8
Google bringt falsche Webseiten
von der Resultatseite im Google wird durch Klick auf eine falsche Webseite geleitet
Hallo zusammen
Ich habe bei einem PC das Problem, dass nach der Googlesuche bei einem gewünschten Klick jeweils auf eine falsche
Webseite verlinkt wird. Im Google zeigt es den richtigen Link an, aber man landet entweder auf einer Porno Seite oder Casino
Spielseite.
Mein Viren Scanner Panda Internet Security 2006 findet nicht, jedoch der Spybot hat folgenden Eintrag gefunden.
Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A57B1395-A623-4C12-B60E-F3345DDDF8AA}\DhcpNameServer=208.67.220.220 208.67.222.222
Ich vermute, dass dieser das Übel ist, jedoch bringe ich Ihn nicht vom System weg. Spybot löscht mir den Eintrag und beim
Neustart ist findet er Ihn wieder. Ich habe auch mal die Systemwiederherstellung deaktiviert und im abgesicherten Modus.
den Spybot gestartet und den Eintrag entfernt. Nach dem Start des PC war das Problem aber immer noch da.
Weisst jemand sonst noch ein Lösung?
Vielen Dank für eure Bemühungen und Tipps im Voraus.
Ich habe bei einem PC das Problem, dass nach der Googlesuche bei einem gewünschten Klick jeweils auf eine falsche
Webseite verlinkt wird. Im Google zeigt es den richtigen Link an, aber man landet entweder auf einer Porno Seite oder Casino
Spielseite.
Mein Viren Scanner Panda Internet Security 2006 findet nicht, jedoch der Spybot hat folgenden Eintrag gefunden.
Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A57B1395-A623-4C12-B60E-F3345DDDF8AA}\DhcpNameServer=208.67.220.220 208.67.222.222
Ich vermute, dass dieser das Übel ist, jedoch bringe ich Ihn nicht vom System weg. Spybot löscht mir den Eintrag und beim
Neustart ist findet er Ihn wieder. Ich habe auch mal die Systemwiederherstellung deaktiviert und im abgesicherten Modus.
den Spybot gestartet und den Eintrag entfernt. Nach dem Start des PC war das Problem aber immer noch da.
Weisst jemand sonst noch ein Lösung?
Vielen Dank für eure Bemühungen und Tipps im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62102
Url: https://administrator.de/contentid/62102
Printed on: April 25, 2024 at 12:04 o'clock
8 Comments
Latest comment
http://www.freesoft-board.to/f389/spybot-findet-trojaner-zlob-dnschange ...
hört sich sehr nach adware an
die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...
vielleicht solltest du mal die namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser hast.
oder such in der registry nach den seiten.
hört sich sehr nach adware an
die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...
vielleicht solltest du mal die namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser hast.
oder such in der registry nach den seiten.
hi,
such doch mal nach dateien, die ab einem best. datum vorhanden sind(als das phänomen das erst mal auftrat)
die dann löschen, so hab ich mal ein ähnliches problem lösen können.
dieter
such doch mal nach dateien, die ab einem best. datum vorhanden sind(als das phänomen das erst mal auftrat)
die dann löschen, so hab ich mal ein ähnliches problem lösen können.
dieter
Was sagt die hosts?
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\drivers\etc\hosts
http://www.freesoft-board.to/f389/spybot-findet-trojaner-zlob-dnschange ...
hört sich sehr nach adware an
die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...
vielleicht solltest du mal die
namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser
hast.
oder such in der registry nach den seiten.
hört sich sehr nach adware an
die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...
vielleicht solltest du mal die
namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser
hast.
oder such in der registry nach den seiten.
Hier einige Links, welche aufgerufen werden:
http://10-top.com/Berufsschule%20Kanton%20Thurgau.cfm?pt=2&rpt=1&am ...
http://rpicamps.com/berufsschule%20kreuzlingen.cfm?pt=2&rpt=1&k ...
http://www.hrena.com/berufsschule%20kreuzlingen.cfm?pt=2&rpt=1& ...
http://www.camouflageclothingonline.net/berufsschule%20arbon.cfm?pt=2&a ...
http://goodbookmark.com/Berufsschule%20Kanton%20Thurgau.cfm?pt=2&rp ...
Viele Grüsse
Mario
Hallo Hagma!
Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
Was sagt die hosts?
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\drivers\etc\hosts
Eintrag der Host sieht normal aus:
- Copyright (c) 1993-1999 Microsoft Corp.
- Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
- für Windows 2000 verwendet wird.
- Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
- Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
- Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
- Hostnamen stehen.
- Die IP-Adresse und der Hostname müssen durch mindestens ein
- Leerzeichen getrennt sein.
- Zusätzliche Kommentare (so wie in dieser Datei) können in
- einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
- aber müssen mit dem Zeichen '#' eingegeben werden.
- Zum Beispiel:
- 102.54.94.97 rhino.acme.com # Quellserver
- 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
Hallo Hagma!
Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
Dies sind die Inhalte des Logs:
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
--
End of file - 10298 bytes
/edit: HijackThis Log gekuerzt um Uebersichtlichkeit des Threads sicherzustellen
gnarff -el mod.
Hallo hagma!
Ich habe dein Hijackthis Log ein wenig gekuerzt, die noch verbleibenden Eintraege [siehe oben] bitte loeschen.
Das Du die Google-Toolbar benutzt, verstehe ich nicht, da kannst Du auch gleich deinen gesamten Festplatteninhalt der Oeffentlichkeit zur Verfuegung stellen.
Dann weiter:
1. Systemwiederherstellung aushaengen
2. Schreibschutz von C:\WINDOWS\Temp entfernen
3. Inhalt von C:\WINDOWS\Temp loeschen
[falls sich einige nicht loeschen lassen, sage mir um welche es sich handelt]
Nun gibt es drei Alternativen:
4. In den abgesicherten Modus gehen und alle Registrierdatenbankschluessel unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
loeschen, die definitiv NICHT zu deinem Rechner gehoeren, also nachtraeglich erstellt worden sind.
Sicherheitskopien, der zu loeschenden Schluessel sind vorher anzufertigen!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
oder
5. Du laedst Dir SmitfraudFix runter und installierst dieses Tool, download und Info unter:
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Dieses Tool verfuegt ueber einen DNS Hijack Cleaner unter Menuepunkt 5 "Search and Clean DNS Hijack". Im abgesicherten Modus zu verwenden!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
oder
6. Den elendiglich langsamen aber sehr gruendliche Bitdefender - Onlinescan unter
http://www.bitdefender.de/
in Anspruch nehmen.
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
Danach sollte das Problem beseitigt sein.
Es gibt keinen ZLOB.DNS Changer.
Das ist eine Spybot S&D Kopfgeburt.
Troj/DNSChanger und Troj/ZLOB.gen's sind voellig unterschiedliche Schaedlinge.
Dass Du immer noch Adobe Acrobat Reader in Version 5.0 verwendest finde ich recht merkwuerdig.
Wenn Du das Produkt nicht benutzt, dann deinstalliere es oder mach den Update auf Version 8.0 -das tut nicht weh und traegt zur Sicherheit deines Rechners bei.
Wenn Du nach der Schaedlingsbereinigung Internetverbindungsprobleme hast, muss Winsock gefixt werden.
Lass mich wissen, falls es noetig ist...
saludos
gnarff
Ich habe dein Hijackthis Log ein wenig gekuerzt, die noch verbleibenden Eintraege [siehe oben] bitte loeschen.
Das Du die Google-Toolbar benutzt, verstehe ich nicht, da kannst Du auch gleich deinen gesamten Festplatteninhalt der Oeffentlichkeit zur Verfuegung stellen.
Dann weiter:
1. Systemwiederherstellung aushaengen
2. Schreibschutz von C:\WINDOWS\Temp entfernen
3. Inhalt von C:\WINDOWS\Temp loeschen
[falls sich einige nicht loeschen lassen, sage mir um welche es sich handelt]
Nun gibt es drei Alternativen:
4. In den abgesicherten Modus gehen und alle Registrierdatenbankschluessel unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
loeschen, die definitiv NICHT zu deinem Rechner gehoeren, also nachtraeglich erstellt worden sind.
Sicherheitskopien, der zu loeschenden Schluessel sind vorher anzufertigen!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
oder
5. Du laedst Dir SmitfraudFix runter und installierst dieses Tool, download und Info unter:
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Dieses Tool verfuegt ueber einen DNS Hijack Cleaner unter Menuepunkt 5 "Search and Clean DNS Hijack". Im abgesicherten Modus zu verwenden!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
oder
6. Den elendiglich langsamen aber sehr gruendliche Bitdefender - Onlinescan unter
http://www.bitdefender.de/
in Anspruch nehmen.
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.
Danach sollte das Problem beseitigt sein.
Es gibt keinen ZLOB.DNS Changer.
Das ist eine Spybot S&D Kopfgeburt.
Troj/DNSChanger und Troj/ZLOB.gen's sind voellig unterschiedliche Schaedlinge.
Dass Du immer noch Adobe Acrobat Reader in Version 5.0 verwendest finde ich recht merkwuerdig.
Wenn Du das Produkt nicht benutzt, dann deinstalliere es oder mach den Update auf Version 8.0 -das tut nicht weh und traegt zur Sicherheit deines Rechners bei.
Wenn Du nach der Schaedlingsbereinigung Internetverbindungsprobleme hast, muss Winsock gefixt werden.
Lass mich wissen, falls es noetig ist...
saludos
gnarff
