSD, Windows and Mac. Nessus can also find Conficker infections remotely. Several other scanners are available here. Enigma Software's scanner is apparently good at finding Conficker A. University of Bonn has a number of scan/removal tools. If you're unable to find the infection, consider: If you used a network scanner, make sure that the network specification you used to check your network was right, and you understand how to interpret a conficker detection. Some network conficker scanners only detect some varieties of conficker. For example, nmap misses some. If you can't find it with nmap, try other scanners like McAfee's. In other words, try at least two. Are you sure you have found _all_ computers in your network? Sometimes there are machines quietly sitting in back rooms somewhere that got forgotten about. It would be a good idea to run nmap -sP <ALL of your network specifications> which should list all your computers, printers and other network devices. Did you see all the computers you expected to see? The infected computer may be turned off at the time you ran the scan or not on the network. Double-check everything was turned on during the scan. If you have wireless, make sure it's secured with WPA or WPA2, and that "strangers" can't connect. WEP security is NOT good enough. Many versions of Conficker propagate via infected thumbdrives/USB keys. When an infected machine is found, ALL such devices associated with the machine should be considered suspect, and either destroyed or completely reformatted. Conficker also propagates by file and printer shares. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again. So nun habe ich aus Angst erstmal mit diversen Conficker Virenscanner die extra darauf ausgelegt waren jagt gemacht (Kasperky, Symantec, Avira EU Cleaner ect.) Aber ist ist auf meinen Rechner nichts zu Finden. würde mich auch wundern da ich alles auf dem aktuellen Stand habe und Kaspersky Internet Security 16 drauf habe. Die IP 212.68.95.193 wird aber nicht nur von uns verwendet sondern auch von meiner Schwester ihrer Familie. Wir haben hier im Umkreis den Anbieter OR Network WIDSL (Funk) und die haben ihren eigenen Anschluss und bekomme auch die IP angezeigt wenn sie bei www.wieistmeineip...de nachschauen. ich hoffe mir kann einer Helfen und mein Gewissen irgendwie besänftigen. Vielen Vielen Dank im voraus schon einmal. |
02.11.2015, 22:03 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | CBL Blacklist infected with Conficker botnet Hi,
__________________wasn das für ne Seite? Lt. Blacklist Check ist die von dir genannte IP "nur" auf drei der vielen Blacklists gesetzt.
__________________ |
02.11.2015, 23:29 | #3 |
| CBL Blacklist infected with Conficker botnet Hi Cosinus,
__________________cbl.abuseat.org xbl.spamhaus.org zen.spamhaus.org Den Text oben habe ich von der Seite cbl.abuseat.org. Und da steht ja, dass die IP mit dem Conficker Botnet infiziert wurde. Ich habe aber sonst keinerlei Probleme ! Kein Werbung, oder sich selbst öffnenden Tabs im Browser etc. Mir wäre das vielleicht NIE aufgefallen wenn ich nicht gesehen hätte das ich auf dieser einen Seite geblockt worden wäre. Ich habe auch 1 mal beantragt das die IP wieder runter genommen wird, was auch nach knapp einer Stunde der Fall war. So das ich wieder Zugriff hatte. Aber mittlerweile bin ich dort halt wieder gelistet. Und wenn man nach der Zeit geht in der die IP wieder auf die Liste kam, kann ich mit Sicherheit Sagen das es nicht von unseren Geräten kommt da diese alle Samt abgeschaltet waren. Aber allein diese Tatsache macht mich äußerst Nervös. Der Pc ist immer Komplett Clean gehalten worden ! es befindet sich nicht 1 Illegales oder gecracktes Programm auf dem PC ! Das Betriebssystem wird immer sofort geupdated und der Antivirus ist auch auf dem aktuellem Stand. Vielen Dank für deine Hilfe und dein Interesse. MFG Michael |
03.11.2015, 09:48 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | CBL Blacklist infected with Conficker botnet Eine IP-Adresse kann man nicht infizieren, Adressen sind Adressen, keine Computersysteme. Computersysteme, also Hosts wie PC, Notebooks aber auch Server oder Router, das sind Systeme die infiziert werden können. Und wie du ja selbst gesagt hast, teilt ihr euch gemeinsam eine WAN-IP-Adresse, sodass mehrere Computer diese genannte IP als Adresse verwenden.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu CBL Blacklist infected with Conficker botnet |
100%, anschluss, avira, blackhole, blacklist, bot, computer, conficker, detected, diverse, file, firewall, infected, internet, ip adress, kaspersky, monitor, norton power eraser, port, scan, security, seite, software, spam, symantec, trojan, windows, wireless, wpa2 |