Computerbeveiliging - Hoe je bad guys buiten de deur houdt

verkeer naar 212.179.38.71

17-05-2013, 23:16 door BaseMent, 15 reacties
Vanavond bezig met Mozilla Firefox terwijl op de achtergrond Google Chrome niets staat te doen.... dacht ik.
Krijg ik ineens een melding van malewarebytes dat Chrome verbinding probeert te maken met 212.179.38.71. Maar mooi dat er geen tabblad openstond.
Ikke niet begrijp nie dus.

Volgens Malwarebytes is het adres niet te vertrouwen, verkeer is dus geblocked. Maar iemand een idee of dit normaal is of hier ervaring mee?
Reacties (15)
18-05-2013, 01:47 door MrRight
Hmm,

Een adres in Israel. Tenminste volgens Ripe

Na wat Google.... komt meer voor....

Bijvoorbeeld: hxxps://www.virustotal.com/en/ip-address/212.179.38.71/information

Ik zou de PC een goede scan geven!

Succes!

MrRight.
18-05-2013, 12:35 door AcidBurn
Adres van Bezeq International-Ltd en doet nogal wat raars:

Timestamp Source IP Destination IP Severity Alert
2013-04-07 10:45:50 212.179.38.71 urlQuery Client 3 FILEMAGIC windows executable
2013-04-07 10:45:50 212.179.38.71 urlQuery Client 1 ET POLICY PE EXE or DLL Windows file download

Zie hier voor meer info:

http://urlquery.net/report.php?id=1868709

Ik zou even wireshark installeren en kijken waar het vandaan komt.
18-05-2013, 21:06 door fvandillen
2013-04-07 07:12:43 0 / 2 http://www.autocompletepro.com/publishers/42851/Complitly_general_offerAcPro.exe [Israel] 212.179.38.71
2013-04-07 00:00:46 0 / 2 http://www.sweetim.com/download/update/sweetimsetup.exe [Israel] 212.25.65.1
2013-04-06 23:36:47 0 / 2 http://www.incredimail.com/h/d/1108106407673200639/130090672358729119/test/tgout/installer/incr (...) [Israel] 82.80.204.42
2013-04-06 19:05:13 0 / 2 http://www.autocompletepro.com/welcome/Autocompletepro.exe [Israel] 212.179.38.71
2013-04-06 18:39:16 0 / 1 http://www.dtinstaller.com/Process/DownloadManager.ashx?si=42787 [Israel] 212.179.38.71
2013-04-06 18:33:58 0 / 2 http://www.incredimail.com/h/d/748381089186381823/130091081411245028/default/installer/incredim (...).


Kinderen toevallig? Gratis smileys iemand?
18-05-2013, 21:11 door MrRight
Smileys..... dus.... inderdaad.....

@fvandillen: waar heb je dit vandaan :-)

MrRight.
19-05-2013, 12:51 door fvandillen
@ MrRight: De URL van AcidBurn: http://urlquery.net/report.php?id=1868709

Stukje omlaag scrollen, kopje Last 6 reports on domain: www.autocompletepro.com
20-05-2013, 10:39 door BaseMent
Wel kinderen, maar geen gratis smileys. Want gratis is niet gratis. En Chrome heb ik hier wel geinstalleerd maar standaard gebruiken wij hier thuis firefox met addblockplus.
Computer is gescand. Gebruik betaalde versie van AVG en betaald versie van Malwarebytes. Systeem W8.
Was op account van mijn zoon wel een geinfecteerde open office gedownload maar niet geinstalleerd. Deze dus ook weggegooid. Autocompletepro herken ik wel. Stond dacht ik aan onder firefox maar is er alweer een tijdje af en is ook nooit onder chrome werkzaam geweest.
Ik heb verder ook geen meldingen meer gehad. Beetje vreemd allemaal.
Ik zal het systeem nog wel eens scannen vanaf USB.
20-05-2013, 14:45 door Ramon.C
Ook last van aangepaste zoekfuncties van b.v Babylon in je browser? Sweet IM is ook niet te vertrouwen.
21-05-2013, 07:42 door BaseMent
Nope, ook geen IM software geinstalleerd of afwijkende zoekmachines. Een virus geloof ik niet echt in. Maar nogmaals, ik zal hem deze week even scannen vanaf USB. Alleen gisteren niet gelukt.
21-05-2013, 09:55 door john west
Door BaseMent: Wel kinderen, maar geen gratis smileys. Want gratis is niet gratis. En Chrome heb ik hier wel geinstalleerd maar standaard gebruiken wij hier thuis firefox met addblockplus.
Computer is gescand. Gebruik betaalde versie van AVG en betaald versie van Malwarebytes. Systeem W8.
Was op account van mijn zoon wel een geinfecteerde open office gedownload maar niet geinstalleerd. Deze dus ook weggegooid. Autocompletepro herken ik wel. Stond dacht ik aan onder firefox maar is er alweer een tijdje af en is ook nooit onder chrome werkzaam geweest.
Ik heb verder ook geen meldingen meer gehad. Beetje vreemd allemaal.
Ik zal het systeem nog wel eens scannen vanaf USB.

Ik heb AVIRA internet security en had ook Malwarebytes er op staan ,maar op advies van Avira er af gehaald,omdat 2 antivirus/antimalware programma's juist zorgen voor besmetting.
Ze zorgen voor conflicten.

Of dit de reden is van die vreemde melding,ik weet het niet.
22-05-2013, 09:05 door AcidBurn
Door john west:
Door BaseMent: Wel kinderen, maar geen gratis smileys. Want gratis is niet gratis. En Chrome heb ik hier wel geinstalleerd maar standaard gebruiken wij hier thuis firefox met addblockplus.
Computer is gescand. Gebruik betaalde versie van AVG en betaald versie van Malwarebytes. Systeem W8.
Was op account van mijn zoon wel een geinfecteerde open office gedownload maar niet geinstalleerd. Deze dus ook weggegooid. Autocompletepro herken ik wel. Stond dacht ik aan onder firefox maar is er alweer een tijdje af en is ook nooit onder chrome werkzaam geweest.
Ik heb verder ook geen meldingen meer gehad. Beetje vreemd allemaal.
Ik zal het systeem nog wel eens scannen vanaf USB.

Ik heb AVIRA internet security en had ook Malwarebytes er op staan ,maar op advies van Avira er af gehaald,omdat 2 antivirus/antimalware programma's juist zorgen voor besmetting.
Ze zorgen voor conflicten.

Of dit de reden is van die vreemde melding,ik weet het niet.

Dat is de grootste onzin die ik ooit gehoord heb. Malwarebytes kun je in passive mode zetten zodat hij alleen scant wanneer jij er om vraagt en dat zit Avira op geen enkele manier in de weg.
23-05-2013, 11:45 door yobi
Domains on 212.179.38.71:

www.pinphotozoom.com
www.predictad.com
www.cuicke.com
vid-show.com
xtzlyrics.com
screenalyze.com
24-05-2013, 09:23 door Thijs452
Ik zag eenzelfde IP bij een familielid voorbij komen, ze had een gratis download (zucht) gedaan en niet goed gelezen.

Tegenwoordig brengt dit een collectie van minimaal 10 Toolbars met zich mee.

Zelf gebruik ik nog steeds HijackThis voor dit soort probleem gevallen...
27-05-2013, 09:01 door Thijs452
Update; het lijkt een vrij persistent gebeuren, zelfs na verwijdering van alle threats zie ik nog steeds dit verkeer.

Enig idee?
27-05-2013, 16:22 door Joey9
Kijk eens in je processenlijst. Staat daar vreemde dingen?
27-05-2013, 21:42 door Anoniem
Een besmette machine is niet schoon te maken, het is relatief simpel om een trojan/malware in een bestaand proces onder te brengen (zit standaard in de toolkits).

Alleen een schone OS installatie van CD zal je helpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.