SEDO-Parkingseiten werden blockiert (Trojaner)

[Sunblind]

Seit gestern erscheinen bei mir seltsame Pop-Ups von anderen Seiten, sobald ich eine meiner Domains aufrufe, die über die Nameserver von SEDO konfiguriert sind: z.B. umweltconsulting.de (Für alle Fälle: ACHTUNG!!)
Beim Aufruf jeglicher anderer URLs (kein SEDO-Parking) ist dies nicht der Fall.

Die SEDO-Parkingseite selbst öffnet sich nicht mehr, stattdessen wie erwähnt mehrere Pop-Ups anderer Spamseiten (.com).
U.a. öffnen sich im Vorder- und Hintergrund folgende Seiten: topofrecords.com, valery.us, iwantsearch.com

Bin ich der Einzige mit diesem Problem?
Nach genauere Prüfung meines PCs mit Ad-Aware, Spyware Search & Destroy, Combofix, Gmer und Malwarebytes scheint der PC zu 100% clean und frei von Rootkits und Trojanern zu sein.

Grüße
René

 

[monte]

Das kann ich nicht bestätigen, sowohl im IE als auch im Firefox kommen nach Aufruf von umweltconsulting.de keine Popups, nur die reguläre Sedo Seite erscheint.

Das hört sich nach einer Malware auf Deinem Rechner an, bin da aber kein Profi.

Gruß monte

 

[Sunblind]

Das kann ich nicht bestätigen, sowohl im IE als auch im Firefox kommen nach Aufruf von umweltconsulting.de keine Popups, nur die reguläre Sedo Seite erscheint.

Das hört sich nach einer Malware auf Deinem Rechner an, bin da aber kein Profi.

Gruß monte

Hi Monte, vielen Dank!
Das ist wirklich sehr eigenartig.. der PC scheint absolut clean.
Und das Komische ist, egal wie oft und welche anderen Seiten ich aufrufe.. es kommt NUR bei den SEDO-Parkingseiten..

siehe Screen (unten)

 

[Sunblind]

Gleiches Problem auf dem Iphone, wenn ich z.B. umweltconsulting.de oder tenniskleidung.de aufrufe, und da ist sicher keine Malware drauf.
Jetzt wird es langsam mysteriös..

 

[AlexS]

Hmm,

wer macht auf Deinem PC das Name-Resolving, Dein ISP? Evtl. ist da der Wurm drin, dass wer auch immer Dein Name-Resolving macht einen Bug drin hat der Sedo-Sites umleitet? Hast Du einen eigenen Name-Resolver eingetragen, bzw hat ein Virus oder Bug dies getan?

Hast Du irgendeine P2P Software laufen (Torrent oder ähnliches), die dann evtl. das Name-Resolving verändert?

Könnte das ganze in Deinem Router falsch laufen? (Müsste eigentlich dort schon laufen, denn das iPhone spinnt ja auch, es sei denn der Bug verbreitet sich via Netzwerk...).

Bekommst Du die falsche Seite auf Deinem iPhone auch dann, wenn Du woanders als zu Hause eingeloggt bist? Warst Du in letzter Zeit unfreundlich zu Marc?

Ähnliches mit inside-links.com wird auch woanders berichtet.

Gruss, AlexS

 

[vielleicht]

bei mir funktioniert die Site auch ohne Probleme!
Allerdings so ein ähnliches Problem hatte ich auch schon mal.
Das hier hat den Übeltäter gefunden : Emsisoft Anti-Malware - Kostenlos - Bester Schutz vor Viren, Trojanern, Spyware, Würmern, Dialern, Adware, Keyloggern und Rootkits - ist frei wenn nur zum scannen verwendet wird (nicht überwachen).
Spyware Search & Destroy hat damals nichts gefunden.

Viele Grüße

 

[Sunblind]

Könnte mal jemand freundlicherweise einen tracert auf umweltconsulting.de ausführen und das Ergebnis hier posten.. bei mir siehts nämlich beschissen aus, siehe Shot:

 

[Karl]

Last login: Sat Sep 25 19:30:51 on ttys000
Markus-Friedrichs-MacBook-Pro:~ markusfriedrich$ traceroute umweltconsulting.de
traceroute to umweltconsulting.de (82.98.86.177), 64 hops max, 52 byte packets
1 * * *
2 82.113.103.27 (82.113.103.27) 668.923 ms 267.755 ms 240.179 ms
3 iarfra1-gi0-2-199.net.de.o2.com (82.113.103.34) 239.576 ms 239.808 ms 239.038 ms
4 xmwc-frnk-de01-gigaet-1-4-500.nw.mediaways.net (195.71.237.113) 239.917 ms 238.713 ms 239.654 ms
5 te3-1.c101.f.de.plusline.net (80.81.192.132) 239.957 ms 261.851 ms 314.441 ms
6 * * *
7 * * *
8 * * *
9 * * *
10 *

hoffe das hilft Dir. Die Seite erscheint bei mir ganz normal.

Gruß

 

[Sunblind]

Vielen Dank Karl, ja, das hilft mir.
Siehe meine IP von umweltconsulting.de (USA) und Deine (richtig) -> SEDO-Parking FFM.

Da scheint ganz schön was faul zu sein und mittlerweile habe ich 13 Spyware- und Malware-Tools durch.. ohne Fund.

 

[Paul_Kuhn]

Was zeigt denn deine hosts-Datei so alles an?

Und pass deine Überschrift mal bitte entsprechend an. Nicht dass hier
demnächst lauter Kapeiken antanzen, die dem Google-Fund folgen.

Ahoi!

 

[Sunblind]

Die hosts ist bis auf den einen regulären Eintrag leer. Inzwischen bin ich sicher dass der Bösewicht im WLAN-Router, obwohl mir nicht klar war dass dies möglich ist, stecken muss.

Das iphone macht exakt die gleichen Mucken und leitet ebenfalls um, ausserdem erscheint auch dort die Meldung "Warning! Your Computer contains...." und dann öffnet sich eine Website mit einem Fake-Virenscanner,
der angeblich die Drives durchsucht und Trojaner findet.

Werde wohl im Router mal die DNS-Einträge prüfen müssen. Das würde auch erklären, warum kein Tool einen Trojaner findet...

 

[AlexS]

Die hosts ist bis auf den einen regulären Eintrag leer. Inzwischen bin ich sicher dass der Bösewicht im WLAN-Router, obwohl mir nicht klar war dass dies möglich ist, stecken muss.

Das iphone macht exakt die gleichen Mucken und leitet ebenfalls um, ausserdem erscheint auch dort die Meldung "Warning! Your Computer contains...." und dann öffnet sich eine Website mit einem Fake-Virenscanner,
der angeblich die Drives durchsucht und Trojaner findet.

Werde wohl im Router mal die DNS-Einträge prüfen müssen. Das würde auch erklären, warum kein Tool einen Trojaner findet...

Na geh doch einfach mal auf die Strasse, und finde ein ungeschütztes Network mit dem iPhone (so jedes 20te dürfte "offen" sein). Oder schalte W-Lan ab, und nutze den Internetzugang des Phone-Providers! Wenn das Problem dann weg ist, dann hast Du die Lösung: Router spinnt! Oder der Name-Resolver Deines ISP's! Daher evtl. auch einfach mal einen dritten NS-Resolver einsetzen, und schauen ob es DANN weg ist!

AlexS

 

[marc@sedo]

Hier bitte ich doch jetzt wirklich mal um entsprechende Anpassung des Threads und bessere Recherche vor solchen Behauptungen, wie in Überschrift und Erstposting.

Gruß
Marc

 

[engel]

Rene,

ich verstehe net, warum du bei Sedo nicht einfach mal anrufst, und es versuchst, mit ihnen direkt zu klären?!?
Das Forum sollte in solchen Fällen immer nur als eine der letzten Möglichkeiten genutzt werden.

grüsse,
engel

 

[AlexS]

@Sunblind: Da alle anderen Deine Seiten problemlos via Sedo erreichen, ist Deine Überschrift höchstwahrscheinlich wirklich irreführend: Das Problem wird nicht bei Sedos NS liegen. Pass doch die Überschrift einfach dem echten Problem an: "Virus oder Nameresolver klaut Sedo Traffic", denn aus Sedos Sicht klaut da jemand Traffic!

@Marc: Eure Techniker sollten sich das mal genau anschauen, denn Sunblind kann ja alle anderen Seiten gut erreichen, offensichtlich hat da jemand etwas zusammengebastelt, dass bei ihm im Router oder bei seinem Name-Resolver (aka ISP) eure NS einfach mutwillig falsch interpretiert, und EUCH Traffic klaut! Dieses "etwas" liegt vermutlich NICHT auf seinem Rechner, da ja auch das iPhone genauso auflöst. Und Viren die von Windows PC via Router auf Apple Handy springen, das glaub ich nicht. Und wer auch immer Euren Traffic klaut, der wird nicht nur bei Sunblind klauen, sondern im grossen Stil.

Sunblind: Wäre schön die Auflösung des Problemes zu wissen, probier anderen NS Resolver (also nicht den vom ISP) und probier Dein iPhone mal von einem anderen Netz oder via Internet vom Phone-Provider (W-Lan aus).


AlexS

 

[marc@sedo]

@Alex
Unsere Technik hat schon genug zu tun auf den eigenen Servern für Ordnung zu sorgen. Die werden jetzt nicht noch anfangen alle Computer und Router der User auf regelmäßige Updates der Betriebssysteme, Virenscanner und Firmwares zu überprüfen.

Marc

 

[AlexS]

@Alex
Unsere Technik hat schon genug zu tun auf den eigenen Servern für Ordnung zu sorgen. Die werden jetzt nicht noch anfangen alle Computer und Router der User auf regelmäßige Updates der Betriebssysteme, Virenscanner und Firmwares zu überprüfen.

Marc

Marc,

Du hast mich da falsch verstanden: Eure Technik soll nicht Sunblind helfen. Warum auch sollte sie das tun?

Nochmal: Sunblinds Fall wird vermutlich kein Einzelfall sein, niemand programmiert so etwas um es dann nur vereinzelt einzusetzen. Vermutlich werden abertausende (oder sogar millionen) von Sedo-NS Auflösungsanfragen anstatt zu EUCH aufzulösen so manipuliert, dass der Traffic bei jemandem anderen aufschlägt. Das kostet EUCH bares Geld!

Der Fehler liegt NICHT bei Euch, aber er kostet EUCH Geld. Wäre wichtig für Euch zu wissen, ob der Traffic direkt bei einem ISP (also bei dessen Name-Resolving) geklaut wird.

Ist es jetzt verständlicher?

Gutes Nächtle noch,

Gruss aus Riga,

AlexS

 

[Sunblind]

Guten Morgen,

@ Marc: Ich habe einen Admin um die Anpassung des Titels gebeten.

@ Alex: Nachdem mir eigentlich klar war, dass das Problem am DSL-Router liegen muss (z.B. falsche DNS Einstellungen) - da die gleiche Scheiße auf dem Iphone 3G passiert und nur wenn ich über WIFI gehe - habe ich den Router resettet - alle Einstellungen gelöscht und wiederhergestellt, leider auch ohne Erfolg.

Ich habe letzte Nacht nochmal ein wenig rumgetestet und es sind definitiv nur alle SEDO-Parkingseiten, alle anderen Seiten, ob deutsch oder im Ausland, funktionieren einwandfrei. Also mir würde da an SEDOs Stelle schon etwas dran liegen, das Problem ausfindig zu machen, da ich mit Sicherheit kein Einzelfall bin..

Grüße

 

[Sunblind]

Das Problem konnte nun mit dem Programm OTL (eine Art Hijackthis) behoben werden. OTL erkannte einen Eintrag: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.109.69.44 213.109.76.46 und das Tool konnte diesen fixen.
Der Eintrag und Trojaner wurde von KEINEM anderen Programm/Scanner erkannt, auch Hijackthis zeigte diesen Eintrag nicht an.

Scheinbar wurden die Parameter bei jedem Start eines Browsers(ob IE oder FF) neu in den Router überspielt, sodass anschließend auch Notebook und Iphone beim Aufruf der SEDO-Parkingseiten umgeleitet wurden.

Endlich.. vielleicht hilft es irgendwann mal jemandem.

Grüße
René


@ Sorry Marc, ich will doch SEDO nichts Böses, aber es drehte sich wirklich nur um die SEDO-Parkingseiten. Es wird mir doch daher erlaubt sein, den Namen SEDO in diesem Zusammenhang zu erwähnen? Verstehe Deinen Ärger nicht so ganz, ist doch deutlich ersichtlich dass Ihr nichts dafür könnte.

 

[wtrade]

Scheinbar wurden die Parameter bei jedem Start eines Browsers(ob IE oder FF) neu in den Router überspielt, sodass anschließend auch Notebook und Iphone beim Aufruf der SEDO-Parkingseiten umgeleitet wurden.

Endlich.. vielleicht hilft es irgendwann mal jemandem.

Schön, dass Du eine Lösung gefunden hast.
Ich würde das werksseitige Router Password ändern, damit die Malware da keinen Zugriff mehr drauf hat.

Oder wenn das Problem trotz geaendertem PW aufgetreten ist, dann würde ich sicherheitshalber einen anderen Router kaufen.