Mój IP jest na liście antyspamowej abuseat.org | ZeuS/Zbot/Conficker?

[Gość]

Od pewnego czasu (miesiąc / dwa?) mam problemy z odwiedzaniem niektórych witryn. Niektóre się wgl nie ładują inne wyświetlają dotychczas niezrozumiały komunikat "403 Bot". Problem tkwi w liście antyspamowej na której to znajduje się moje IP - o czym poinformowała mnie pewna witryna, na której próbowałem umieścić komentarz.

Tak jak w temacie jest to lista https://www.abuseat.org/. Istnieje na niej prosty formularz usuwający dany adres IP z listy przy okazji informując zainteresowanego o powodach umieszczenia jego IP na tej liście. Oczywiście próbowałem wykluczyć swoje IP z zerowym skutkiem - zaznaczają na tej stronie iż jeśli na komputerze znajduje sie wirus/oprogramowanie spamujące serwery/programy wysyłające spam emaile, to dany IP zostanie automatycznie ponownie na tej liscie umieszczony.

Zastosowałem szereg porad i rozwiązań tego problemu, które umieścili na tejże stronie począwszy od użycia następujących narzedzi naprawczych/skanujących :
- "Microsoft Windows Malicious Software Removal Tool", którego pełny skan nic nie wykazał,
- "Microsoft Support Emergency Response Tool", pełny skan wykazał 1 plik zupełnie niezwiązany i w mojej ocenie niegroźny, który jednak usunąłem
- "AdwCleaner" użyłem go z własnego doświadczenia. W razie koniecznosci mogę umieścić ostatnie/wczesniejsze logi.
bez pożądanego skutku
- "ZbotKiller.exe", za pierwszym razem wykrył i usunął "unhooked functions: 1", powtórny skan nic nie wykazał
- "ComboFix", użyty nieopacznie. Jego log wklejam w załączniku
po czym:
- odinstalowałem daemon tools lite ( następnie "SPTDinst...exe" nie wykrył żadnego sterownika, oraz brak omawianego w zasadach forum - klucza w rejestrze )
- ponowne skanowanie zbotkiller.exe znów usunęło jeden błąd z kategorii "unhooked functions". ponowny skan nic nie wykazał
- wykonałem skany FRST, GMER - logi załączam

// EDIT // skany uruchomiłem z domyślnymi ustawieniami. Wykonam ponowny skan FRST i dołącze plik Shortcut.txt //


Wszystkie te kroki wykonywałem w różnych odstępach czasu zacząwszy miesiąc temu na skanerach microsoftu i adwcleanerze, poprzez dzisiejsze operacje zbotkillerem, combofixem itd.
W między czasie zdaje mi się, że zmienił mi się adres IP (Arkadia - lokalny dostawca internetu radiowego co jakis czas zdaje się zmieniać IP), więc to nie problem tylko tego konkretnego IP. Nie jestem pewny ale może być to w jakiś sposób związane z podłączeniem routera (wczesniej bezposrednio z kabla radioodbiornika) w mniej wiecej podobnym czasie co występowanie problemów z odwiedzaniem stron. (w chwili obecnej nie posiadam hasła do zarządzania routerem).
Wcześniej (rok temu) miałem już podobny problem z chatboxami "xat.com". Wprowadzono tam pewnego radzaju captche zapobiegającą botom i innym niepożądanym syfom. Od czasu jej wprowadzenia nie byłem w stanie zalogować się na żaden czat (xat). Zasięgałem porad u supporterów tej strony i stwierdzili, że mój IP prawdopodobnie jest uznany jako potencjalny spambot. Pół roku temu problem zniknał - prawdopodobnie zmienił mi się w tym czasie IP.
Ponadto co jakiś czas przestaje mi ładować wszystkie strony z wyjątkiem facebooka. Wtedy również wszystkie inne programy nie mogą się połączyć z internetem.

Brakuje mi pomysłów na rozwiązanie tego problemu. proszę o pomoc
Mam Avasta i XP SP3.

oto komunikat dla adresu IP wykrywanego przez strony typu IPLookup. Adres ten nie zmienia się po ominięciu kablem routera. Zmienia się wtedy tylko adres w poleceniu 'cmd>ipconfig' który wyświetla podobne adresy IP i bramy podsieci (dla połączenia z routerem i bezpośdredniego), ale różne od tego którym identyfikuję się w sieci.
Co ważne "This detection corresponds to a connection at 2015-02-24 10:41:08" . Połaczenie z tego adresu IP wykryto około godziny 11, komputer zaś został wyłączony o 2 w nocy i włączony po 13. :/

 

 

IP Address 83.144.83.*** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2015-02-24 11:00 GMT (+/- 30 minutes), approximately 3 hours ago.

This IP address is infected with, or is NATting for a machine infected with the ZeuS trojan, also known as "Zbot" and "WSNPoem".

ZeuS is a malicious software (malware) used by cybercriminals to commit ebanking fraud and steal sensitive personal data, such as credentials (username, password) for online services (email, webmail, etc.).

The infection was detected by observing this IP address attempting to make contact to a ZeuS Command and Control server (C&C), a central server used by the criminals to control with ZeuS infected computers (bots).

More information about the ZeuS Trojan can be found here:

Microsoft Malware Protection Center: Win32/Zbot
Symantec: Trojan.Zbot
McAfee Labs Threat Advisory: PWS-Zbot

You can try Kaspersky's Zbot killer to get this infection detected/removed. However, we strongly recommend you to do completely re-install your operation system to get this infection removed permanently.

This was detected by a TCP/IP connection from 83.144.83.*** on port 49268 going to IP address 82.165.37.** (the sinkhole) on port 80.

The botnet command and control domain for this connection was "condasdwgfwdlp**.net".

Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address 82.165.37.** or host name condasdwgfwdlp**.net on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to 82.165.37.** or condasdwgfwdlp**.net. See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

This detection corresponds to a connection at 2015-02-24 10:41:08 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

Norton Power Eraser is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections.

We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators.

If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.

We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.

The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives. NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP.

Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.

Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.

While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.

 

 

ComboFix.txt FRST.txt Addition.txt gmer.txt

[picasso]

Cytat

W między czasie zdaje mi się, że zmienił mi się adres IP (Arkadia - lokalny dostawca internetu radiowego co jakis czas zdaje się zmieniać IP), więc to nie problem tylko tego konkretnego IP. Nie jestem pewny ale może być to w jakiś sposób związane z podłączeniem routera (wczesniej bezposrednio z kabla radioodbiornika) w mniej wiecej podobnym czasie co występowanie problemów z odwiedzaniem stron. (w chwili obecnej nie posiadam hasła do zarządzania routerem).

Wcześniej (rok temu) miałem już podobny problem z chatboxami "xat.com". Wprowadzono tam pewnego radzaju captche zapobiegającą botom i innym niepożądanym syfom. Od czasu jej wprowadzenia nie byłem w stanie zalogować się na żaden czat (xat). Zasięgałem porad u supporterów tej strony i stwierdzili, że mój IP prawdopodobnie jest uznany jako potencjalny spambot. Pół roku temu problem zniknał - prawdopodobnie zmienił mi się w tym czasie IP.

(...)

oto komunikat dla adresu IP wykrywanego przez strony typu IPLookup. Adres ten nie zmienia się po ominięciu kablem routera.

 

"This IP address is infected with, or is NATting for a machine infected with the ZeuS trojan, also known as "Zbot" and "WSNPoem"."

 

Nie ma tu żadnych oznak infekcji tego rodzaju. Wstępnie, nie sądzę, że tu chodzi o infekcję w Twoim systemie, lecz o problem sieci w której jesteś, tzn. jedno z dwóch:

- W sieci jest jeden zewnętrzy IP pod którym wychodzi cała gromada użytkowników (mają wewnętrzne IP), infekcja jest na jednym z komputerów, ale będąc widocznym pod jednym wspólnym IP dostaje się wszystkim którzy są pod nim widziani.

- Losowo został przydzielony wprawdzie adres puli publicznej, ale adres ten był już w użyciu (inny komputer zbanowany).

Rozwiązanie: zmiana IP.

 

Widzę Cię na forum pod IP UPC: 83.144.83.102. To IP nie jest unikatowe, szukanie na Google zwraca pewne wyniki użytkowników postujących na forach, co wskazuje, że to współdzielone lub "ponownie użyte" IP. W teorii UPC niby przyznaje adresy publiczne (KLIK), ale były incydenty z przyznaniem prywatnych (KLIK).

 

Temat przenoszę na konsultację do działu Sieci. Materiały wymagane działem: KLIK.

 

 

Przy okazji, w Firefox jest ustawiona autodetekcja proxy zamiast połączenia bezpośredniego:

 

FF NetworkProxy: "type", 4

[Gość]

Dziękuję za szybką odpowiedź.
ustawienie firefoxa zmieniłem na "bez proxy"

czyli pozostają mi 2 opcje:
- skontaktować się z dostawcą internetowym (nie wiem dlaczego w każdym IPlookupie określa moje IP jako podrzędne UPC i to w dodatku w Warszawie) w nadziei, że zmienią mi IP. Arkadia na swojej stronie oferuje w abonamencie dla firm "adres PUBLICZNY", ale również posiada w ofercie dla kazdego abonamentu mozliwość wykupienia "stałego adresu globalnego IP" w cenie 10zł/msc. Oczywiście posiadam abonament domowy bez wykupionego prywatnego adresu IP, ale jak widać IP i tak mam publiczny.

- czekać na przydzielenie mi nowego adresu IP i liczenie na to iż będzie on "czysty" w swojej przeszłości, lub innni współużytkownicy tego adresu będą "czyści".

Jedna i druga opcja jest raczej niezależna ode mnie i nic w tym temacie nie jestem w stanie zrobić?
Arkadia nigdzie "nie chwali" się przynależnością, bądź też korzystaniem z bazy/domen UPC. ten adres pod którym widnieję również na tym forum jest tym adresem który pokazują wszystkie strony "whatismyIP", ALE już ISCI NETalyzr pokazuje "asterix.arkadia.opole.pl / 91.236.163.250" co jest bliższe prawdzie - również ten adres jest umieszczony na liście abuseat.org co jest wyszczególnione w raporcie ISCI a co konkretniej jest pokazane tutaj: https://www.spamhaus.org/query/ip/91.236.163.250

... sprostowanie. Po wyłączeniu automatycznego wykrywania proxy w FF moje IP na stronach "whatismyip" jest już poprawne i takie jak w raporcie ISCI. Niemniej to IP też jest oznaczone jako spambot. Czyżby Firefox przypisał mi to IP UPC 83.144... które jednak zostało zakwalifikowane jako spambot przez to, że było maską dla prawdziwego adresu zainfekowanego?


Natomiast jest jeszcze problem natury sprzętowej.
W dniu dzisiejszym zauważyłem iż dźwięki czy to systemowe, czy z odtwarzaczy, czy z przeglądarki są zniekształcone. To znaczy, że dźwięk się przycina w zależności od obciążenia pamięci fizycznej/procesora? np. podczas uruchamiania przeglądarki dźwięki z dowolnego odtwarzacza są bardzo zniekształcone i spowolnione oddając stopień pracy komputera. Podczas uruchamiania systemu dźwięk systemowy jest również zniekształcony. Nie jestem w stanie określić kiedy ta zmiana dokładnie miała miejsce ale na pewno już po wczorajszych operacjach, a najbardziej prawdopodobne, że dziś po użyciu programu net-log.
Problem ze średnio-uciążliwego przerodził się w poważny.
Po parudziesięciu minutach po ponownym uruchomieniu komputera po pracy net-loga strony przestały się wczytywać tak już wcześniej miało to miejsce co jakiś czas. Niemniej tym razem nie pomogło ponowne uruchomienie komputera. Dopiero po odłączeniu routera i pracy bezpośrednio z anteny strony zaczęły się wczytywać, ale również do czasu... przed chwilą znów strony przestały reagować za wyjątkiej strony dostawcy internetu i facebooka. Polecenie cmd>ping [dowolny adres] zwracało natomiast pozytywne wyniki. Nie pomagała opcja cmd>ipconfig /release /renew ani opcja "napraw" z menu kontekstowego połączenia lokalnego. Pomogło powrotne podłączenie routera, choć trzeba było poczekać dobrą minutę, aż w Połączeniach Sieciowych>Brama Internetowa>Połączenie internetowe się włączy (czyli router), bo wczesniej było wyłączone (przy podłączonym routerze) i ani samo się nie włączyło z czasem, ani ręczne włączenie się nie powiodło.
Sytuacja zrobiła się bardzo nieprzyjemna - internet coraz częsciej przestaje wczytywać strony (niczym tego nie sygnalizując), a dźwięk przy wykonywaniu jakiejś operacji zacina się ( zaznaczam, że oprócz czynności wymaganych dla tego działu nie wykonywałem żadnych innych zmian/konserwacji/instalacji w systemie )


Mój komputer to minitower DELL - OPTIPLEX GX620. Płyta główna: DELL 0MH415. Chipset: Intel 945G (Lakeport-G) + ICH7. Karta sieciowa: Broadcom NetXtreme 57xx Gigabit Controller (BCM5751)
zaawansowane ustawienia karty sieciowej : 802.1p QOS - disable, Flow Control - Auto, Speed & Duplex - Auto, Wake up Capabilities - Both.
Mój router to Linksys Compact WIreless-G Broadband WRT5GC 2.0
Między anteną odbiorczą a końcowym kablem mam przełącznik zamontowany razem z odbiornikiem przez dostawcę internetu "Switching Mode Power Supply" - I.T.E power supply.

 

 

net-log.txt

[Groszexxx]

W linku opisującym rzekomo incydent jakoby IP miałoby być prywatne jest informacja zamieszczona przez autora tematu, że dodanie IP do DMZ sprawiło, że problem z hostowaniem w grach ustąpił. A więc od początku był to adres publiczny.

[picasso]

Cytat

Natomiast jest jeszcze problem natury sprzętowej.

W dniu dzisiejszym zauważyłem iż dźwięki czy to systemowe, czy z odtwarzaczy, czy z przeglądarki są zniekształcone. To znaczy, że dźwięk się przycina w zależności od obciążenia pamięci fizycznej/procesora? np. podczas uruchamiania przeglądarki dźwięki z dowolnego odtwarzacza są bardzo zniekształcone i spowolnione oddając stopień pracy komputera. Podczas uruchamiania systemu dźwięk systemowy jest również zniekształcony. Nie jestem w stanie określić kiedy ta zmiana dokładnie miała miejsce ale na pewno już po wczorajszych operacjach, a najbardziej prawdopodobne, że dziś po użyciu programu net-log.

 

Był uruchamiany GMER, do sprawdzenia transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jeśli "Tryb bieżący: PIO" > odinstaluj z prawokliku kanał IDE > zresetuj system.

 

 

W kwestii problemów sieciowych: nie widzę innej możliwości niż zmiana tego zbanowanego IP (czyli kontakt z dostawcą), ale na odniesienie się do wszystkich aspektów poczekaj na odpowiedź kogoś bardziej kompetentnego niż ja.

[Gość]

tamat linkowany powyżej o skutkach ubocznych użycia GMER przeczytałem już wcześniej i nawet zastosowałem poradę dot. wyłączenia autowykrywania nieużywanego kanału Slave. Zdążyłem nawet przywrócić to ustawienie sądząc, że to stanowiło problem.

Rzeczywiście tryb bieżący miałem ustawiony na PIO, ale chyba czegoś nie doczytałem sądząc, że tak jest w porządku - mój błąd!

Oczywiście odinstalowanie kanału IDE pomogło

 

Dziękuję za okazaną pomoc - szybką i skuteczną, w granicach możliwości

Czekam na porady "osób bardziej kompetentnych w tym temacie"

Pozdrawiam