Tolles Google-Problem

[Dr. Phibes (Buurman)]

Hi,

ich kann plötzlich die Startseite von Google Deutschland nicht mehr aufrufen. Schon Cookies gelöscht usw., was man halt macht. Auch andere Google Seiten funzen nicht.
Jetzt aber das tolle, die Exotenseiten von Google funzen bei mir. Ob Google Grönland, Google Kasachstan usw., alle funzen, nur halt Google D, UK usw. nicht?

Warum??????  :-((

[Zubi]

HOSTS Manipulationen

1.10.2003 - Offensichtlich kursiert seit einigen Wochen eine Methode zur gezielten Manipulation der Systemdatei HOSTS im Netz, mit der die Aufrufe von unzähligen Suchmaschinen auf eine andere IP umgeleitet werden.

Auf welchem Weg die HOSTS Datei manipuliert wird, scheint aktuell noch unklar. Nach ersten Auswertungen zeigt sich aber, dass über 100 Suchmaschinen von diesem Problem betroffen sind, da entsprechende Änderungen in der Datei vorgefunden wurden. Möglicherweise erfolgt die Manipulation beim Besuch einer präparierten Webseite, die eine der diversen Sicherheitslücken des Browsers ausnutzt.

In jedem Fall wird ein Aufruf einer betroffenen Suchmachine im Browser auf die Adresse

http://64.191.59.85

umgelenkt. Auf der sehr "übersichtlichen" Seite sind einige karge Informationen über das Problem zu finden. Gesamt weist der Inhaber aber jegliche Schuld von sich.

Die betroffene Datei HOSTS ist eine Systemdatei, die sich je nach Betriebssystem in verschiedenen Verzeichnissen befindet:

Windows 95/98/Me: c:\windows\
Windows NT/2000/XP Pro: c:\winnt\system32\drivers\etc\
Windows XP Home/XP Pro: c:\windows\system32\drivers\etc\

In dieser Datei können Domains bzw. IP-Adressen zwecks leichterem Aufruf eingetragen werden. Im betroffenen Fall wurde zum Beispiel folgender Eintrag eingefügt:

64.191.95.139 www.google.com

Dieser Eintrag bewirkt das Umlenken auf die Adresse 64.191.95.139, wenn im Browser die Suchmaschine www.google.com aufgerufen wird.

Im einfachsten Fall kann die Datei HOSTS mit einem Editor geöffnet und bereinigt werden. Falls dies aufgrund einer System-Verweigerung nicht möglich sein sollte, muss der betroffene Rechner zunächst im abgesicherten Modus gestartet werden. Anschließend kann die Datei HOSTS dann entsprechend bearbeitet werden.

Um künftige unbemerkte Manipulationen zu vermeiden, kann die Datei auch mit einem Schreibschutz versehen werden. Hierzu sind folgende Schritte notwendig:


Suchen der Datei HOSTS

Anklicken der Datei mit der rechten Maustaste

Auswahl von "Eigenschaften" im Kontextmenü

Setzen des Häkchens an "Schreibgeschützt"


Über die Gründe dieser Manipulation kann aktuell nur spekuliert werden. Möglicherweise bewirkt die Manipulation aber Traffic, der zur Abrechnung von Banner-Werbung benutzt wird.

das wird wohl dein problem sein... ist ein weit verbreiteter neuer virus.

hoffe konnte helfen,

MFG zubi


EDIT: das könnte dir eventuell helfen:

http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.removal.tool.html

[Dr. Phibes (Buurman)]

Besten Dank, werde mal schaun, ob ich das wegbekomme.

[Dr. Phibes (Buurman)]

Also das Tool findet nix. Auch werde ich nicht auf die besagt Seite umgeleitet, sie ist einfach nicht aufrufbar...  :?

Edit: Habe nur folgende Zeile in der Host-Datei

127.0.0.1       localhost

[Abramelin]

Ich hatte genau das gleiche Problem und das Zeug mit der "Hosts"-Datei hat auch nichts geholfen. Was es letztendlich war, weiß ich nicht, aber ich habe den Rechner platt gemacht und neu installiert. Jetzt funktioniert wieder alles.

[Kingpin]

Schon 'n anderen DNS probiert? Wäre nicht das erste Mal, daß einer (insb. von den Telekomikern) nicht mehr weiß, was Sache ist.

[Dr. STRG+C+V n0NAMe]

Edit: Habe nur folgende Zeile in der Host-Datei

127.0.0.1       localhost

Das ist in Ordnung und gehört so.

Gruß

n0NAMe

[Dr. Phibes (Buurman)]

Schon 'n anderen DNS probiert? Wäre nicht das erste Mal, daß einer (insb. von den Telekomikern) nicht mehr weiß, was Sache ist.

Äh, was muss/darf ich da verändern?  8)
Habe einfach mal den DNS-Wert um 1 erhöht, dann kam ich aber nicht mehr ins Netz rein.

[Kingpin]

Äh, was muss/darf ich da verändern? 8)
Habe einfach mal den DNS-Wert um 1 erhöht, dann kam ich aber nicht mehr ins Netz rein.

Ja, so einfach geht das natürlich (oder leider ;)) nicht - normalerweise ist in der DNS-Konfiguration ja irgendein DNS des Providers (bspw. t-offline) eingetragen, i.d.R. der deinem Wohnort nächste. In dieser Liste stehen ein paar Alternativen - such dir halt einen aus ;) und trag den entweder als Ersatz des bisherigen oder als zusätzliche Alternative ein - wenn ein DNS eine Adresse nicht "auflösen" kann, wird halt zu den alternativ angegebenen DNS übergegangen.

[Dr. Phibes (Buurman)]

Immer noch das alte Problem, google.de geht nicht, lande auf der cpanel Page. Mittlerweile hat es auch eine andere Seite seit heute erwischt. Was habe ich getan?

1. Dieses Qfix von Symantec incl. Systemweiderherstellung abgeschaltet bla bla usw. ---> findet nix
2. Neustart, dann noch mal 1. --> findet nix
3. Virenscanner ---> findet nix
4. in der Datei hosts ---> steht nix drin
5. Internet gesucht, Tips benutzt ---> hilft nicht

WAS ZUR HÖLLE KANN ICH NOCH TUN??? :-((

Ich habe keine Lust, meinen Rechner neu zu formatieren (weiß auch gar nicht, wie das geht). Irgendwo muss dieses scheißding doch aufem PC sein, auch wenn die ganzen Tools nix finden???? HILFE!!!

[FuManchu]

kannst du google per ip eingabe erreichen?
gib mal: 216.239.59.99 in die adressleiste ein.

[Contagion]

Ich kann jetzt nur einen tipp für Win98SE user geben:

Im Windows Ordner das zweite host file mit aktuellem datum löschen. Danach könnte es wieder funtzen.

[Dr. Phibes (Buurman)]

kannst du google per ip eingabe erreichen?
gib mal: 216.239.59.99 in die adressleiste ein.

Ja, dass geht. Auf der einen Seite natürlich gut, auf der anderen will ich wissen, wo dieser Dreckstrojaner noch immer in meinem PC haust.

[Kingpin]

Mönsch Doc, warum sachste det nich jleich mit Cpanel!? ;)
Wußt' ich's doch, dat da wat mitte DNS-Konfiguration durcheinandergewurschtelt wird ;)
Und btw - falls noch nicht geschehen, den neuesten kumulativen IE Patch einspielen (Q824145)!

[Dr. Phibes (Buurman)]

Mönsch Doc, warum sachste det nich jleich mit Cpanel!? ;)
Wußt' ich's doch, dat da wat mitte DNS-Konfiguration durcheinandergewurschtelt wird ;)
Und btw - falls noch nicht geschehen, den neuesten kumulativen IE Patch einspielen (Q824145)!

Genau die Seite kenne ich und die hilft mir ja nicht weiter., oder?

[Kingpin]

Hm, weiß ja nicht wo du landest - eigentlich sollte der Link zu heise führen ...
und wie wäre es hiermit?

[Dr. Phibes (Buurman)]

Hm, weiß ja nicht wo du landest - eigentlich sollte der Link zu heise führen ...
und wie wäre es hiermit?

War ich auch schon, Tool findet nichts. Und irgendwie habe ich auch nicht das in den Einträgen stehen, was ich löschen soll. Ich glaube, ich muss mich damit abfinden, dass es einfach nicht geht.

[Kingpin]

Also, wenn du auf einer falschen Seite landest, stimmt definitiv was nicht - was für DNS stehen denn in deiner TCP/IP Konfiguration?
Bei heise steht ja, daß der Trojaner den Eintrag des DNS-Servers durch neue IP-Adressen ersetzt und zusätzlich eine neue Hosts-Datei generiert, um Anfragen an bekannte Suchmaschinen wie etwa Google, Lycos, Altavista, Yahoo oder Ask an eine weitere Adresse umzuleiten.
Außerdem den o.g. Patch unbedingt einspielen! Check auch mal die Proxy-Konfiguration im IE.

[Siggi]

Mit Symantec hab ich das auch schon probiert da wurde aber kein Trojaner gefunden. Google geht bei mir nur noch teilweise.

Siggi

[Dr. Phibes (Buurman)]

Lustiger Teilerfolg, nach dem Patch geht jetzt wieder Google, nur die andere Seite //www.dvd-forum.at landet immer noch bei Cpanel.

[Kingpin]

Check auch mal mit AdAware und SpyBot, ob die was finden (falls noch nicht geschehen) ...

[Hackfresse]

Das mit dvd-forum.at => cPanel ist bei mir aber auch so.

Klickt mal auf den Link: www.dvd-forum.at

Wird an der Seite liegen.

[Siggi]

Lustiger Teilerfolg, nach dem Patch geht jetzt wieder Google, nur die andere Seite //www.dvd-forum.at landet immer noch bei Cpanel.

Bei Cpanel lande ich auch immer jetzt nehm ich aber http://216.239.37.99/ um auf Google zu kommen. Spybot und AdAware fanden auch nix.

Siggi

[Dr. Phibes (Buurman)]

Das mit dvd-forum.at => cPanel ist bei mir aber auch so.

Klickt mal auf den Link: www.dvd-forum.at

Wird an der Seite liegen.

Ja, lande bei CPanel

[Dr. Phibes (Buurman)]

@Siggi

Nach dem Patch geht es bei mir wieder, probier es mal.

@Kingpin

Danke, durch Dich läuft Google wieder!

:respekt:

[Kingpin]

Naja, behalt das mal die nächsten Tage und Wochen mit aktualisierten Viren-Signaturen deines Virenscanners im Auge - wer weiß, ob da nicht noch irgendwo was schlummert ...

[flesh]

Das mit dvd-forum.at => cPanel ist bei mir aber auch so.

Klickt mal auf den Link: www.dvd-forum.at

Wird an der Seite liegen.

Stimmt, liegt wohl wirklich an der Seite. Bei mir geht Google nach wie vor und auch sonst passt alles mit meinem PC.