Google leitet willkürlich auf seltsame Seiten

  • geschlossen
  • Problem

  • Alandra
  • 4222 Aufrufe 26 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Google leitet willkürlich auf seltsame Seiten

    Ich habe seit Tagen das Phänomen, dass sich ergooglete Seiten beim Anklicken nicht öffnen, sondern ich auf Werbeseiten geleitet werde.

    Hat jemand das gleiche Problem, oder vielleicht ne Idee was das sein könnte?
    Habe Antimalware und Antispyware schon drüber laufen lassen, die haben nichts gefunden.

    LG
    Alandra
  • Ich hab den Opera und der Cache wird regelmäßig geleert.

    ok hier mal mein Log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:53:45, on 19.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\IncrediMail\bin\IMApp.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Opera\opera.exe
    C:\Programme\!!HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = incredimail.com/page.asp?page=…ff_id=1&addon=IncrediMail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - wwwimages.adobe.com/www.adobe.…oducts/acrobat/nos/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{21BCDFBD-A2F3-4BF1-A311-E278EDEA403D}: NameServer = 145.253.2.75,145.253.2.11
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D09539-800C-4065-AAE5-EC85C5C09F1B}: NameServer = 145.253.2.75,145.253.2.11
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 4421 bytes
  • Eventuell ist es auch ein Werbepopup der Seite. Stell mal probehalber die Popupverwaltung um, dass er alle annimmt, und probier mal obs dann geht.
    Ich hatte mal ein ähnliches Problem, ist allerdings schon lange her und das war auch nur bei einer bestimmten Seite. Wenn das viele auf einmal sind hätte ich auch eher den Verdacht mit Malware.

    Mit dem Log kann ich dir leider nicht weiterhelfen, weil ich mich mit Hijack this nicht auskenne. Aber bei www.hijackthis.de/de gibts eine automatische Auswertung, kopier das Logfile doch einfach mal da rein.
  • es hat nichts gebracht :(

    Ist wirklich seltsam.
    Ich gebe zB. bei google das Wort Schlangen ein -
    will dann zu dem angezeigten Wikipediaeintrag -
    und werde hierhin geleitet 12 Finder
    ...beim nächsten Versuch komme ich bei Ebay raus.
    Langsam hab ich den Verdacht Google hat Verträge mit denen *g*


    Ich werde heut nachmittag alles mal in abgesicherten Modus scannen.
    Wenn das nicht hilft weiß ich auch nicht mehr weiter.
  • @ die beiden über mir:
    Super Problemlösung... ;)

    @ Alandra
    Wa hast du denn für eine Version? Aktuell ist glaub ich 9.61. Vielleicht hilft ein Update. Oder du sicherst einfach mal deine Lesezeichen, E-Mails etc. und installierst Opera ganz neu.
    Ich wüsste sonst auch nicht wo eine solche Weiterleitung versteckt sein könnte.
    Apropos: Einstellungen - erweitert - Netzwerk - Automatische Weiterleitung zulassen könntest du mal abschalten. Wobei ich nicht denke dass es eine Weiterleitung in diesem Sinne ist.
  • Ich tippe mal eher auf so etwas.

    Zitat von heise.de

    Werbe-Wurm leitet Google-Anfragen um


    Das Antiviren-Unternehmen Panda Software meldet die Entdeckung des Google-Wurms P2Load.A. Er leitet Google-Anfragen auf Fake-Seiten um. Seine Hauptfunktion scheint die gezielte Einblendung von Werbung zu sein. Nach Infektion des Systems lädt er eine neue Hosts-Datei aus dem Internet nach, über die der Wurmautor beliebige Seiten auf ebenso beliebige Ziele umleiten kann. Außerdem richtet er als Startseite eine Internetadresse mit zahlreichen Werbebannern ein.


    Was benutzt du den für einen Virenscanner, bzw. mach mal nen Komplettscan.

    Wenn du keinen Virenscanner hast lass dein System online scannen
    z.Bsp. hier Free ESET Online Antivirus Scanner.

    (Sorry habe im Logfile schon gesehen das du Antivir hast)

    Versuch auch mal Spybot Search&Destroy oder Ad-aware, falls du diese nicht schon benutzt hast.

    Hoffe konnte etwas helfen.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von kalle1984 ()

  • An sowas ähnliches hatte ich auch schon gedacht.

    Falls dieser Wurm die originale Windows-HOSTS-Datei ersetzt müsste das selbe doch auch mit dem IE oder Firefox so passieren.

    @ Alandra
    Vielleicht probierst du mal ob das mit dem IE auch so ist. Oder die HOSTS-Datei vielleicht einfach mal im Editor öffnen und nachsehen was da drinsteht, außer localhost gehört da normalerweise nichts rein.

    edit: Da ich ja nicht weiß wie gut du dich damit auskennst; Die hosts (ohne Extension) liegt im Ordner C:\WINDOWS\system32\drivers\etc

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Shadowww ()

  • Guten Morgen,

    WOW ihr seid ja super. Vielen Dank. Scanns habe ich alle durchgeführt(Adware, Spybot, Antivir): nichts gefunden.

    @Shadowww: Wenn ich die Weiterleitung abstelle, macht er überhaupt keine Seiten mehr auf :(

    Jetzt mache ich mich mal auf die Suche nach diesen Dateien und gehe mal Schritt für Schritt eure Tips durch.
  • @Schadowww

    in diesem ...drivers\ect\hosts liegt bei mir das drin:

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird.
    #
    # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
    # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
    # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
    # Hostnamen stehen.
    # Die IP-Adresse und der Hostname müssen durch mindestens ein
    # Leerzeichen getrennt sein.
    #
    # Zusätzliche Kommentare (so wie in dieser Datei) können in
    # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
    # aber müssen mit dem Zeichen '#' eingegeben werden.
    #
    # Zum Beispiel:
    #
    # 102.54.94.97 rhino.acme.com # Quellserver
    # 38.25.63.10 x.acme.com # x-Clienthost

    127.0.0.1 localhost
  • Wenn ich den ("Schlangen") Test bei Firefox und IE mache, passiert genau das Gleiche.

    Werde mich jetzt im Netz auf die Suche machen, und mal sehen ob ich Artikel über das Problem finden kann.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Alandra ()

  • Schlangentest - jetzt musste ich erst mal nachgucken was du damit meinst. ;)

    Also wenn das bei allen Browsern so ist würde das schon auf den oder einen ähnlichen Virus hinweisen wie Kalle geschrieben hat. Allerdings ist deine Hosts-Datei in Ordnung. (Die # - Zeilen sind nur Kommentare)
    Ob eine solche Datei noch wo anders oder unter anderem Namen liegen kann weiß ich auch nicht. Oder vielleicht wird sie auch nur temporär erzeugt..

    Ich würde es doch mal mit einem Virenscan versuchen. Kalle1984 hat dir ja schon einen Link geschickt. Ansonsten kann ich noch infectedornot.com empfehlen.
  • Ich denke, dein Problem könnte auch auf eine neue Hijacker-Infektion hinweisen, welche of schwer zu finden sind.
    Ich habe ein ähnlich gelagertes Problem mit den o.g. Programmen nicht in den Griff bekommen. Mir half damals Malwarebyte. Ich konnte damit den Hijacker nachweisen, aber nicht entfernen, aber ich wußte wenigstens das einer da ist und habe das System neu installiert. Eventuell mußt du mit den genannten Programmen auch mal im abgesicherten Modus suchen. Nur so kannst du die Stealth-Programme austricksen.
    Jens
    Eine Kuh macht Muhhh, viele Kühe machen Mühe ...............
  • Hallo Ihr Lieben,

    ein letzter Versuch, das System nochmal online zu scannen. Dann hab ich echt die Schnauze voll, und werde mich nächste Woche um Format C: kümmern :)
    In den abgesicherten Modus komm ich auch nicht rein. Da versucht der Sack den Grafiktreiber zu laden, was er eigentlich gar nicht braucht und ich bekommen nen schönen blauen Fehler-Bildschirm :(

    Ich hab mir auch jetzt brav das Original Win XP zugelegt, so dass ich die Updates machen kann, und es telefonieren kann so viel es will *gg*


    Vielen Dank nochmal für Eure liebe Hilfe und ein tolles Wochenende
    Alandra
  • Hi Alandra,

    nicht das pöse wort mit C:/ ;)

    Probier das mal aus müsste helfen war bei meiner schwester zumindest so.

    P2P-Worm.Win32.P2Load.a

    Alias: W32.Peerload.A

    Betroffene Systeme:
    Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

    Infektionslänge: 45 kBytes

    Kurzbeschreibung:

    Verbreitet sich über File Sharing Netzwerke

    Kopiert sich in die Registry



    Manuelle Entfernung

    Um den Wurm manuell zu entfernen, sind folgende Schritte notwendig:

    Löschen der erzeugten Registry Einträge:

    Start > Ausführen
    Eingeben des Befehls regedit und bestätigen mit OK

    Löschen Sie den Wert:

    „Winlogin“ = „%System%\winlogin.exe“

    in dem Registry Key:

    HKEY_LOCAL_MASCHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Löschen Sie die Werte:

    „Search Page“ = *ww.p2p-load.de/“]p2p-load,d*
    „Start Page“ = *ww.p2p-load.de/“]p2p-load,d*
    „Search Bar“ = *ww.p2p-load.de/“]p2p-load,d*

    in dem Registry Key:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

    Nun können Sie den Editor beenden.


    Wenn noch fragen sind einfach nochmal nachhaken versuche schnell zu antworten!


    Gruß


    wwwanubis

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von wwwanubis ()

  • Hallo wwwanubis,

    werde ich gleich mal nachschauen, obwohl ich garkein p2p benutze.

    Mein Windoof sucht seit gestern auch ständig die gfoguhge.dll
    über die kann ich im Netz leider nichts finden.


    Dankeschön
    Alandra


    Nachtrag: also das steht in einer Reg. alles nicht drin.
    Aber genau da hab ich was über die fehlenden dll gesehen

    Infodata rundll32.exe "C:\WINDOWS\system32\gfoguhge.dll",realset


    sehr seltsam alles :)

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Alandra ()

  • Hi Alandra,

    Das muss nicht unbedingt nur in P2P auftauchen aber du wirst sicher mal das eine oder andere aus dem inet runterladen ;) oder hier ;) freesoft-board.to/f254/geschlo…er-collection-317314.html

    scheinst ja freund der cracks und serials zu sein,da lässt sich sowas gut verstecken :P

    Ist wie schnupfen kannst dir überall holen.

    nach dem anderen schau ich mal.

    gfoguhge.dll ist kein bestandteil von windows ... hast du in deiner verzweiflung programme gelöscht bzw einer deiner fleissigen helferlein?

    Gruß

    wwwanubis

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von wwwanubis ()

  • Klar läd man mal was runter.
    Aber die Suche nach benannten Einträge hat nichts ergeben. Leider.
    *schulterzuck*

    Gruss
    Alandra



    Jep habe alles gesäubert und neu gestartet. Von Opera war nix drin.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Alandra ()