Bitte alles lesen - Virus

[Stephan Reuter]

Hallo,

wir kriegen recht viele Viren. Diese kommen von einem infizierten System. Da 90% unserer Besucher Segler sind und viele von hierher unserer Seite sich angesehen haben, ist es gut möglich dass ein Boote-Forum Leser derjenige ist.

Ich bitte euch, eure PCs zu überprüfen! Wir erhalten pro Tag locker 3 MB an Viren und es steigt kontinuierlich an.

Zitat:

Zitat von Stephan Reuter

Hallo,

wir kriegen recht viele Viren. Diese kommen von einem infizierten System. Da 90% unserer Besucher Segler sind und viele von hierher unserer Seite sich angesehen haben, ist es gut möglich dass ein Boote-Forum Leser derjenige ist.

Ich bitte euch, eure PCs zu überprüfen! Wir erhalten pro Tag locker 3 MB an Viren und es steigt kontinuierlich an.

Moin Stephan,
3 MB an Viren. Täglich.
Mannomann, dann kommt der alte Herr Norton aber ganz schön auf Trab.

[Stephan Reuter]

die Mails der Yachtseite kommen alle erst auf einem Linuxrechner, also ist die Wirksamkeit von denen gleich 0.

Aber der Traffic nervt....und es sind nur 2 oder 3 Rechner.

Der Typ weiss wahrscheinlich nicht, dass der Rechner munter rumschickt.

Ich könnte hier mal bei der nächsten die IP und die Zeit posten, dann kann jeder für sich selber sehen. Ist aber witzlos: Derjenige, dessen Rechner infiziert ist wird wohl kaum wissen wie man die eigene IP rausfindet. Oder rausfindet welche IP man zu welcher Zeit hatte.

Daher dachte ich, ich poste einfach mal eine generelle Warnung hier. Es ist ein T-Online-Kunde.

Also: Alle die das hier lesen und bei T-online sind: Computer mit einem Virenscanner überprüfen!!

[Seekreuzer]

Ist es eine t-online-IP oder steht ein t-online-Mailaccount im Header?

[Stephan Reuter]

das mit dem Mailaccount im Header wäre eh gefälscht. Der Virus bringt sein eigenen MTA mit.

Die IP kommt von der IP Range der T-Online. Es ist definitiv jemand, der T-Online als Provider hat.

[Jörg L.]

Zitat:

Ist aber witzlos: Derjenige, dessen Rechner infiziert ist wird wohl kaum wissen wie man die eigene IP rausfindet. Oder rausfindet welche IP man zu welcher Zeit hatte.

Moin,
ich lerne ja gerne dazu. Wo kann man sich die verwendeten IPs bei W2k anzeigen lassen.
Bei der aktuell verwendeten IP ist es ja kein Problem, aber bei den vorhergehenden IPs?

Jörg

PS: Ich arbeite nicht über T-Online und mein Norten AV ist auch auf dem neusten Stand.

[Seekreuzer]

Hier ist Deine IP:

<- Dies ist die IP des jeweiligen Betrachters!

Normalerweise würde ich ja noch www.port-scan.de empfehlen, aber die sind heute auch offline...

doch... eben geht's auch bei denen wieder!

SORRY... vergisses... habe gerade erst Deine Frage nach alten IPs gesehen

[Cyrus]

Nur so zur Info:
Mein Spamfilter löscht jeden Tag min 30 Stück.
Immer der gleich Typ... Kein Betreff und kein Absender.

[chris-b]

der DOS/CMD-Befehl heißt IPCONFIG.

Eine Möglichkeit wäre, über den Autostart-Ordner eine cmd-Datei mit zwei Kommandos ablaufen zu lassen

date /T >>c:\ip_liste.txt
time /T >>c:\ip_liste.txt
ipconfig >>c:\ip_liste.txt

Resultat: zuerst werden Datum und Uhrzeit in die Datei c:\ip_liste.txt geschrieben, dann die von IPCONFIG ermittelten Angaben zur IP-Konfiguration (u.a. die IP-Adresse).

Hilft aber auch nur dann, wenn man direkt am Internet hängt (Modem, ISDN, DSL per PPOoE). Wenn man selbst in einem LAN hängt und ein Router (gerne genommen bei DSL-Anschlüssen) dazwischen hängt, hat natürlich der Router die T-Online-IP-Adresse und nicht der PC.

(Hoffe damit etwas zur Verwirrung beigetragen zu haben)
(Bin übrigens bei T-Online und nach bestem Wissen und Gewissen Virenfrei )

Gruß
Christoph

[Volker]

Bei mir ist wieder diese MICROSOFT-Warnung mit diesem patch-Virus aktiv:

http://www.boote-forum.de/phpBB2/vie...t=8350&start=0

Wird jedesmal beim Hochfahren des Computers von Herrn Norton erkannt und isoliert. Aus dem Isolationsbereich lösche ich sie und natürlich lösche ich auch das entsprechende mail sofort ohne es aufzumachen (habe ich inzwischen bei OE ja gelernt) und natürlich ohne die Anlage aufzumachen.

Kann dann wohl nicht über mich kommen, oder? Ausserdem geht's bei mir über einen Router.

"Wir ...", Stefan, heisst das auf der Yachtseite? Na, da bin ich sowieso nicht gewesen in den letzten Wochen...

Volker

[Stephan Reuter]

Volker, mit "wir" ist Joachim und ich gemeint

Irgendeiner muss ja es finanzieren ;)

Es spielt auch keine Rolle ob Du letztens drauf gewesen bist oder nicht. Das ist für den Virus auch gar nicht nötig.

...

...

[apiroma]

Hi Stephan,
kannst du mir eine P.N senden, wenn das Problem am Wochenende auftaucht.
Hatte bereits auch diverse Angriffe mit meinem Router festgestellt.
Möglicherweise läuft da was, obwohl meine Scanner nichts melden (mglw. durch Virus-override)????

[Stephan Reuter]

Hier einige IPs und der betreffende Zeitraum, wo Viren losgeschickt wurden:

217.231.112.170
Thu, 08 Jan 2004 18:03:48 +0100
217.225.123.18
Thu, 08 Jan 2004 19:55:04 +0100
217.225.123.18
Fri, 09 Jan 2004 02:15:10 +0100
217.238.128.196
Fri, 09 Jan 2004 07:27:01 +0100
217.225.123.18
Fri, 09 Jan 2004 07:51:17 +0100
217.225.123.18
Fri, 09 Jan 2004 07:52:30 +0100
217.82.136.70
Sun, 11 Jan 2004 16:04:16 +0100

Die Adresse 217.225.123.18 kommt ständig drin vor, es liegt der Verdacht nahe, dass es ein Heim-PC mit Standleitung oder sowas ist. Auf jeden Fall ist da Windows drauf.

Ist sicher nur ein oder zwei Systeme, blöderweise verursachen die 2 Systeme bei mir einen Traffic von mehreren MB am Tag.

[Stephan Reuter]

Gerade einer reingekommen:

217.231.93.155


Mon, 12 Jan 2004 10:28:41 +0100

[Tequila]

mal `ne blöde Frage:
die IP Adressen fangen ja alle mit "217" an - was bedeutet das? Kann man damit irgendwas eingrenzen? Den Ort oder den Server?
Ich hab`gerade mal in meinem Startfeld von T-online nachgesehen und da steht: "ihre IP Adresse ist 80.141.usw"
Also damit scheide ich als "Täter" schonmal aus oder ?

Grüße
Heinz

[moonmaus]

Hallo, um das zu klären,

die angegebenen Zeiten sind eingestellte Nachrichten, oder wird da registriert wann sich wer einwählt??

Gruß
Bernhard

[moonmaus]

Hallo,

habe folgende adresse gefunden:

http://www.router-forum.de/ip.php

wenn man die anwählt, wird die persönliche IP gezeigt.

Probiet es aus, ob es stimmt.

Ich bins nicht
Gruß
Bernhard

[Stephan Reuter]

@Heinz

Jeder kriegt eine IP. Im normalen Kundenfall hat der ISP eine Reihe von Nummern, eine sogenannte IP Range, oder auch IP Block genannt. Die vergibt er an den Kunden (in der Regel nur temporär, bis er sich wieder ausloggt). Davon ausgenommen sind Standleitungen, allerdings sind diese meistens ebenfalls von einem ISP "gemietet".

Die Deutsche Telekom AG hat z.B. einen Block (unter anderem) von
217.224.0.0/11

Die 11 bedeutet: Die ersten 11 Bit des Blocks sind statisch, der Rest variabel.
Das ergibt: 217.224.0.0 - 217.237.161.47

Alle IPs, die daraus kommen, gehören der Deutsche Telekom AG.

Wenn man z.B. selber ein ISP werden will (bzw. genug Bedarf an Standleitungen hat damit es sich lohnt), braucht man solche Nummernblöcke. Die bekommt man bei RIPE.
http://www.ripe.net/

@moonmaus
Die angegeben Zeiten sind wann der Virus/Wurm seine Mail abgeliefert hat. Mittlerweile haben die meisten ein eigenes MTA dabei (das ist der eigentliche Kern, der Mail Transfer Agent. Sobald er ausgeführt wird, bedarf er Outlook nicht mehr, es genügt für ihn wenn Win drauf ist.
Wenn er Outlook dabei benutzen würde, könnte ich den Typen ausfindig machen (und ihm eins auf die Mütze geben ).
So allerdings weiss ich "nur", dass er ein Kunde von denen ist, und ich habe genug Infos um ihn eindeutig identifizieren zu können - wenn der ISP mir seine log-Dateien mit Kundenstammdaten geben würde. Was er natürlich nicht tut.

Wenn das so weitergeht, und diese Adressen (sind fast immer dieselben) nicht bald aufhören, verklage ich den ISP noch wegen Mitstörerhaftung und Computersabotage!

[Harald]

Wenn dem so ist,

dass Du der Meinung bist, der User kommt aus einem Wassersport-Forum,
müsste doch Bernd oder Cyrus
Und Markus hat ja fast überall seine Finger im Spiel,
Dir sagen können, wer mit diesen IP-Adressen unterwegs ist.

Da dem User keine böse Absicht unterstellt wird, hilft es doch allen.

Gruß


Harald
zur Zeit
217.0.165.94

[Seekreuzer]

Zitat:

Zitat von Harald

Und Markus hat ja fast überall seine Finger im Spiel,

... und überall dort ist d9e17b12 als post_ip nicht zu finden, sorry

[Stephan Reuter]

@Harald

da ungefähr 80-90% der Yachtseite-Besucher Segler sind, ist die Wahrscheinlichkeit nunmal hoch, das derjenige auch hier mitliest

Wenn ich den Typen wüsste, hätte ich ihm selbst längst geschrieben dass er einen Virenscan laufen lassen soll

Liegt immerhin in beiderseitigem Interesse, dass sowas aufhört.

Ich dachte mir, vielleicht habe ich Glück, und die betreffende person liest hier mit.

[Volker]

Also ich habe aktualisierten (richtig Gekauften) Norton mit wöchentlichem Update und Prüfung, ausserdem noch ab und zu 3 ander (Spybot und so), die mir auch hier im Forum als Freeware empfohlen wurden!

Meine IP-Nummer lt. obigen Router-Forum ist eine 80.128.xx.xxx Nummer.

Bin ich jetzt unschuldig? Computermäßig jedenfalls?

Volker

[Muckymu]

Die IP´s kommen aus:

217.231.112.170 =Berlin

217.225.123.18 =Bremerhafen

217.238.128.196 =Oldenburg

217.82.136.70 =Bremen

217.231.93.155 =Berlin


Wer Stefan einen gefallen tun will und daher kommt - einfach mal den Scanner über den Rechner laufen lassen