track.zugo.com

RNEU

Hallo,

seit gestern versucht Firefox immer beim Start sich bei track.zugo.com anzumelden. Wenn ich dies ablehne, öffnet sich nur die erste Seite im Firefoxbrowser, alle weiteren Seiten werden als nicht erreichbar gemeldet.Virenskan und Malwareskan verliefen ohne Fehler zu melden. Im Internet habe ich keine zufriedenstellende Antwort gefunden. Ist das nun ein Spionageprogramm?

Hat jemand eine gute Idee?

Ralf

Brummelchen

Aber irgendwas musst du dir eingefangen haben - mach bitte eine weitere Prüfung mit MBAM

Zitat

Geschrieben von Brummelchen
Malware suchen mit diesen Tools
Malwarebytes' Anti-Malware
http://www.malwarebytes.org/
TheCleaner Portable (Demo, reicht aber für diesen Zweck)
http://www.moosoft.com/portable
SuperAntiSpyware Portable
http://www.superantispyware.com/portablescanner.html
Finden die was, sollt man sich mit dem Gedanken anfreunden, das System neu aufzusetzen.
(alternativ ein Image nutzen)

Alles anzeigen

Boersenfeger

Setzt du bitte mal einen funktionierenden Link. Ich finde ums verrecken keine Webseite mit der angegebenen Adresse....

bigpen

Google unterstützt dich!
Auf der Seite zugo.com war ich nicht. Vielleicht bin ich etwas zu paranoid.
Eine Whois-Anfrage brachte kein Resultat.

Bruno

seifen0pa

Schaue doch mal in die Netzwerkeinstellung von Fx nach, ob sich da ein Proxy eingenistet hat.

RNEU

Zwischenbericht:
Brummelchens Malwareprogramm hat ein Rootkit gefunden. Entfernen hat leider nur dazu geführt, dass ich mit meinem Computer nicht mehr ins Netz komme und sehr lange Hänger beim Aufrufen von Programmen habe. Deswegen kann ich auch die entprechenden Berichte nicht mailen (sitze am 2.Computer). Ich mache mich mit dem Gedanken vertraut, mein System neu zu installieren.

Ralf

Brummelchen

Säubern eines gefährdeten Systems
http://www.microsoft.com/germany/techne…les/600574.mspx

Zitat

Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner
verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist
einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt
darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen.
Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf.
einfach mit einem Tool, das falsche Tatsachen vorspiegelt.

Malware - was nun?
* Daten sichern (Dokumente, Music usw kopieren, Image anlegen oder ... etc)
* Windows-CD/DVD einlegen, booten
* mit Windows-CD/DVD Systemlaufwerk formatieren
* Windows neu installieren
* alle Windows-Updates installieren
* sicheren Browser benutzen
* nur Programme aus sicheren Quellen installieren
* Sicherheitskonzept überdenken!
* bei Trojaner zusätzlich alle Passwörter ändern
* nicht mehr als Admin surfen!

Boersenfeger

Zitat von bigpen

Google unterstützt dich!

Blöd bin ich nicht. Hast du einen Link? Aber Thema ist ja durch, da System befallen....

RNEU

Re: track.zugo.com
Tja Thema ist wohl durch , ich setze das System neu auf. Weitere Infos zur Vorgeschichte: Nach Installation eines Bildbetrachterprogrammes aus dem Internet War auf meinem Computer(1) eine Datei namens seekapp zu finden,die u.a. track.zugo.com ansteuern wollte, løschen war unmøglich, daher hatte ich das System von Computer(1) neu afgesetzt. Die persønlichen Daten hatte ich voher auf Computer(2) übertagen. Soweit so gut. Kurze Zeit spåter wollte Computer(2) track.zugo.com ansteuern und ich habe das Firefox-Forum befragt.

Bei Aufruf von track.zugo.com erscheint folgende Meldung auf dem Bildschirm:
IWSS Security Event (H2-522-OS0020)
Access to this URL is currently restricted because of its classification.
URL: http://track.zugo.com/
Content classification: Disease Vector

Soweit so gut, ich werde jetzt Computer(2) in Ordnung bringen und nicht mehr als Administrator ins Internet gehen.

Ralf

Boersenfeger

Zitat von RNEU

Soweit so gut, ich werde jetzt Computer(2) in Ordnung bringen und nicht mehr als Administrator ins Internet gehen.

Gute Entscheidung! :klasse:
BTW: rufe ich die Adresse auf, erhalte ich eine weiße Seite ohne Inhalt.

PvW

Moin!

Die erwähnte Meldung wird wohl von diesem Teil ausgeworfen?
Der obige URL ist eine (leere) Subdomain,soweit ich das sehen kann,auch hier 'ne weiße Seite.
Frage und Antwort :

HTTP

GET / HTTP/1.1
Host: track.zugo.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Cookie: __utma=109576718.1805718231.1278249876.1278249876.1278346886.2; __utmz=109576718.1278249876.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


HTTP/1.1 200 OK
Date: Tue, 06 Jul 2010 15:25:39 GMT
Server: Apache/2.2.15 (Unix)
Last-Modified: Mon, 14 Dec 2009 21:46:41 GMT
Etag: "5e408b0-0-47ab735705240"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 20
Keep-Alive: timeout=15, max=300
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Alles anzeigen

Ruft man die Hauptdomain auf,wird schnell klar,worum es sich handeln könnte.

Freundlicherweise ist auch ein Anonymsierungsdienst dazwischengeschaltet.
Über Ebenden spuckt Tante G. so einiges aus.
Das Ganze wird wohl huckepack mit irgendeiner halbseidenen Software / Toolbar / pp auf die Mühlen gelangt sein.

Gruß

P.