Falsche Seiten werden bei Google Links angezeigt

[ChrisAbeling]

Hallo,

seit neustem passiert es mir immer wieder, dass nach einer Google Suche und dem Klick auf einen der angezeigten Links falsche Seiten geladen werden. Anschließend genügt es mit dem Brwoser zurück zu gehen und direkt die Seite nochmals aufzurufen, dann wird sie richtig geladen.

Es werden zum Beispiel ^whois: [Link nur für registrierte Mitglieder sichtbar. ] oder nochmal [Link nur für registrierte Mitglieder sichtbar. ] mit anderem Design geladen.

Manchmal versuche ich [Link nur für registrierte Mitglieder sichtbar. ] Seiten zu laden, dann erscheint kurz folgendes in der Adresszeile bevor ich zu einer eBay Suche weitergeleitet werde
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Was ist das und wie kriege ich das weg?

DANKE
Chris

[skater]

Hmm, ich weiss nicht ob ich nun richtig liege, aber ich würde vorsichtshalber den PC mal auf Verseuchung überprüfen.
Aktueller Virenscanner und nem Ad-Aware-Programm vielleicht ma.
Ich vermute da hast dir irgendwas eingefangen was net auf den PC soll

MfG
skater

[ChrisAbeling]

Na das habe ich mir schon gedacht....

Vielleicht hat Jemand eine Idee, wo ich genau diesen Virus finde und wie ich den löschen kann. Ad-aware und AntiVira haben nichts gefunden...

Naja, vielen Dank trotzdem

Gruß
Chris

[truelife]

Hallo Chris,

ich tippe auf den Trojaner QHosts-1 siehe hier:
[Link nur für registrierte Mitglieder sichtbar. ]

QHosts-1 befällt Rechner über eine gepatchbare Lücke im Internet Explorer 5, 5.5 und 6.0. Das Aufrufen einer HTML-Seite genügt bereits, um sich mit dem Trojaner zu infizieren.

Der Schädling modifiziert auf dem PC die Netzwerkeinstellungen zur Namensauflösung von Servern im Internet. Dazu ersetzt er den Eintrag des DNS-Servers durch neue IP-Adressen. Zusätzlich generiert er eine neue Hosts-Datei, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten. Ruft man im Browser nun eine Seite auf, weiß man nicht genau, wo man landet. Derjenige, der die Server kontrolliert, kann bestimmen, wohin die Browser- und Netzwerkanfragen umgeleitet werden. Man-in-the-Middle-Attacken zum Mitlauschen von Verbindungen sind damit relativ einfach, selbst wenn die Verbindungen mit SSL gesichert erscheinen.

Ist im Browser ein Proxy eingetragen, übernimmt dieser die Namensauflösung, sodass eine lokale Änderung der Einstellungen normalerweise keinen Einfluss darauf hat. Deshalb schaltet der Trojaner zusätzlich die Proxyeinstellungen im Browser aus. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert und zum Download bereitgestellt.

Qhosts-1 ist ein Trojaner, dem die Fähigkeit fehlt, sich selbst zu verbreiten. Daher nutzt er die bekannte Lücke im Internet Explorer. Es hilft das Abschalten von Active Scripting und ActiveX -- allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff über diese Lücke zwar manchmal erkennen und unterbinden, dies ist jedoch kein sicherer Schutz, da die Exploits sehr stark variieren. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen, sofern sie den Internet Explorer benutzen.

Ich empfehle sowieso Browser wie Opera oder Mozilla einsetzen.

Wer auf den Internet Explorer nicht verzichten kann, sollte diese unbedingt Patchen.

Siehe auch bei Heise: [Link nur für registrierte Mitglieder sichtbar. ]

Manual Removal Instructions

Apply the MS03-040 patch
Delete the following files:
%WinDir%\Help\hosts %WinDir%\winlog Set the following registry key value (Information on editing registry keys ):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters "DataBasePath" = %SystemRoot%\System32\drivers\etc Delete the following registry key value (Information on deleting registry keys ):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\Interfaces\windows "r0x" Reconfigure your DNS server settings as desired


Reconfigure your Internet Explorer settings as desired