Hallo,

als ich mich vorhin im Mosfetkiller-Forum anmelden wollte, erschien folgende Meldung:

Zitat:

Deine IP-Adresse 77.21.28.135 wurde gesperrt, da sie auf der schwarzen Liste steht. Details findest du unter h**p://search.atlbl.com/search.php?q=77.21.28.135.
Ein Eintrag in einer schwarzen Liste kann folgende Urschen haben:
1. Du bist ein bekannter Spammer.
2. Ein bekannter Spammer verwendete zuletzt deine vom ISP (Internet Service Provider) zugewiesene dynamische IP-Adresse.
3. Dein ISP ist dafür bekannt, dass er viele Spammer als Kunden hat und nicht viel dagegen unternimmt.

Die Seite ist leider tot, aber durch googlen kam ich zu folgender Seite: h**p://www.spamhaus.org/query/bl?ip=77.21.28.135
Durch einen Klick auf "CBL" kam ich zu einer Seite mit viel Text, wo ziemlich weit oben etwas mit "Festi spambot" steht. Meine Frage wäre jetzt, da es sich um dynamische IPs handelt, ist mein Netzwerk infiziert, und wenn ja, wie werde ich den Bot los?

Mit freundlichen Grüßen,
Tim Schiewe

Hi schaun wir uns den PC mal an:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo markusg,

Wie gesagt das ist ein Netzwerk mit sieben Rechnern. Soll ich jetzt jeden Rechner einzeln bearbeiten und das hier posten? Oder gibts einen anderen Weg? Ich frage, weil die Logs ja nicht kurz sind.
//Edit: Der Link ist tot.

Mit freundlichen Grüßen,
Tim Schiewe

Hallo markusg,

hab das Tool per Google bekommen, also hier jetzt die Logs.
//Edit: Ich habe gerade mal in die Blacklist geschaut ob sich da was getan hat, und ich sehe, dass das jetzt ein anderer Bot ist: "kelihos spambot". Gibt es mehrere Namen oder sind das verschiedene Bots?

Mit freundlichen Grüßen,
Tim Schiewe

Hi
gibt verschiedene.
Frage:
tritt das Problem an allen PC's auf?
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Hallo markusg,

Wir haben hier ein Netzwerk, das über einen Router und Kabelmodem mit dem Internet verbunden ist. Die (dynamische) IP des Kabelmodems ist in mehreren IP-Blacklists eingetragen. Daher sind alle PCs betroffen, allerdings ohne Symptome auf Malware. Da die IP dynamisch zugewiesen wird (ja ich wiederhole mich) kann es sein, dass jemand Mist gebaut hat und wir jetzt diese IP haben und unser Netzwerk gar nicht betroffen ist. Ich kenne mich zwar sehr gut mit Computern aus aber bei Malware hört mein Verständnis auf.

Mit freundlichen Grüßen,
Tim Schiewe

Hi, schon mal einen Reset des Routers versucht?
Du kannst ja mal Malwarebytes über alle PC's laufen lassen.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

den pc, den ich grad gesehen hab, müsste man auch noch absichern, fehlene updates etc. aber das können wir ja noch machen.

Hallo markusg,

es ist einige Zeit vergangen, da ich leider im Krankenhaus war. Jedenfalls hab ich den Blacklist-Eintrag von Hand entfernt. Mal sehen ob wir wieder gelistet werden. Was halten Sie eigentlich von AntiVir Free? Damit werden 4 der 7 PCs geschützt. Die restlichen drei von Kaspersky Security Suite.

Mit freundlichen Grüßen,
Tim Schiewe

Hi
ich nutze emsisoft, ist so gut wie kaspersky, verzichtet aber auf unnötige Module, wodurch es übersichtlicher und nicht so fehleranfällig ist.