Malwarebytes blokeert verschillend IP's zonder enige reden.

[navigator98]

Beste,

Sinds ik de volledige versie van Malwarebytes Anti Malware heb gekocht, is er een nieuwe scan optie bijgekomen, namelijk flash-scannen en IP-protection.

Ik weet niet wat ik van die IP-protection moet denken.

Gisteren was er nog niets aan de hand (en daarvoor ook niet).

Pas vanaf vandaag, begint hij IP's te blokkeren, zelfs wanneer ik niet aan het surfen ben.
Ik heb naar mijn weten geen onvertrouwde websites bezocht dezer dagen.

Als het kan helpen, moet ik de geblokkeerde IP's doorgeven? (of is dat niet toegestaan?)

Misschien is dit ook nog handig om weten:

Een paar maand geleden (specifiek op 14 februari :shocked: ) haalde ik héél perongeluk een virus binnen.

Ik kon hem verwijderen met de nodige antivirus software (SUPERAntiSpyware, MalwareBytes, Microsoft Security Essentials en SpyBot S&D).

Ik heb daarna nog dagelijks gescand, en altijd was alles oké.

Kan iemand mij helpen?

Thx!


- Navigator98

 

[mrmusic]

Geef inderdaad eens 1 of 2 voorbeeldsites die geblokkeerd worden

 

[navigator98]

Ik heb alleen IP's, ik zal je de logs van MBAM doorgeven:

09:06:39 (null) MESSAGE Protection started successfully
09:07:26 Toon MESSAGE IP Protection started successfully
09:23:45 Toon IP-BLOCK 62.45.88.210
09:24:07 Toon IP-BLOCK 89.28.69.95
09:24:08 Toon MESSAGE Added 62.45.88.210 to ignore list
09:24:08 Toon MESSAGE IP Protection stopped
09:24:13 Toon MESSAGE IP Protection started successfully
09:24:29 Toon IP-BLOCK 222.65.68.78
09:26:27 Toon MESSAGE IP Protection stopped
09:26:32 Toon MESSAGE IP Protection started successfully
09:26:32 Toon MESSAGE IP Protection stopped
09:26:37 Toon MESSAGE IP Protection started successfully
09:27:09 Toon MESSAGE IP Protection stopped
09:27:21 Toon MESSAGE Database updated successfully
09:27:27 Toon MESSAGE IP Protection started successfully
09:40:25 Toon MESSAGE Protection started successfully
09:40:38 Toon MESSAGE IP Protection started successfully
09:44:36 Toon IP-BLOCK 62.45.87.247
09:44:38 Toon IP-BLOCK 62.45.87.247
09:44:42 Toon IP-BLOCK 62.45.87.247
09:57:35 Toon IP-BLOCK 89.28.69.95
10:04:00 Toon IP-BLOCK 64.14.48.151
10:04:03 Toon IP-BLOCK 64.14.48.151
10:04:09 Toon IP-BLOCK 64.14.48.151
10:12:00 Toon IP-BLOCK 58.241.182.233
10:27:28 Toon IP-BLOCK 94.96.73.186
10:28:00 Toon IP-BLOCK 89.28.77.22
10:28:04 Toon IP-BLOCK 94.96.137.241

 

[mrmusic]

Daar zie ik dus niks aan zo....

 

[navigator98]

Wat heb je dan wel nodig??? Ik heb een paar van de IP's gegoogled en ééntje was gelinkt met een verdachte website (beter bepaald yoprn punt com (ga er nu niet op klikken!) En ik denk dat dat een typosquatter is van een bep. porn site. Daarna heb ik de site opgezocht op Mcafee Siteadvisor en die gaf melding dat er op de site potentieel verdacht gedrag is opgemerkt .

 

[mrmusic]

Dan zal mbam wel gewoon zijn werk goed doen...

 

[navigator98]

Nou, misschien wel maar niet helemaal, na meermaals scannen met SUPERAntiSpyware vindt hij het volgende:
3 traces van Trojan.Agent/Gen-OnlineGames[Wilao]
1 trace van Trojan.Agent (niets meer).

Scan is nog steeds bezig...

Ik houd je op de hoogte.

EDIT: Scan is klaar:
[smallimg]http://i47.tinypic.com/zyevxt.png[/smallimg]


Die eerste is geen virus gewoon een keygen.

EDIT 2:

Nog ter info: Windows 7 is geinstalleerd op 2e partitie, en naar mijn denken hebben die files misschien iets te maken met Windows 7. False-positive?

 

[daand]

yoprn heeft waarschijnlijk iets temaken met youporn. denk ik een Porno virus achtig

 

[huijb]

Plaatje aangepast

 

[navigator98]

@daand Ik ga nooit naar dat soort sites, zelfs niet perongeluk. Kan het dus niet van zijn.

 

[dnties]

Erg interessant om te zien dat jij denkt dat in keygens geen virussen of trojans kunnen zitten. JUIST in dat soort 'grijze' programma's komen dergelijke zaken veel voor!

Verder heb ik een paar van die ip-adressen uit de IP-Block meldingen bekeken, en zijn ip-adressen van dynamische internet-gebruikers (dus 'thuisgebruikers' zeg maar).
Hoogst interessant is hoe die gebruikers jouw computer kunnen bereiken.

Kan bijv. zijn dat je portforwarding in je router hebt ingesteld (danwel DMZ/Exposed host) die doorverwijst naar jouw computer.
Kan ook een trojan zijn die besturing/contact op afstand met je computer mogelijk maakt.

Vraag je maar eens een paar dingen af m.b.t. wat hierboven staat. Misschien komt het inzicht dan vanzelf waar die geblokkeerde 'bedreigingen' die MBAM detecteert vandaan kunnen komen.

Tijs.

 

[navigator98]

Nou, die keygen heb ik er mee afgezwierd hoor.
En btw: Het was sowieso een false positive. Alleen SAP vond die keygen. En de keygen had ik gebruikt om SAP te activeren.

Wat me wel interesseerd: Ik heb helemaal geen portforwarding op mijn router ingesteld. Thuis hebben wij ook alleen maar dynamische IP's. Trouwens, 't is nu pas sinds ik die MBAM heb aangeschaft dat hij dreigingen begint te blokkeren.

 

[dnties]

Dat dekt (slechts) de helft van wat ik schreef.

M.b.t. die ip-blokkades heb je nog geen antwoord gegeven. Ik geef hier nog een paar kleine aanvullingen op mijn vorige posting:
a. Naast portforwarding/DMZ/Exposed Host kunnen poorten ook d.m.v. UPnP opengezet worden. Sommige programma's (enkele Bittorrent client-programma's, enkele games die portforwarding vereisen etc.) gebruiken die methode, afhankelijk wat je hebt ingesteld aldaar.
b. Ik ken de betaalde versie van MBAM niet, maar het is interessant om even op te zoeken wanneer die IP-block component besluit om ip-adressen te blokkeren. Dit dan als verantwoording waaróm MBAM die ip-adressen blokkeert op dat moment en of dat wel 'terecht' is.
[Mijn speculatie zou zijn dat dat gebeurt op het moment dat er ip-pakketten binnenkomen die 'vreemd gevormd' zijn, dus proberen bekende lekken/fouten in de netwerkcomponent van het luisterende programma (Bittorent, game etc.) danwel in de netwerkcomponent van Windows zelf te misbruiken.]

Succes maar weer,

Tijs.

 

[navigator98]

Dus, als ik het goed begrijp wilt het zeggen dat mijn netwerk misbruikt wordt?
Ik heb inderdaad een torrent client op mijn pc, maar port forwarden bij games lukt bijna nooit of niet.

....

EDIT:

Nondedju! Ik kijk effe naar SUPERAntiSpyware (hij is aan het scannen) en.. Trojan.Agent/Gen-Nullo , Trojan.Agent/Gen...

 

[dnties]

Nogmaals: Zoek uit op welke gronden MBAM ip-adressen blokkeert. Je weet dan ook of dat 'terecht' is of niet terecht.
Gevoelsmatig vertrouw ik MBAM wel, en zou ik ervan uitgaan dat de blokkades 'terecht' zijn.

Dat je pc misbruikt wordt is een uitspraak die momenteel véél te ver gaat. Per slot moeten er ook echt lekken zijn die misbruikt worden op dit moment (of trojans actief) en daarvan hebben we nog helemaal geen bewijs: Je scant met van alles en nog wat (ik zie McAfee, ik zie MBAM. Wellicht houd je ook netjes de Windows updates bij etc.).
Ik zou vermoeden dat MBAM alleen al het 'uitzoekwerk' vanaf het Internet óf er lekken zijn op jouw systeem al als 'verdacht' bestempeld en dus dan die ip-adressen blokkeert.

Tijs.

 

[navigator98]

Nu, misschien ga ik een héél domme vraag stellen, maar hoe zoek ik dat uit?

 

[dnties]

Je hebt 'geluk': Ik vond zojuist de volgende link die het hopelijk duidelijk maakt: hier

Andere vragen over (de werking van) MBAM kunnen denk ik beter op hun eigen forum gesteld worden, hier

Als je vragen hiermee beantwoord zijn, graag daar even terugmelding van doen en daarna even klikken op "Zet status opgelost" in de donkerblauwe balk bijna bovenaan deze webpagina [die met "Zet status opgelost", "Onderwerp opties", "Zoek in onderwerp" en "Stem op deze vraag"].

Succes,

Tijs.

 

[navigator98]

Gedeeltelijk.. Dat artikel had ik al gelezen. Ik zal het nog eens op het MBAM forum navragen.

 

[dnties]

Goed plan!

Overigens interpreteer ik de gegevens op die webpagina als:
a. Er is een lijst van 'verdachte' ip-adressen die door MBAM wordt bijgehouden/geupdate.
b. Als er contact wordt gezocht vanuit jouw computer naar één van de ip-adressen op de lijst van a., dan wordt (verkeer naar) het betreffende ip-adres geblokkeerd. Helaas is niet helemaal duidelijk of hiermee verkeer vanaf die 'foute' ip-adressen naar jouw computer ermee gedetecteerd en geblokkeerd worden, maar stel dat je pc een 'antwoord' geeft op die verbindingspogingen, dan zou het kunnen zijn dat dan MBAM hierop reageert met een blokkade.

Het is dus eigenlijk een toevoeging bovenop de firewall-programmatuur in je computer.

Hopelijk horen we nog wat van je terug als je het MBAM-forum hebt geraadpleegd, zodat (op termijn) de vraag als opgelost kan worden beschouwd.

Tijs.