Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Google bringt falsche Webseiten

Frage Sicherheit Viren und Trojaner

Mitglied: hagma

hagma (Level 1) - Jetzt verbinden

22.06.2007, aktualisiert 28.06.2007, 14227 Aufrufe, 8 Kommentare

von der Resultatseite im Google wird durch Klick auf eine falsche Webseite geleitet

Hallo zusammen

Ich habe bei einem PC das Problem, dass nach der Googlesuche bei einem gewünschten Klick jeweils auf eine falsche
Webseite verlinkt wird. Im Google zeigt es den richtigen Link an, aber man landet entweder auf einer Porno Seite oder Casino
Spielseite.

Mein Viren Scanner Panda Internet Security 2006 findet nicht, jedoch der Spybot hat folgenden Eintrag gefunden.

Zlob.DNSChanger: TCP/IP Settings #1 (Undefined) (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A57B1395-A623-4C12-B60E-F3345DDDF8AA}\DhcpNameServer=208.67.220.220 208.67.222.222

Ich vermute, dass dieser das Übel ist, jedoch bringe ich Ihn nicht vom System weg. Spybot löscht mir den Eintrag und beim
Neustart ist findet er Ihn wieder. Ich habe auch mal die Systemwiederherstellung deaktiviert und im abgesicherten Modus.
den Spybot gestartet und den Eintrag entfernt. Nach dem Start des PC war das Problem aber immer noch da.

Weisst jemand sonst noch ein Lösung?

Vielen Dank für eure Bemühungen und Tipps im Voraus.
Mitglied: pulse
22.06.2007 um 18:01 Uhr
http://www.freesoft-board.to/f389/spybot-findet-trojaner-zlob-dnschange ...

hört sich sehr nach adware an

die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...

vielleicht solltest du mal die namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser hast.
oder such in der registry nach den seiten.
Bitte warten ..
Mitglied: Dieter-56
22.06.2007 um 22:34 Uhr
hi,

such doch mal nach dateien, die ab einem best. datum vorhanden sind(als das phänomen das erst mal auftrat)
die dann löschen, so hab ich mal ein ähnliches problem lösen können.

dieter
Bitte warten ..
Mitglied: windlicht
22.06.2007 um 23:57 Uhr
Was sagt die hosts?

C:\WINDOWS\system32\drivers\etc\hosts
Bitte warten ..
Mitglied: hagma
23.06.2007 um 09:22 Uhr
http://www.freesoft-board.to/f389/spybot-findet-trojaner-zlob-dnschange ...

hört sich sehr nach adware an

die ip-adressen sind freie dns-server.
http://buggy.homeip.net:8088/wordpress/?s=208.67.220.220&x=0&y= ...

vielleicht solltest du mal die
namen/adressen der seiten hier reinstellen,
damit man mal damit suchen kann.
oder schau mal ob du nen plugin im browser
hast.
oder such in der registry nach den seiten.

Hier einige Links, welche aufgerufen werden:

http://10-top.com/Berufsschule%20Kanton%20Thurgau.cfm?pt=2&rpt=1&am ...

http://rpicamps.com/berufsschule%20kreuzlingen.cfm?pt=2&rpt=1&k ...

http://www.hrena.com/berufsschule%20kreuzlingen.cfm?pt=2&rpt=1& ...

http://www.camouflageclothingonline.net/berufsschule%20arbon.cfm?pt=2&a ...

http://goodbookmark.com/Berufsschule%20Kanton%20Thurgau.cfm?pt=2&rp ...

Viele Grüsse

Mario
Bitte warten ..
Mitglied: gnarff
26.06.2007 um 15:19 Uhr
Hallo Hagma!

Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis

saludos
gnarff
Bitte warten ..
Mitglied: hagma
27.06.2007 um 14:37 Uhr
Was sagt die hosts?

C:\WINDOWS\system32\drivers\etc\hosts

Eintrag der Host sieht normal aus:

  1. Copyright (c) 1993-1999 Microsoft Corp.
  1. Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
  2. für Windows 2000 verwendet wird.
  1. Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
  2. Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
  3. Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
  4. Hostnamen stehen.
  5. Die IP-Adresse und der Hostname müssen durch mindestens ein
  6. Leerzeichen getrennt sein.
  1. Zusätzliche Kommentare (so wie in dieser Datei) können in
  2. einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
  3. aber müssen mit dem Zeichen '#' eingegeben werden.
  1. Zum Beispiel:
  1. 102.54.94.97 rhino.acme.com # Quellserver
  2. 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
Bitte warten ..
Mitglied: hagma
27.06.2007 um 14:51 Uhr
Hallo Hagma!

Bitte poste mir dein HijackThis-Log.
HijackThis gibts hier:
http://www.merijn.org/programs.php#hijackthis

saludos
gnarff

Dies sind die Inhalte des Logs:

C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
--
End of file - 10298 bytes

/edit: HijackThis Log gekuerzt um Uebersichtlichkeit des Threads sicherzustellen
gnarff -el mod.
Bitte warten ..
Mitglied: gnarff
28.06.2007 um 03:35 Uhr
Hallo hagma!

Ich habe dein Hijackthis Log ein wenig gekuerzt, die noch verbleibenden Eintraege [siehe oben] bitte loeschen.
Das Du die Google-Toolbar benutzt, verstehe ich nicht, da kannst Du auch gleich deinen gesamten Festplatteninhalt der Oeffentlichkeit zur Verfuegung stellen.

Dann weiter:
1. Systemwiederherstellung aushaengen
2. Schreibschutz von C:\WINDOWS\Temp entfernen
3. Inhalt von C:\WINDOWS\Temp loeschen
[falls sich einige nicht loeschen lassen, sage mir um welche es sich handelt]

Nun gibt es drei Alternativen:
4. In den abgesicherten Modus gehen und alle Registrierdatenbankschluessel unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

loeschen, die definitiv NICHT zu deinem Rechner gehoeren, also nachtraeglich erstellt worden sind.
Sicherheitskopien, der zu loeschenden Schluessel sind vorher anzufertigen!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.

oder
5. Du laedst Dir SmitfraudFix runter und installierst dieses Tool, download und Info unter:
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Dieses Tool verfuegt ueber einen DNS Hijack Cleaner unter Menuepunkt 5 "Search and Clean DNS Hijack". Im abgesicherten Modus zu verwenden!
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.

oder
6. Den elendiglich langsamen aber sehr gruendliche Bitdefender - Onlinescan unter
http://www.bitdefender.de/
in Anspruch nehmen.
Danach alle alten Wiederherstellungspunkte loeschen.
Reboot.

Danach sollte das Problem beseitigt sein.
Es gibt keinen ZLOB.DNS Changer.
Das ist eine Spybot S&D Kopfgeburt.
Troj/DNSChanger und Troj/ZLOB.gen's sind voellig unterschiedliche Schaedlinge.

Dass Du immer noch Adobe Acrobat Reader in Version 5.0 verwendest finde ich recht merkwuerdig.
Wenn Du das Produkt nicht benutzt, dann deinstalliere es oder mach den Update auf Version 8.0 -das tut nicht weh und traegt zur Sicherheit deines Rechners bei.

Wenn Du nach der Schaedlingsbereinigung Internetverbindungsprobleme hast, muss Winsock gefixt werden.
Lass mich wissen, falls es noetig ist...
saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Webbrowser
Google stopft 36 Löcher in Chrome 55

Link von runasservice zum Thema Webbrowser ...

Erkennung und -Abwehr
Mehr als 1 Million Google Accounts von Malware Gooligan gekapert

Link von Frank zum Thema Erkennung und -Abwehr ...

Windows Server
Google Chrome Web Store Problem auf Terminal Farm

Frage von dakoerry zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...