Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge

Verfolgung starten Optionen

Bösartiges Script beim Aufruf von www.google.de

Dippe54 / 14 Antworten / Baumansicht Nickles

Seit zwei Tagen bekomme ich beim Start von www.google.de ein Fenster mit folgender Meldung:


 


----- Fenster Anfang -----


Norton Antivirus


Warnmeldung: Bösartiges Script entdeckt


Object: FileSystem Object


Aktivität: GetSpecialFolder


Ihr Computer wurde Angehalten. Folgendes Script muss geändert werden:


Datei: C:\WINDOWS\system32\-Embedding


Aktion: Dieses Script stoppen (empfohlen)


----- Fenster Ende -----


 


Eine Solche Datei findet der Explorer nicht.


Wenn ich das Script stoppe, scheint alles normal weiter zu laufen.


 


Diese Meldung kommt nur, wenn ich www.google.tld aufrufe, wobei tld für "com" oder "de" oder "fr" oder sonstwas steht. Rufe ich z.B. die Deutsche Googleseite direkt auf (http://www.google.de/intl/de/default.htm), passiert nichts. Auch bei allen anderen Webseiten passiert nichts.


 


Ich habe XP Professional mit allen aktuellen Patches und Updates, IE Version 6.0.2600.0000.xpclnt_qfe.021108-2107


Sicherheit auf Standardeinstellungen


 


Kennt das jemand?


 

bei Antwort benachrichtigen
Soulmann63 Dippe54 „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Ich hab mal deine Überschrifft bei Google eingegeben. Lies dich mal durch.

Gruß Soulmann.

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
xafford Soulmann63 „Ich hab mal deine Überschrifft bei Google eingegeben. Lies dich mal durch....“
Optionen

hm...naja, die seite glänzt nicht so ganz von fundiertheit. die geschichte mit index.dat ist so nicht ganz zutreffend von wegen man würde sie nicht sehen. wenn man natürlich im explorer den punkt "systemdateien ausblenden" aktiviert hat wird man diese datei, ebenso wie viele anderen, nicht sehen.
was das ursprüngliche problem angeht, FileSystem Object ist ein scriptingelement von windows und GetSpecialFolder eine methode davon, auf der seite wird also VBScript eingesetzt (ActiveX-Komponente). Ob und was dieses Script will kann ich aber nicht sagen, da ich das Script nicht habe ;o)...könnte also ein falscher alarm sein, ist aber schon verwunderlich, was google da scripten will, sofern es wirklich google ist, was diese meldung verursacht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Ich hab deswegen auch schon an Google gemailt, aber ausser einer netten
Eingangsbestätigung kam noch gar nichts von denen. Ich weiß, dass
Google die Spracheinstellungen des IE abfragt und sich danach
richtet, aber die stehen richtig. Cookies sind auch aktiviert,
gelöscht, neu erlaubt etc., aber alles beim Alten. Ich vermute
mittlerweile auch, dass Google Google selbst den Mist verbockt hat,
jedoch benötige ich dann schon mal ein Auskunft von denen. Vielleicht
habe ich ja ein ganz anderes Problem, und dies ist nur eine
Folgewirkung? Solange sich das nicht aufklärt, bleibt da dieses
mulmige Gefühl...

Hat noch jemand eine Idee?

bei Antwort benachrichtigen
Soulmann63 Dippe54 „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Es war die einzigste Seite die angezeigt wurde! (Suche auf Deutsch beschränkt!) Was den Inhalt der Seite betrifft, gebe ich dir Recht, jedoch entschloss ich mich trotzdem zum Verlinken.

@ Dippe54 Poste mal was da rauskam (Was Google dazu meint.)

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Ich habe das ausprobiert mit dem Löschen dieser Index.dat (geht übrigens ohne Probleme, wenn man sich dafür mit einem anderen XP User anmeldet, der die nötigen Rechte hat), bringt leider keine Änderung.

Mir ist jetzt noch etwas aufgefallen, wenn ich www.google.de eingebe und dann ww.google.com erscheint, steht oben im Browser Titel "The page cannot be found". Vermutlich funktioniert das Google-Script nicht richtig, aber warum nur bei mir? Ich habe jetzt mal Banking aufgerufen (Riiiisiiiiiiiiiikooooooo), läuft einwandfrei, und die meckern bei jedem bisschen, was im Browser nicht ordentlich eingestellt ist.

hmmmmhmmmmmm

??????????????

bei Antwort benachrichtigen
xafford Dippe54 „Ich habe das ausprobiert mit dem Löschen dieser Index.dat geht übrigens ohne...“
Optionen

mal ein kleines experiment. gehe einmal auf start, suche, gibt HOSTS ein, wenn die datei gefunden wird, dann öffne sie mit notepad und poste, was darin steht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Mir schwant da etwas...

hier die hosts:

127.127.127.127 elite
64.191.95.139 www.google.com
64.191.95.139 google.com
64.191.95.139 www.altavista.com
64.191.95.139 altavista.com
64.191.95.139 search.yahoo.com
64.191.95.139 uk.search.yahoo.com
64.191.95.139 ca.search.yahoo.com
64.191.95.139 jp.search.yahoo.com
64.191.95.139 au.search.yahoo.com
64.191.95.139 de.search.yahoo.com
64.191.95.139 search.yahoo.co.jp
64.191.95.139 www.lycos.de
64.191.95.139 www.lycos.ca
64.191.95.139 www.lycos.jp
64.191.95.139 www.lycos.co.jp
64.191.95.139 alltheweb.com
64.191.95.139 web.ask.com
64.191.95.139 ask.com
64.191.95.139 www.ask.com
64.191.95.139 www.teoma.com
64.191.95.139 search.aol.com
64.191.95.139 www.looksmart.com
64.191.95.139 search.msn.com
64.191.95.139 ca.search.msn.com
64.191.95.139 fr.ca.search.msn.com
64.191.95.139 search.fr.msn.be
64.191.95.139 search.fr.msn.ch
64.191.95.139 search.latam.yupimsn.com
64.191.95.139 search.msn.at
64.191.95.139 search.msn.be
64.191.95.139 search.msn.ch
64.191.95.139 search.msn.co.in
64.191.95.139 search.msn.co.jp
64.191.95.139 search.msn.co.kr
64.191.95.139 search.msn.com.br
64.191.95.139 search.msn.com.hk
64.191.95.139 search.msn.com.my
64.191.95.139 search.msn.com.sg
64.191.95.139 search.msn.com.tw
64.191.95.139 search.msn.co.za
64.191.95.139 search.msn.de
64.191.95.139 search.msn.dk
64.191.95.139 search.msn.es
64.191.95.139 search.msn.fi
64.191.95.139 search.msn.fr
64.191.95.139 search.msn.it
64.191.95.139 search.msn.nl
64.191.95.139 search.msn.no
64.191.95.139 search.msn.se
64.191.95.139 search.ninemsn.com.au
64.191.95.139 search.t1msn.com.mx
64.191.95.139 search.xtramsn.co.nz
64.191.95.139 search.yupimsn.com
64.191.95.139 uk.search.msn.com
64.191.95.139 search.lycos.com
64.191.95.139 www.lycos.com
64.191.95.139 www.google.ca
64.191.95.139 google.ca
64.191.95.139 www.google.uk
64.191.95.139 www.google.co.uk
64.191.95.139 www.google.com.au
64.191.95.139 www.google.co.jp
64.191.95.139 www.google.jp
64.191.95.139 www.google.at
64.191.95.139 www.google.be
64.191.95.139 www.google.ch
64.191.95.139 www.google.de
64.191.95.139 www.google.dk
64.191.95.139 www.google.fi
64.191.95.139 www.google.fr
64.191.95.139 www.google.com.gr
64.191.95.139 www.google.com.hk
64.191.95.139 www.google.ie
64.191.95.139 www.google.co.il
64.191.95.139 www.google.it
64.191.95.139 www.google.co.kr
64.191.95.139 www.google.com.mx
64.191.95.139 www.google.nl
64.191.95.139 www.google.co.nz
64.191.95.139 www.google.pl
64.191.95.139 www.google.pt
64.191.95.139 www.google.com.ru
64.191.95.139 www.google.com.sg
64.191.95.139 www.google.co.th
64.191.95.139 www.google.com.tr
64.191.95.139 www.google.com.tw
64.191.95.139 google.at
64.191.95.139 google.be
64.191.95.139 google.de
64.191.95.139 google.dk
64.191.95.139 google.fi
64.191.95.139 google.fr
64.191.95.139 google.com.hk
64.191.95.139 google.ie
64.191.95.139 google.co.il
64.191.95.139 google.it
64.191.95.139 google.co.kr
64.191.95.139 google.com.mx
64.191.95.139 google.nl
64.191.95.139 google.co.nz
64.191.95.139 google.pl
64.191.95.139 google.com.ru
64.191.95.139 google.com.sg
64.191.95.139 www.hotbot.com
64.191.95.139 hotbot.com

Zeigt immer auf denselben Server, hab mal nachgeschaut, die heissen http://www.find-now.info/ und sitzen in Bangkok.

Übel, wenn man die Seite http://www.find-now.info/ so aufruft, da kommen jede Menge Popups, die wollen "tolle" Sachen installieren und jede Menge Cookies einrichten, die sehr nach Werbung aussehen.

Was mach ich jetzt?
Irgend etwas scheint mir falsche DNS Infos unterzujubeln, oder?

Danke für Tipps

bei Antwort benachrichtigen
xafford Dippe54 „Mir schwant da etwas... hier die hosts: 127.127.127.127 elite 64.191.95.139...“
Optionen

lösche schnellstens alle einträge in deiner hosts, dein browser wird auf eine falsche seite umgeleitet mit hilfe dieser datei, google ist also unschuldig. weiterhin solltest du deinen rechner nach malware scannen mit einer neuen virensignatur und ad-aware.
wenn die einträge in der hosts gelöscht sind, dann boote neu und schau noch einmal in die hosts. wenn die einträge wieder da sind, dann hast du noch etwas anderes auf dem rechner (auch wenn sie nicht wieder da sind solltest du vorsichtig sein und genau durchchecken). wenn sie weg sind, dann kannst du ja mal wieder www.google.de eingeben und landest diesmal auf der richtigen seite.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Hallo xafford,

habe die "falschen" hosts-Einträge gelöscht, nu gehts wieder!
Danke für Deinen Tipp.

Morgen installiere ich ad-aware (was es nicht alles gibt...) und berichte hier über die Ergebnisse.

Gute Nacht ;-)

bei Antwort benachrichtigen
xafford Dippe54 „Hallo xafford, habe die falschen hosts-Einträge gelöscht, nu gehts wieder!...“
Optionen

n8 und behalt das auch mal im auge...sowas kommt selten einfach so ;o)..

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Dairuna xafford „n8 und behalt das auch mal im auge...sowas kommt selten einfach so o ..“
Optionen

möchte mich ganz ganz herzlich bei Xafford bedanken!! War am Ende mit meinem Latein und wollte schon alles neu formatieren,dann las ich dden Tip mit der Hosts-Datei und habs nachgemacht - jupidduuuuuu Google geht!! Ganz herzlichen Dank an dieser Stelle sagt eine der verzweiflung nahegewesene Admina :) :)

http://babsys-bastelstube.de.vu

bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Habe Ad-aware installiert, das hat zwei tracking cookies gefunden
(wohl eher harmlos?!) und zwei Einträge in der Registry entfernt. Ich
hatte zwar schon vorher von diesem Tool gelesen, aber nun wird es zu
meiner Standard-Ausstattung gehören. Kann ich nur allen empfehlen,
die Online gehen.

Scheint jetzt wieder alles zu funzen, sollte noch etwas nachkommen,
werde ich es hier posten.

Meine kleine Merkregel, die ich aus dieser Sache gelernt habe:
Erscheint nach Aufruf einer URL nicht das, was Du erwartest, schau
mal in der hosts Datei nach, ob dort ausser localhost noch Einträge
sind (Jeder Eintrag hier verbindet eine URL mit einer IP FEST, ohne
dass der DNS überhaupt noch gefragt wird).

Dank an xafford

bei Antwort benachrichtigen
Planetsavage Dippe54 „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Moin, ich habe (noch) das selbe Problem. Heute Abend hat der IE mir folgende Website angezeigt, nachdem ich google.de aufrufen wollte:

=====================================
Are you trying to get to Google?
Your computer is running software that doesn’t allow you to use Google.
You’re seeing this page because your computer is trying to send you to a website that is pretending to be Google. Over the past few weeks, you may have seen a website that looks like Google, but launches pop-up windows and does not work like Google. That page is not affiliated with Google in any way and is intended to deceive you.

Why is this happening?
Most likely a program was installed on your computer automatically and without your knowledge when you downloaded an otherwise harmless piece of software. Or you may have been tricked into clicking on a disguised download button while visiting a website.

What can I do about it?
This problem can be fixed fairly easily, but will require that you make changes in a file that is part of your computer’s operating system. You should always be cautious when making these kinds of adjustments, as they may affect the performance of your computer. If you are not comfortable doing this yourself, you may want to print out this page and show it to someone whose technical knowledge you trust.

What steps do I take?
The first step is to remove the entry for Google from your hosts file. This entry is telling your computer where to send your computer instead of to Google.

In Windows, open the Notepad program. You can do this by going to the Start menu in the lower left of your screen, selecting “Programs,” then “Accessories,” then “Notepad.”

In the Notepad menu, click on “File,” then “Open.” You will see a new window asking which file to open. You may need to change "Files of type" to "All Files" instead of "Text Documents". The actual file to open is listed below:

If your computer is running Windows XP, Window NT, or Windows 2000, the file is located in the folder found by following this path:

My Computer >Local Disk(C) >Windows >System32 >Drivers >etc >hosts

If your computer is running Windows 98, Second Edition or Windows ME, the file is located in the folder found by following this path:

My Computer >Local Disk(C) >Windows >hosts

Once you have opened this file, remove entirely any line of text that contains “google.com”, “www.google.com” or other Google domains (such as “google.co.uk”). To remove the text, highlight it by dragging your pointer across the line while holding down the mouse button. Once the text is highlighted, hit the Backspace or Delete button, then save the file by going to the File menu and clicking “Save.” You can now exit Notepad.

What else can I do?
You might want to try software that attempts to detect and uninstall programs like this one. While we do not have a relationship with anyone who offers this software and we cannot endorse a particular product, the most popular programs for doing this seem to be Spybot Search and Destroy and LavaSoft's AdAware. The particular program affecting your computer is relatively new, so these products might not be able to detect and repair this type of problem yet.

The next step is to learn more. You can visit http://www.doxdesk.com/parasite/ to review information about a number of known self-installing software programs. Several articles on the web may be helpful, such as

· http://www.theage.com.au/articles/2003/04/14/1050172507212.html
· http://news.com.com/2100-1023-877568.html
· http://news.com.com/2100-1023-257592.html

Investigate individual programs using search engines. Try keywords such as "spyware," "scumware," and "adware."
Once you’re informed, take action. Help your family and friends avoid these annoying programs. If you can find the site that installed this software on your computer, let them know how you feel about it. You might also want to track down companies that benefit from having your web visits redirected, and share your feelings with them.

Finally, it's quick and easy to file a complaint with the Federal Trade Commission (FTC). This U.S. government agency handles complaints about deceptive or unfair business practices. To file a complaint, visit: http://www.ftc.gov/ and click on "File a Complaint Online", or call 1-877-FTC-HELP. Or write to:

Federal Trade Commission
CRC-240
Washington, D.C. 20580

If your complaint is against a company in another country, you can file it at http://www.econsumer.gov/.

=====================================

Das scheint wohl nicht von den Urhebern dieses Problems zu sein. Dadurch bin ich auch auf die Hosts-Datei gekommen. 100%ige Sicherheit hat mir aber nur diese Forum-Posts gebracht. Thx allerseits

bei Antwort benachrichtigen
Dippe54 Nachtrag zu: „Bösartiges Script beim Aufruf von www.google.de“
Optionen

Hallo,

der von Planetsavage genannte Seiteninhalt stammt vom Server 64.191.95.139 (www.find-now.info), auf dem vorher die Fake-Seiten der Suchmaschinen (siehe Inhalt der modifizierten hosts in meinen verhergegangenen posts) abgelegt waren. Der Eintrag bei www.afilias.info gibt immer noch den selben Eigentümer an (Tetsuo Yamamoto von Alkamaitech Ltd. in Bangkok). Anscheinend hat google erwirkt, dass dieser Inhalt dort hinterlegt wird. Damit scheint wenigstens dieser Spuk vorerst ein Ende zu haben. Die auf dieser Seite erwähnten Links solltet ihr euch mal durchlesen.

Gruß Rainer

bei Antwort benachrichtigen