Doorwijzen van Google links naar ongewenste sites

Status
Niet open voor verdere reacties.
T

tekstman

Gebruiker
Lid geworden
23 sep 2005
Berichten
16
Hallo,

Ik heb al een tijdje behoorlijk last van een redirect. Wanner ik de Google links aanklik word ik naar andere steeds weer verschillende sites doorgelinkt. In mijn adresbalk krijg ik http//101links.info, maxifiles.com te zien .
Ik werk met Mozilla Firefox en XP. Ik word er een beetje moe van. Ik heb bovenvermelde url's zo goed als in de software van Firefox mogelijk is, geblokkeerd maar het wordt gewoon weggedrukt.
Ik heb AVG, Spysweeper en additioneel nog SPybot Clean & Destroy gedraaid = ook in de veilige modus maar het blijft maar komen.
Wie wil en kan mij helpen?
Tekstman
 
Lijkt sterk op een kaper van je startpagina's of op een andere besmetting die je naar een welbepaalde URL doorstuurt. Best even een log van HiJackThis aanmaken en plaatsen op een forum waar deze bekeken kunnen worden bvb. HiJackThis.nl of Nucia/ASO.nl. Kunnen de experten daar eens bekijken of er iets is wat dit probleem veroorzaakt.
 
kape zei:
Lijkt sterk op een kaper van je startpagina's of op een andere besmetting die je naar een welbepaalde URL doorstuurt. Best even een log van HiJackThis aanmaken en plaatsen op een forum waar deze bekeken kunnen worden bvb. HiJackThis.nl of Nucia/ASO.nl. Kunnen de experten daar eens bekijken of er iets is wat dit probleem veroorzaakt.
Klik om te vergroten...

Ga ik doen. Dank je wel.
 
tekstman zei:
Dank voor je snelle reactie. SPyware Docter heb ik al geprobeerd en zonder succes.
Klik om te vergroten...

Leofact en kape. Heeft niets opgelost. Ook door tussenkomst van Webroot de Spusweeper Hosts file aangepast. Geen wijziging. Nog steeds redirect.
 
Vreemd dat een HJT-log geen uitsluitsel brengt. Waar heb je het gepost ?

Download FixwareOut hier :
http://download.bleepingcomputer.com/lonny/Fixwareout.exe Sla op op je bureaublad en laat het runnen. Klik Next, Installeer, zie dat "Run Fixit" is aangevinkt en eindig met Finish.

De fix zal beginnen, volg gewoon het programma. Indien je firewall opspeelt (omdat dit tooltje een bestand download van het internet), laat dit dan toe. Er wordt gevraagd je computer terug op te starten. Doe dit. Het opstarten kan wat langer duren dan normaal.

Plaats dan het bestandje dat aangemaakt werd (report.txt) en een nieuw log van HiJackThis ter info.
 
De oplossingen van Kape zien er professioneel uit.
Mochten ze evengoed toch geen resltaat bieden dan zit t probleem op een andere plaats.
Het kan zelfs een probleem zijn van de dns server waar je de URL's vandaan haalt.
Zit je op internert via een router, met geintegreerd modem, of een los apparaat?
Doet het probleem zich ook voor op andere pc's in het zelfde netwerk?
Zo ja dan is er een kans dat de router zelf geinfecteerd is.
Daar helpt geen spyware programma tegen.
Eerlijk gezegd heb ik alleen maar gelezen dat het kan, maar er geen persoonlijke ervaring mee.
Het lijkt me dat een firmware Update dat probleem definitief verhelpt, maar nogmaals ik heb er geen ervaring mee.
Hopelijk leest iemand anders dit die er wel ervaringe mee heeft.
Het lijkt me een vervelend probleem.
 
kape zei:
Vreemd dat een HJT-log geen uitsluitsel brengt. Waar heb je het gepost ?

Download FixwareOut hier :
http://download.bleepingcomputer.com/lonny/Fixwareout.exe Sla op op je bureaublad en laat het runnen. Klik Next, Installeer, zie dat "Run Fixit" is aangevinkt en eindig met Finish.

De fix zal beginnen, volg gewoon het programma. Indien je firewall opspeelt (omdat dit tooltje een bestand download van het internet), laat dit dan toe. Er wordt gevraagd je computer terug op te starten. Doe dit. Het opstarten kan wat langer duren dan normaal.

Plaats dan het bestandje dat aangemaakt werd (report.txt) en een nieuw log van HiJackThis ter info.
Klik om te vergroten...


Bijgaand het report.txt en de hijackThis log.
Heb even getest of het probleem zich nog voordoet. Het lijkt hiermee verholpen.

Voor zover bedankt voor je prima advies. Misschien is het wel leuk om te zien wat er nou mis was, ik ben daar erg benieuwd naar.

DANK DANK
 
leofact zei:
De oplossingen van Kape zien er professioneel uit.
Mochten ze evengoed toch geen resltaat bieden dan zit t probleem op een andere plaats.
Het kan zelfs een probleem zijn van de dns server waar je de URL's vandaan haalt.
Zit je op internert via een router, met geintegreerd modem, of een los apparaat?
Doet het probleem zich ook voor op andere pc's in het zelfde netwerk?
Zo ja dan is er een kans dat de router zelf geinfecteerd is.
Daar helpt geen spyware programma tegen.
Eerlijk gezegd heb ik alleen maar gelezen dat het kan, maar er geen persoonlijke ervaring mee.
Het lijkt me dat een firmware Update dat probleem definitief verhelpt, maar nogmaals ik heb er geen ervaring mee.
Hopelijk leest iemand anders dit die er wel ervaringe mee heeft.
Het lijkt me een vervelend probleem.
Klik om te vergroten...

Dank voor je hulp. Het ziet er naar uit dat met de aanpak van kape het probleem lijkt te zijn opgelost.
In ieder geval bedankt voor je reactie. Ik heb leofact nog gevraagd of hij een mogelijke oorzaak in de logfiles kan zien. Als je wilt kan ik het je doorgeven.
 
kape zei:
Vreemd dat een HJT-log geen uitsluitsel brengt. Waar heb je het gepost ?

Download FixwareOut hier :
http://download.bleepingcomputer.com/lonny/Fixwareout.exe Sla op op je bureaublad en laat het runnen. Klik Next, Installeer, zie dat "Run Fixit" is aangevinkt en eindig met Finish.


En dan nu de logfiles!!!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0:41:57, on 8-9-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Klik om te vergroten...
 
Laatst bewerkt door een moderator:
kape zei:
Vreemd dat een HJT-log geen uitsluitsel brengt. Waar heb je het gepost ?

Download FixwareOut hier :


Plaats dan het bestandje dat aangemaakt werd (report.txt) ]

Username "Andre" - 08-09-2007 0:34:01 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdzrg.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.115.44 85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0F8A565D-D0A0-4D5F-8C60-614325B5ADD0}
"nameserver"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{1897883C-727B-4E1B-840D-62A97E1CF16C}
"nameserver"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{251AEA39-3F7E-4403-A625-0BB8BF9AB717}
"nameserver"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{76E20945-ABED-41A3-8A40-8EA15CAD034D}
"nameserver"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F1ED49EE-D945-456B-B46B-84862748B3FB}
"nameserver"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0F8A565D-D0A0-4D5F-8C60-614325B5ADD0}
"DhcpNameServer"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7931734D-C068-4798-AADA-FF28D5943BB3}
"DhcpNameServer"="85.255.115.44,85.255.112.187" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F1ED49EE-D945-456B-B46B-84862748B3FB}
"DhcpNameServer"="85.255.115.44,85.255.112.187" <Value cleared.

De DNS-omzettingscache is leeggemaakt.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdzrg.ren 71263 13-06-2007

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="\"C:\\Program Files\\Apoint2K\\Apoint.exe\""
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"AVG7_CC"="\"C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe\" /STARTUP"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"ISUSPM"="\"C:\\Program Files\\Common Files\\InstallShield\\UpdateService\\ISUSPM.exe\" -scheduler"
"UPC"="\"C:\\Program Files\\UPC\\bin\\sprtcmd.exe\" /P UPC"
"Cpqset"="\"C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe\""
"eabconfg.cpl"="\"C:\\Program Files\\HPQ\\Quick Launch Buttons\\EabServr.exe\" /Start"
"RoxioEngineUtility"="\"C:\\Program Files\\Common Files\\Roxio Shared\\System\\EngUtil.exe\""
"RoxioDragToDisc"="\"C:\\Program Files\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\""
"IntelliPoint"="\"c:\\Program Files\\Microsoft IntelliPoint\\ipoint.exe\""
"eFax 4.2"="\"C:\\Program Files\\eFax Messenger 4.2\\J2GDllCmd.exe\" /R"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"LogitechCommunicationsManager"="\"C:\\Program Files\\Common Files\\LogiShrd\\LComMgr\\Communications_Helper.exe\""
"SpySweeper"="\"C:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe\" /startintray"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Free Internet Window Washer"="\"C:\\PROGRA~1\\FREEIN~1\\Clearpch.exe\" -Start"
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Klik om te vergroten...
 
Ik ben hier geen expert in maar zie tussen de lopende processen niets.
Clearpch.exe van free windows washer vond ik zo'n spyware naam dat ik dacht dat dit het was. Er zijn een paar van die rotprogrammaatjes die zich als antispyware voordoen, maar ondertussen zelf spyware zijn Het blijkt echter reguliere software te zijn.
PAStiSvc.exe kende ik ook niet, maar dat blijkt van je webcam te zijn.
Verder maak ik op dat het probleem in de dns/dhcp zat. Namen werde in het verkeerde ip adres vertaald. Mogelijk veroorzaakt door iets wat al gevonden was en allang weer verwijderd was maar dit achterliet.
Hopelijk ziet iemand anders wat de oorzaak was
Groeten Leo
 
Hijackthis logs worden hier niet meer nagekeken, daarvoor moet je op een ander forum zijn.
Vandaar dat ik de Hijackthis log hier verwijderd heb.

Lees dit bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

Kijk hier voor uitleg Hijackthis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

Plaats daarna je Hijackthis log in de volgende sectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

Vermeld daar ook je probleem erbij.

Je moet je wel even registreren daar, maar dat is net als op Helpmij gratis en eenmalig.
 
@ Tekstman

Schitterend dat je probleem hiermee opgelost is. Je startpagina werd gekaapt door een bekende boosdoener met vestiging in de Oekraïne, waarschijknlijk na een eerdere besmetting. Fixwareout heeft deze kaper verwijderd en de oorspronkelijke hostinstelling hersteld. Ik zou nog wel graag je HJT-log eens bekijken, maar vermits dit verwijderd is zullen we dat op een andere manier moeten oplossen.

@ Leofact

Je diagnose was perfect. Het ging dus inderdaad om een "kaper" op de kust : deze dus - 85.255.115.44 - 85.255.112.187. Zie hierboven voor de uitleg.

@ Crash

Tekstman had al een HJT-log geplaatst op een ander forum (zie zijn eerdere post) en kwam terug met een onopgelost probleem. Het posten van zijn HJT-log had enkel als bedoeling om te zien of de fix gewerkt had en niet om een volledige analyse uit te voeren. Het is mij alvast bekend dat er op Helpmij geen analyses meer gedaan worden. Maar goed ... je advies is nu een beetje overbodig vermits het probleem opgelost is.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan