Bestimmte Webseiten leiten um

[Aestophas]

Bin heute auf folgendes Problem gestoßen:

Wenn ich auf die Webseite der New York Times gehe, lande ich stattdessen auf einer Seite von "Cumulus Media" oder "Nginx Webhosting". Wenn ich auf Bloomberg gehen möchte, komme ich stattdessen auf eine Webseite der indischen Regierung, oder irgendeinem seltsamen Forum. Darüber hinaus bekomme ich, wenn ich auf DuckDuckGo suchen möchte, eine Warnung dass die Webseite unverschlüsselt und meine Verbindung möglicherweise nicht sicher ist.

Soweit so gut, normalerweise würde ich annehmen, dass irgendwie Adware auf den PC gelangt ist. Dagegen spricht allerdings:

- Keine andere Webseite, egal wo, scheint betroffen
- Es wird immer noch die richtige URL angezeigt, bloß der Inhalt der Seite stimmt eben nicht
- Die Seiten sehen überhaupt nicht wie die typischen Webseiten aus, auf denen man wegen Adware normalerweise so landet
- Windows Defender, Chrome Software Removal Tool, McAfee Labs Stinger, Malwarebytes Anti-Malware & Kaspersky Internet Security (Testversion, und nein, ich verwende normalerweise nicht 5 Malwareprogramme nebeneinander) können allesamt NICHTS finden
- Jetzt, 5 Stunden später, trifft das Problem plötzlich nicht mehr auf und vorher war es auch nicht 100% konsistent

Also gut, vielleicht waren einfach die Webseiten schuld (gehackt?). Nein, von anderen PCs funktioniert alles wunderbar (sowohl das Umleiten als auch der Mangel an Verschlüsselung auf DuckDuckGo), das schließt dann wohl auch das Netzwerk als mögliche Fehlerquelle aus. Darüber hinaus scheint es auch unabhängig vom Browser zu sein.

Hat jemand eine Erklärung für dieses Verhalten? Dazu sollte ich vielleicht noch anmerken, dass ich Windows 8 benutze, schon seit über zehn Jahren keine nennenswerte Malware auf dem PC hatte und in der Hinsicht generell extrem vorsichtig bin.

 

[Ltownwriter]

DNS Server Probleme vielleicht.

Ist nur eine Vermutung.

 

[DigitalIllusion]

malware antibytes laden, danach zwingend auf dieser seite dein problem erneut schildern: http://www.hijackthis-forum.de/forum.php

Alternative: Windows neu auf die Platte semmeln

Fazit: Eine Menge Arbeit so oder so

 

[purzelbär]

Überprüf mal dein System mit AdwCleaner und danach mit Junkware Removal Tool. Viellicht finden und bereinigen die beiden Scanner etwas und poste auch mal die Logfiles/Berichte der 2 Scanner falls sich emlyn d. dafür interessiert und er dir evtl. Tipps geben kann.

 

[Aestophas]

DNS Server Probleme vielleicht.

Ist nur eine Vermutung.

Kannst du erklären, was du damit meinst? Denn ich benutze tatsächlich Blockless, das mithilfe von DNS rerouting andere Regionen vortäuschen kann; und ich muss zugeben, ich weiß nicht wie es eigentlich ''unter der Haube'' funktioniert.

Könnte das der Grund für die Sache sein? Denn ich hatte es vorher tatsächlich schon ausgeschalten, und wie gesagt, momentan tritt das Problem nicht mehr auf (aber falls es sich doch um was ernsteres handelt möchte ich dann doch sicher gehen).

 

[xxMuahdibxx]

Linux live CD und dort im Browser testen wo du ankommst ...

sind es die gleichen Seiten -> Provider Problem ...

sind es andere -> PC Problem !

 

[chrigu]

blockless? also ein proxy server... aha, der leitet deine www anfragen weiter und kann machen was er will. vielleicht hat der anbieter für die "falschen" weiterleitung geld bekommen...

 

[Aestophas]

Linux live CD und dort im Browser testen wo du ankommst ...

sind es die gleichen Seiten -> Provider Problem ...

sind es andere -> PC Problem !

Würde ich ja machen, aber wie gesagt, inzwischen funktioniert ja alles wieder normal.

blockless? also ein proxy server... aha, der leitet deine www anfragen weiter und kann machen was er will. vielleicht hat der anbieter für die "falschen" weiterleitung geld bekommen...

Wie gesagt, mein Wissen zu Blockless ist limitiert, aber... soweit ich weiß ist es kein Proxy, die IP Adresse bleibt die gleiche und man hat auch nicht die üblichen Probleme, die man mit Proxies so hat, z.B. extrem langsame Verbindung. Außerdem sahen die Seiten, auf die ich umgeleitet wurde, nicht so aus, als ob irgendjemand damit Geld verdienen würde.

An diesem Punkt bin ich mir wirklich nicht sicher, ob es sich um einen potenziell gefährlichen Fall von Hijacking, oder einen komplett harmlosen Bug in Blockless o.ä. gehandelt hat. Ich hab auch noch etwas mit Blockless rumgespielt und kann das Problem momentan nicht mehr reproduzieren. Für gewöhnlich würde ich mich ja einfach darüber freuen, dass sich die Sache von allein gelöst hat, aber da es sich um eine Sicherheitsfrage handelt, wüsste ich schon gerne, was da passiert ist.

 

[purzelbär]

Randfrage Aestophas: Hast du mal wie von mir vorgeschlagen, dein System mit AdwCleaner und Junkware Removal Tool überprüft?

 

[Aestophas]

Randfrage Aestophas: Hast du mal wie von mir vorgeschlagen, dein System mit AdwCleaner und Junkware Removal Tool überprüft?

Hatte ich noch nicht getan. Jetzt schon, haben beide tatsächlich was gefunden. Habe zuerst AdwCleaner laufen lassen (gibts eigentlich auch irgendeine Möglichkeit, den Text hier in nem Spoiler anzuzeigen statt mit den Logs alles vollzuposten? Kann hier gerade nichts finden):

# AdwCleaner v4.110 - Logfile created 10/02/2015 at 11:57:21
# Updated 05/02/2015 by Xplode
# Database : 2015-02-09.1 [Server]
# Operating system : Windows 8.1 Pro  (x64)
# Username : ...
# Running from : E:\Downloads\adwcleaner_4.110.exe
# Option : Scan

***** [ Services ] *****

Service Found : hshld

***** [ Files / Folders ] *****

Folder Found : C:\ProgramData\Babylon
Folder Found : C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehgldbbpchgpcfagfpfjgoomddhccfgh
Folder Found : C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj
Folder Found : C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpegkgagfojjbcpkihigfmkojdmmimdf
Folder Found : C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehgldbbpchgpcfagfpfjgoomddhccfgh
Folder Found : C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj

***** [ Scheduled tasks ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKCU\Software\96dfdfb26dee42
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Key Found : HKLM\SOFTWARE\Classes\Prod.cap
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{E69D4A59-73DE-4E38-9FB3-740EC4D9060D}
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\bpegkgagfojjbcpkihigfmkojdmmimdf
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\ehgldbbpchgpcfagfpfjgoomddhccfgh
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Key Found : HKLM\SOFTWARE\systweak
Key Found : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}

***** [ Web browsers ] *****

-\\ Internet Explorer v11.0.9600.17416


-\\ Google Chrome v40.0.2214.111

[C:\Users\...\AppData\Local\Google\Chrome\User Data\Default\Web data] - Found [Search Provider] : hxxp://uk.ask.com/web?q={searchTerms}
*************************

AdwCleaner[R0].txt - [2437 bytes] - [10/02/2015 11:57:21]

########## EOF - \AdwCleaner\AdwCleaner[R0].txt - [2496 bytes] ##########

Habe mal noch nichts gelöscht, da ich mir a) nicht sicher war, ob das Tool nicht etwas übereifrig ist (denn Malwarebytes hatte ja keine Treffer), denn zumindest hshld ist von Hotspot Shield (VPN) und meines Wissens keine Malware und b) ich JRT ja auch noch dran lassen wollte. Die Ergebnisse davon:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.2 (02.02.2015:1)
OS: Windows 8.1 Pro x64
Ran by ... on 10/02/2015 at 12:11:16.86
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\babylon"



~~~ Chrome

Failed to delete: [Folder] C:\Users\...\appdata\local\Google\Chrome\User Data\Default\Extensions\ehgldbbpchgpcfagfpfjgoomddhccfgh
Failed to delete: [Folder] C:\Users\...\appdata\local\Google\Chrome\User Data\Default\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\ehgldbbpchgpcfagfpfjgoomddhccfgh
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\jbolfgndggfhhpbnkgnpjkfhinclbigj
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10/02/2015 at 12:14:05.95
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Zu den Ergebnissen kann ich jetzt ehrlich gesagt nicht viel sagen. JRT hat nebenbei auch noch den Desktop gecrasht, ich nehme mal an das ist nicht beabsichtigt... Babylon war ein leerer Ordner, den Rest kann ich nicht einschätzen.

 

[purzelbär]

Die 2 Scanner haben aber so einiges auf deinem System gefunden und im Falle von JRT auch gleich bereinigt was nicht aufs System gehören sollteWarte mal ab bis sich emlyn d. gemeldet hat und was er zu den Funden von AdwCleaner sagt. Ob du den Scanner nochmal ausführen und dann die Funde löschen sollst oder nicht. Zum Vergleich: so schaut ein Logfile von AdwCleaner bei mir aus:

# AdwCleaner v4.110 - Bericht erstellt 10/02/2015 um 12:38:12
# Aktualisiert 05/02/2015 von Xplode
# Datenbank : 2015-02-09.1 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x64)
# Benutzername :
# Gestarted von : E:\AdwCleaner_4.110.exe
# Option : Suchlauf

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Geplante Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Internetbrowser ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v35.0.1 (x86 de)

*************************

AdwCleaner[R3].txt - [766 Bytes] - [09/02/2015 22:39:19]
AdwCleaner[R4].txt - [688 Bytes] - [10/02/2015 12:38:12]

########## EOF - C:\AdwCleaner\AdwCleaner[R4].txt - [746 Bytes] ##########

übersetzt: keinerlei Funde die auf Adware, PUP oder Browserhijacking hindeuten

 

[Aestophas]

Die 2 Scanner haben aber so einiges auf deinem System gefunden und im Falle von JRT auch gleich bereinigt was nicht aufs System gehören sollteWarte mal ab bis sich emlyn d. gemeldet hat und was er zu den Funden von AdwCleaner sagt. Ob du den Scanner nochmal ausführen und dann die Funde löschen sollst oder nicht. Zum Vergleich: so schaut ein Logfile von AdwCleaner bei mir aus:
übersetzt: keinerlei Funde die auf Adware, PUP oder Browserhijacking hindeuten

Ja, die Ergebnisse hätte ich in der Form tatsächlich nicht erwartet. Die beiden Ordner, die JRT nicht entfernen konnte wurden auch von AdwCleaner angezeigt, von daher nehme ich an dass die beiden tatsächlich problematisch sind. Was den Rest angeht, der von AdwCleaner noch zusätzlich gefunden wurde, bin ich mir nicht so sicher.

 

[purzelbär]

Die 2 Scanner haben aber so einiges auf deinem System gefunden und im Falle von JRT auch gleich bereinigt was nicht aufs System gehören sollteWarte mal ab bis sich emlyn d. gemeldet hat und was er zu den Funden von AdwCleaner sagt. Ob du den Scanner nochmal ausführen und dann die Funde löschen sollst oder nicht. Zum Vergleich: so schaut ein Logfile von AdwCleaner bei mir aus:
übersetzt: keinerlei Funde die auf Adware, PUP oder Browserhijacking hindeuten

Edit: ich hab grad mal nach ein paar deiner Funde gegoogelt: ist alles Adware die deinen Browser Chrome infiziert haben dürfte:

bpegkgagfojjbcpkihigfmkojdmmimdf

ehgldbbpchgpcfagfpfjgoomddhccfgh

jbolfgndggfhhpbnkgnpjkfhinclbigj

Ja, die Ergebnisse hätte ich in der Form tatsächlich nicht erwartet. Die beiden Ordner, die JRT nicht entfernen konnte wurden auch von AdwCleaner angezeigt, von daher nehme ich an dass die beiden tatsächlich problematisch sind. Was den Rest angeht, der von AdwCleaner noch zusätzlich gefunden wurde, bin ich mir nicht so sicher.

Schau dir meine Links andu hast definitiv sog. Browserinfizierungen auf deinem System die Chrome "verbogen" haben und der 3. Fund deutet darauf hin das du mal was von Freemake installiert hast und dir dabei PUP bzw Adware mit untergeschoben wurde. Dafür ist Freemake bekannt das deren Installer das machen wenn man nicht super genau aufpasst. Wäre das mein System würde ich bereinigen lassen und zusätzlich nach AdwCleaner und JRT auch noch Emsisoft Emergency Kit durchlaufen lassen. Aber Achtung dabei: hat man vor EEK JRT laufen lassen, findet der EEK Scanner 2 Registry Einträge ohne Gefahreneinschätzung die von JRT erstellt wurden und die bedenkenlos gelöscht werden können. Entscheide selbst ob du auf emlyn d. warten willst oder vorher dein System mit den genannten Scannern bereinigen lassen willst. Ich will dich da nicht beeinflussen.

Ach ja noch etwas zum lesen was gut erklärt wie hinterhältig sich PUP einschleichen kann und wie man dem vorbeugen kann: http://blog.emsisoft.com/de/2015/01...icker150127&utm_campaign=newsbox_ticker150127