Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 30 subscribers
  • Views 34282 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dauernde Advanced Threat Protection Meldungen - gehackter Werbeanbieter in D?

StephanG

Hallo zusammen,

seit 2 Tagen bekomme ich im Stundentakt die Emailmeldungen wegen geblockter DNS Abfragen und Aufrufen von Seiten.

Diese Meldungen stimmen mit Zeiten überein als der User sich auf sueddeutsche.de oder linguee befunden hat. Mit der Süddeutschen konnte ich die Meldung sogar nachstellen (als ich den Adblocker deaktiviert habe)

Daher die Frage. Bekommt ihr das auch dauernd? Welcher Anbieter ist denn das?

Grüße

Stephan



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Stephan,

    ich kann Dir leider nicht helfen, aber ich bekomme auch Emailmeldungen wegen geblockter DNS Abfragen.

    Nicht im Stundentakt sondern nur ab und an mit der IP 45.33.9.234 und lookingprovide.com.

    Gruß

    Oliver

     

  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

     

    bist du schon weitergekommen?

    Das sind wohl Downloadlokationen für Locky. Aber wie wo was und welches Programm dies verursacht ist nicht zu greifen.

    Bei einer Kollegin, bei der dies nun aufgetreten ist, hatte sich quasi seit 6h am Rechner nix getan. Trotzdem wurde 5 mal versucht diese IP anzusteuern.

    Analyse mit Hitman Pro (Symantec ist drauf) hat nichts ergeben.

    Sie hatte nur die Marriott Seite auf und da ist keine Werbung drauf.

    Grüße

    Stephan

  • 0 in reply to StephanG

    Hallo Stephan,

     

    leider bin ich noch nicht weitergekommen.

    Bei mir ist das nur ein paar Mal vorgekommen (zuletzt am 24.8.) und dann, mit einer Ausnahme (diesen Rechner habe ich neu aufgesetzt), nur die Anfragen vom DNS Server.

    In den Log Dateien vom DNS Server sind jedes Mal zu der Uhrzeit nur ein oder zwei Rechner, die in Frage kommen würden. Allerdings immer verschiedene.

    Diese sind mehrfach von mir geprüft worden und dort habe ich nichts gefunden.

    Was aber aufgefallen ist, alle Rechner die in Frage kommen nutzen auch Linguee. Allerdings ist eine Anfrage an die IP 45.33.9.234  auf diesen Rechnern nicht sichtbar.

    Die Süddeutsche ist bei uns nicht so vertreten.

    Die IP 45.33.9.234 habe ich nun erstmal in der Firewall bei allen Rechnern geblockt.

     

    Gruß

    Oliver

Reply
  • 0 in reply to StephanG

    Hallo Stephan,

     

    leider bin ich noch nicht weitergekommen.

    Bei mir ist das nur ein paar Mal vorgekommen (zuletzt am 24.8.) und dann, mit einer Ausnahme (diesen Rechner habe ich neu aufgesetzt), nur die Anfragen vom DNS Server.

    In den Log Dateien vom DNS Server sind jedes Mal zu der Uhrzeit nur ein oder zwei Rechner, die in Frage kommen würden. Allerdings immer verschiedene.

    Diese sind mehrfach von mir geprüft worden und dort habe ich nichts gefunden.

    Was aber aufgefallen ist, alle Rechner die in Frage kommen nutzen auch Linguee. Allerdings ist eine Anfrage an die IP 45.33.9.234  auf diesen Rechnern nicht sichtbar.

    Die Süddeutsche ist bei uns nicht so vertreten.

    Die IP 45.33.9.234 habe ich nun erstmal in der Firewall bei allen Rechnern geblockt.

     

    Gruß

    Oliver

Children