常被CBL拉黑邮件服务器ip感染病毒了怎么解除IP is infected (or NATting for a computer that is infected) with the Conficke

最近有几个客户公司最近经常被CBL拉黑，如下例：

IP Address 180.xxx.xxx.xxx?is listed?in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2014-06-05 00:00 GMT (+/- 30 minutes), approximately 3 hours, 30 minutes ago.

It has been relisted following a previous removal at 2014-06-01 14:32 GMT

This IP is infected (or NATting for a computer that is infected) with the?Conficker?botnet.

More information about Conficker can be obtained from?

DSHIED网站上的MACFEE的远程工具已经扫描过了，开始有几个被感染的机器被扫出来，我们都处理过了，现在网络扫描没有被感染的电脑了，但是还是经常被CBL拉进去，其他的倒没有拉进去，不知道再如何处理了，有没有哪位遇到过相同问题或者有经验传授，虚心求教

这些中间机构的Block，多半是（不排除带永久仇恨的那种大范围屏蔽）你的内网主机中了毒，死命往外发垃圾邮件到一些知名的机构（Hotmail,Gmail之类），被这些机构的垃圾邮件防火墙自动举报了。
1.这台中毒的机一般有Administrator权限，可以打开25端口。
2.这台机走的网关是和你邮件服务器同一个网关（同一个外网IP）。

解决方法：
1.找出这台机，用些网络软件看看哪个进程开启了25端口，干掉这些进程的exe文件。
2.用防火墙（我们的路由Vigor 2950带有），把内网里所有只通过内部邮件服务器发邮件的IP的25端口阻挡。当然，那些要直连外网的机子，你就做个例外好了。
3.去CBL看看有没有申请解除Block的（要是你申请解除了，还继续有垃圾邮件外发的行为，解封的申请时间还会延长）

因为我们内网是多数电脑都入域了，也没有给予Admin权限，所以很容易排查出哪些机中毒了。
用防火墙看Log日志可以查到哪些机访问外网的哪个IP的25端口，就更容易排查了。

以上是个人在单位的服务器被CBL SBL XXL 各种L搞了1个多月的心得……折腾了好久，希望对大家有帮助。