Skocz do zawartości

Mój IP jest na liście antyspamowej abuseat.org | ZeuS/Zbot/Conficker?


Gość

Rekomendowane odpowiedzi

Od pewnego czasu (miesiąc / dwa?) mam problemy z odwiedzaniem niektórych witryn. Niektóre się wgl nie ładują inne wyświetlają dotychczas niezrozumiały komunikat "403 Bot". Problem tkwi w liście antyspamowej na której to znajduje się moje IP - o czym poinformowała mnie pewna witryna, na której próbowałem umieścić komentarz.

Tak jak w temacie jest to lista https://www.abuseat.org/. Istnieje na niej prosty formularz usuwający dany adres IP z listy przy okazji informując zainteresowanego o powodach umieszczenia jego IP na tej liście. Oczywiście próbowałem wykluczyć swoje IP z zerowym skutkiem - zaznaczają na tej stronie iż jeśli na komputerze znajduje sie wirus/oprogramowanie spamujące serwery/programy wysyłające spam emaile, to dany IP zostanie automatycznie ponownie na tej liscie umieszczony.

Zastosowałem szereg porad i rozwiązań tego problemu, które umieścili na tejże stronie począwszy od użycia następujących narzedzi naprawczych/skanujących :
- "Microsoft Windows Malicious Software Removal Tool", którego pełny skan nic nie wykazał,
- "Microsoft Support Emergency Response Tool", pełny skan wykazał 1 plik zupełnie niezwiązany i w mojej ocenie niegroźny, który jednak usunąłem
- "AdwCleaner" użyłem go z własnego doświadczenia. W razie koniecznosci mogę umieścić ostatnie/wczesniejsze logi.
bez pożądanego skutku
- "ZbotKiller.exe", za pierwszym razem wykrył i usunął "unhooked functions: 1", powtórny skan nic nie wykazał
- "ComboFix", użyty nieopacznie. Jego log wklejam w załączniku
po czym:
- odinstalowałem daemon tools lite ( następnie "SPTDinst...exe" nie wykrył żadnego sterownika, oraz brak omawianego w zasadach forum - klucza w rejestrze )
- ponowne skanowanie zbotkiller.exe znów usunęło jeden błąd z kategorii "unhooked functions". ponowny skan nic nie wykazał
- wykonałem skany FRST, GMER - logi załączam

// EDIT // skany uruchomiłem z domyślnymi ustawieniami. Wykonam ponowny skan FRST i dołącze plik Shortcut.txt //


Wszystkie te kroki wykonywałem w różnych odstępach czasu zacząwszy miesiąc temu na skanerach microsoftu i adwcleanerze, poprzez dzisiejsze operacje zbotkillerem, combofixem itd.
W między czasie zdaje mi się, że zmienił mi się adres IP (Arkadia - lokalny dostawca internetu radiowego co jakis czas zdaje się zmieniać IP), więc to nie problem tylko tego konkretnego IP. Nie jestem pewny ale może być to w jakiś sposób związane z podłączeniem routera (wczesniej bezposrednio z kabla radioodbiornika) w mniej wiecej podobnym czasie co występowanie problemów z odwiedzaniem stron. (w chwili obecnej nie posiadam hasła do zarządzania routerem).
Wcześniej (rok temu) miałem już podobny problem z chatboxami "xat.com". Wprowadzono tam pewnego radzaju captche zapobiegającą botom i innym niepożądanym syfom. Od czasu jej wprowadzenia nie byłem w stanie zalogować się na żaden czat (xat). Zasięgałem porad u supporterów tej strony i stwierdzili, że mój IP prawdopodobnie jest uznany jako potencjalny spambot. Pół roku temu problem zniknał - prawdopodobnie zmienił mi się w tym czasie IP.
Ponadto co jakiś czas przestaje mi ładować wszystkie strony z wyjątkiem facebooka. Wtedy również wszystkie inne programy nie mogą się połączyć z internetem.

Brakuje mi pomysłów na rozwiązanie tego problemu. proszę o pomoc ;)
Mam Avasta i XP SP3.

oto komunikat dla adresu IP wykrywanego przez strony typu IPLookup. Adres ten nie zmienia się po ominięciu kablem routera. Zmienia się wtedy tylko adres w poleceniu 'cmd>ipconfig' który wyświetla podobne adresy IP i bramy podsieci (dla połączenia z routerem i bezpośdredniego), ale różne od tego którym identyfikuję się w sieci.
Co ważne "This detection corresponds to a connection at 2015-02-24 10:41:08" . Połaczenie z tego adresu IP wykryto około godziny 11, komputer zaś został wyłączony o 2 w nocy i włączony po 13. :/

 

  Pokaż ukrytą zawartość

 

 

ComboFix.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... gmer.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
  Cytat

W między czasie zdaje mi się, że zmienił mi się adres IP (Arkadia - lokalny dostawca internetu radiowego co jakis czas zdaje się zmieniać IP), więc to nie problem tylko tego konkretnego IP. Nie jestem pewny ale może być to w jakiś sposób związane z podłączeniem routera (wczesniej bezposrednio z kabla radioodbiornika) w mniej wiecej podobnym czasie co występowanie problemów z odwiedzaniem stron. (w chwili obecnej nie posiadam hasła do zarządzania routerem).

Wcześniej (rok temu) miałem już podobny problem z chatboxami "xat.com". Wprowadzono tam pewnego radzaju captche zapobiegającą botom i innym niepożądanym syfom. Od czasu jej wprowadzenia nie byłem w stanie zalogować się na żaden czat (xat). Zasięgałem porad u supporterów tej strony i stwierdzili, że mój IP prawdopodobnie jest uznany jako potencjalny spambot. Pół roku temu problem zniknał - prawdopodobnie zmienił mi się w tym czasie IP.

(...)

oto komunikat dla adresu IP wykrywanego przez strony typu IPLookup. Adres ten nie zmienia się po ominięciu kablem routera.

 

"This IP address is infected with, or is NATting for a machine infected with the ZeuS trojan, also known as "Zbot" and "WSNPoem"."

Rozwiń  

 

Nie ma tu żadnych oznak infekcji tego rodzaju. Wstępnie, nie sądzę, że tu chodzi o infekcję w Twoim systemie, lecz o problem sieci w której jesteś, tzn. jedno z dwóch:

- W sieci jest jeden zewnętrzy IP pod którym wychodzi cała gromada użytkowników (mają wewnętrzne IP), infekcja jest na jednym z komputerów, ale będąc widocznym pod jednym wspólnym IP dostaje się wszystkim którzy są pod nim widziani.

- Losowo został przydzielony wprawdzie adres puli publicznej, ale adres ten był już w użyciu (inny komputer zbanowany).

Rozwiązanie: zmiana IP.

 

Widzę Cię na forum pod IP UPC: 83.144.83.102. To IP nie jest unikatowe, szukanie na Google zwraca pewne wyniki użytkowników postujących na forach, co wskazuje, że to współdzielone lub "ponownie użyte" IP. W teorii UPC niby przyznaje adresy publiczne (KLIK), ale były incydenty z przyznaniem prywatnych (KLIK).

 

Temat przenoszę na konsultację do działu Sieci. Materiały wymagane działem: KLIK.

 

 

Przy okazji, w Firefox jest ustawiona autodetekcja proxy zamiast połączenia bezpośredniego:

 

FF NetworkProxy: "type", 4

Odnośnik do komentarza

Dziękuję za szybką odpowiedź.
ustawienie firefoxa zmieniłem na "bez proxy"

czyli pozostają mi 2 opcje:
- skontaktować się z dostawcą internetowym (nie wiem dlaczego w każdym IPlookupie określa moje IP jako podrzędne UPC i to w dodatku w Warszawie) w nadziei, że zmienią mi IP. Arkadia na swojej stronie oferuje w abonamencie dla firm "adres PUBLICZNY", ale również posiada w ofercie dla kazdego abonamentu mozliwość wykupienia "stałego adresu globalnego IP" w cenie 10zł/msc. Oczywiście posiadam abonament domowy bez wykupionego prywatnego adresu IP, ale jak widać IP i tak mam publiczny.

- czekać na przydzielenie mi nowego adresu IP i liczenie na to iż będzie on "czysty" w swojej przeszłości, lub innni współużytkownicy tego adresu będą "czyści".

Jedna i druga opcja jest raczej niezależna ode mnie i nic w tym temacie nie jestem w stanie zrobić?
Arkadia nigdzie "nie chwali" się przynależnością, bądź też korzystaniem z bazy/domen UPC. ten adres pod którym widnieję również na tym forum jest tym adresem który pokazują wszystkie strony "whatismyIP", ALE już ISCI NETalyzr pokazuje "asterix.arkadia.opole.pl / 91.236.163.250" co jest bliższe prawdzie - również ten adres jest umieszczony na liście abuseat.org co jest wyszczególnione w raporcie ISCI a co konkretniej jest pokazane tutaj: https://www.spamhaus.org/query/ip/91.236.163.250

... sprostowanie. Po wyłączeniu automatycznego wykrywania proxy w FF moje IP na stronach "whatismyip" jest już poprawne i takie jak w raporcie ISCI. Niemniej to IP też jest oznaczone jako spambot. Czyżby Firefox przypisał mi to IP UPC 83.144... które jednak zostało zakwalifikowane jako spambot przez to, że było maską dla prawdziwego adresu zainfekowanego?


Natomiast jest jeszcze problem natury sprzętowej.
W dniu dzisiejszym zauważyłem iż dźwięki czy to systemowe, czy z odtwarzaczy, czy z przeglądarki są zniekształcone. To znaczy, że dźwięk się przycina w zależności od obciążenia pamięci fizycznej/procesora? np. podczas uruchamiania przeglądarki dźwięki z dowolnego odtwarzacza są bardzo zniekształcone i spowolnione oddając stopień pracy komputera. Podczas uruchamiania systemu dźwięk systemowy jest również zniekształcony. Nie jestem w stanie określić kiedy ta zmiana dokładnie miała miejsce ale na pewno już po wczorajszych operacjach, a najbardziej prawdopodobne, że dziś po użyciu programu net-log.
Problem ze średnio-uciążliwego przerodził się w poważny.
Po parudziesięciu minutach po ponownym uruchomieniu komputera po pracy net-loga strony przestały się wczytywać tak już wcześniej miało to miejsce co jakiś czas. Niemniej tym razem nie pomogło ponowne uruchomienie komputera. Dopiero po odłączeniu routera i pracy bezpośrednio z anteny strony zaczęły się wczytywać, ale również do czasu... przed chwilą znów strony przestały reagować za wyjątkiej strony dostawcy internetu i facebooka. Polecenie cmd>ping [dowolny adres] zwracało natomiast pozytywne wyniki. Nie pomagała opcja cmd>ipconfig /release /renew ani opcja "napraw" z menu kontekstowego połączenia lokalnego. Pomogło powrotne podłączenie routera, choć trzeba było poczekać dobrą minutę, aż w Połączeniach Sieciowych>Brama Internetowa>Połączenie internetowe się włączy (czyli router), bo wczesniej było wyłączone (przy podłączonym routerze) i ani samo się nie włączyło z czasem, ani ręczne włączenie się nie powiodło.
Sytuacja zrobiła się bardzo nieprzyjemna - internet coraz częsciej przestaje wczytywać strony (niczym tego nie sygnalizując), a dźwięk przy wykonywaniu jakiejś operacji zacina się ( zaznaczam, że oprócz czynności wymaganych dla tego działu nie wykonywałem żadnych innych zmian/konserwacji/instalacji w systemie )


Mój komputer to minitower DELL - OPTIPLEX GX620. Płyta główna: DELL 0MH415. Chipset: Intel 945G (Lakeport-G) + ICH7. Karta sieciowa: Broadcom NetXtreme 57xx Gigabit Controller (BCM5751)
zaawansowane ustawienia karty sieciowej : 802.1p QOS - disable, Flow Control - Auto, Speed & Duplex - Auto, Wake up Capabilities - Both.
Mój router to Linksys Compact WIreless-G Broadband WRT5GC 2.0
Między anteną odbiorczą a końcowym kablem mam przełącznik zamontowany razem z odbiornikiem przez dostawcę internetu "Switching Mode Power Supply" - I.T.E power supply.

 

 

net-log.txtPobieranie informacji ...

Odnośnik do komentarza
  Cytat

Natomiast jest jeszcze problem natury sprzętowej.

W dniu dzisiejszym zauważyłem iż dźwięki czy to systemowe, czy z odtwarzaczy, czy z przeglądarki są zniekształcone. To znaczy, że dźwięk się przycina w zależności od obciążenia pamięci fizycznej/procesora? np. podczas uruchamiania przeglądarki dźwięki z dowolnego odtwarzacza są bardzo zniekształcone i spowolnione oddając stopień pracy komputera. Podczas uruchamiania systemu dźwięk systemowy jest również zniekształcony. Nie jestem w stanie określić kiedy ta zmiana dokładnie miała miejsce ale na pewno już po wczorajszych operacjach, a najbardziej prawdopodobne, że dziś po użyciu programu net-log.

Rozwiń  

 

Był uruchamiany GMER, do sprawdzenia transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jeśli "Tryb bieżący: PIO" > odinstaluj z prawokliku kanał IDE > zresetuj system.

 

 

W kwestii problemów sieciowych: nie widzę innej możliwości niż zmiana tego zbanowanego IP (czyli kontakt z dostawcą), ale na odniesienie się do wszystkich aspektów poczekaj na odpowiedź kogoś bardziej kompetentnego niż ja.

Odnośnik do komentarza

tamat linkowany powyżej o skutkach ubocznych użycia GMER przeczytałem już wcześniej i nawet zastosowałem poradę dot. wyłączenia autowykrywania nieużywanego kanału Slave. Zdążyłem nawet przywrócić to ustawienie sądząc, że to stanowiło problem.

Rzeczywiście tryb bieżący miałem ustawiony na PIO, ale chyba czegoś nie doczytałem sądząc, że tak jest w porządku - mój błąd!

Oczywiście odinstalowanie kanału IDE pomogło :)

 

Dziękuję za okazaną pomoc - szybką i skuteczną, w granicach możliwości :)

Czekam na porady "osób bardziej kompetentnych w tym temacie"

Pozdrawiam

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...