Umleitung auf bnd-shop.de

Hallo.

Mit meinem DSL-Anschluss über W-LAN habe ich folgendes Problem: Verschiedene Adressen, z.B. www.google.de "findet" mein PC häufig nicht und leitet mich dann auf www.www.google.de.com.


Andere Seiten werden auf www.www.dummy.de.org geroutet.
Diese Adresse leitet einen dann auf www.bnd-shop.de (der natürlich nicht vom BND ist).

Vor der Installation von Win XP home SP2 konnte ich über "Netzwerkverbindung reparieren" das Problem beheben, mit SP 2 funktioniert dies nicht mehr.

Vom Browser hängt es nicht ab (ausprobiert mit IE 6, Firefox, Mozilla, Netscpae, Opera).

Wenn jemand Lösungsvorschläge hat: Danke!!!

Viele Grüße
Andreas

 

Danke für den Tipp, das bringt aber leider nichts: Es stehen keine Umleitungen drin. Mein System habe ich übrigens vor wenigen Tagen erst neu installiert, Viren sind laut Norton auch keine drauf...
Andreas

 

Prüfe dein System mit nem zweiten Virenscanner
(falls du keinen hast, AntiVir und AVG gibts kostenlos).

Lass zusätzlich noch Spybot S&D sowie Ad-aware scannen.

Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
Und Vorsicht, die automatische Auswertung ist nicht perfekt. Nicht einfach alles löschen was dort als "böse" angezeigt wird.

 

Danke!

Antivir werde ich noch installieren.

Spybot S&D hat einige Cookies und einige Registryeinträge moniert, diese Probleme aber behoben.

Hijackthis: http://www.hijackthis.de/logfiles/0bce5f17bfd511c5d2811df154bea445.html

Außerdem: Ich habe nochmals mit den anderen Browsern getestet: Die Umleitung erfolgt nur mit dem IE, alle anderen sagen lediglich "Seite/Server nicht gefunden".

Andreas

 

Kennst du diese Datei?

 

Nein! Ich kann aber leider auch nicht danach suchen, da halt Google und sonstige Suchmaschinen nicht funktionieren...
Über die web.de- und PC-Welt-Suche habe ich nichts gefunden.

 

Dann schau mal nach wo diese Datei auf deiner Platte liegt.

Ist das inzwischen passiert?

 

Hallo.

gwmhook.dll liegt C:\WINDOWS\system32 und ist 32KB groß. Erstellt wurde sie am Sonntag, 31. Oktober 2004, 19:41:43 (meine Windows-Neuinstallation), das Änderungsdatum war Mittwoch, 17. September 2003, 04:50:00.

Anti-Vir habe ich installiert, es hat nichts gefunden, ebenso wie Norton. Ich glaube aber sowieso nicht, dass es sich um einen Virus handelt. Nachdem ich nun nochmals versucht habe, die Netzwerkverbindung zu reparieren (ich habe eine dynamische IP, aber auch mit statischer tritt das Problem auf), habe ich google.de in die Adresszeile eingegeben. Die MSN-Suchseite wollte laden, da ich aber die Google-Toolbar installiert habe, wurde die Suche dann auf google.com/de (oder wie die Seite genau heißt) umgeleitet. Dort zeigte mir die Seite ein Ergebnis, nämlich google.de. Dies konnte ich dann anklicken und auch betreten.

www.symantec.de hat er sogar direkt gefunden…

Andreas

 

O20 - AppInit_DLLs-Autostarteinträge in der Registry

Beispieleinträge:

O20 - AppInit_DLLs: msconfd.dll

Was zu unternehmen ist:
Dieser Registry-Wert, zu finden unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,
lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art (z. B. Norton CleanSweep benutzt die APITRAP.DLL). Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt.

Falls eine 'verborgene' DLL durch diesen Registry-Wert (nur sichtbar, wenn im Registrierungs-Editor unter Ansicht die Option 'Binärdaten anzeigen' verwendet wird) geladen wird, kann dem dll-Namen das Zeichen '|' vorangestellt sein, um diesen Eintrag im Log sichtbar zu machen.

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

 

Teil 2 weil dieses Bug-Welt Forum mal wieder nicht in der Lage ist das komplette Posting zu verarbeiten.



Ergo: System sichern........Eintrag fixen......falls nach der Aktion alles wieder problemlos funktioniert, die Sicherung nach ein paar Tagen löschen.

Zusätzlich nach der "Bereinigungsaktion" das Antivirenprog und Spybot und Co. laufen lassen.

 

Danke.

Den Eintrag habe ich gelöscht, das Problem tritt nun immer noch auf. Jedoch kann ich die Verbindung nun auch unter XP-SP2 updaten und dann funktioniert es wieder...

Spybot S&D findet immer noch etwas, nämlich "DSO Exploit". Nach den folgenden Angaben dürfte es aber nichts damit zu tun haben, ich habe alle Updates von MS:

Meldung vom 30.10.2004
Spybot meldet bei jeder Prüfung das Problem «DSO Exploit Art: 5 Entries». Obwohl ich dieses Problem jedes Mal blockiere, wird immer wieder das gleiche gemeldet. Wie kann ich diese Angelegenheit definitiv löschen?
Dieses DSO Exploit ist ein Problem von Spybot und nicht von Windows. Die Spybot FAQ erklärt das Problem sehr gut:

«Bei dem DSO Exploit handelt es sich um eine Sicherheitslücke im Internet Explorer, diese betrifft auch Outlook und Outlook Express. Microsoft hat diese Sicherheitslücke bereits mit einem Sicherheitsupdate für den Internet Explorer behoben (updaten falls noch nicht geschehen).
Spybot S&D 1.3 macht leider beim Entfernen dieser Sicherheitslücke einen falschen Eintrag, wodurch Spybot diesen DSO Exploit immer wieder findet. Dieses wird mit einem baldigen Update von Spybot S&D behoben werden. Der DSO Exploit stellt aber keine Gefahr mehr dar, wenn die Microsoft Sicherheitsupdates installiert sind, auch wenn Spybot die DSO Exploit Einträge noch findet.
Das Main-Update ist mittlerweile schon als TX-Version verfügbar.
Laden Sie diese Datei herunter, führen Sie sie aus und wählen Sie den Spybot-S&D-Ordner für die Installation. Dann starten Sie den Computer neu, öffnen Spybot-S&D und führen eine Suche durch. Beheben Sie nun die DSO Exploits. In zukünftigen Suchen sollten diese nicht wieder erkannt werden.
Eine Anleitung (jedoch in Englisch) zu einer manuellen Lösung finden Sie hier[1], bis das Update veröffentlicht wird.»

Eine weitere Möglichkeit ist, die DSO-Überprüfung auszuschalten. Wählen Sie dazu unter «Modus» den «Erweiterten Modus», dann setzen Sie unter «Produkt-Ausnahmen» den Haken bei «DSO Exploit». So wird beim nächsten Scann der DSO Exploit nicht mehr angezeigt. Natürlich sollten alle Updates von Windows installiert sein. (ba)

 

ist ein Bug in der Version von Spybot, habe den Link gerade nicht zur Hand, aber hier im Forum gab es schon einen Thread zu dem Prob.

 

Obwohl ich nun nichts mehr verändert habe, erscheint auch im IE keine der Umleitungsadressen mehr sondern nur "Suchseite konnte nicht gefunden werden".

Nach der Reparatur der W-LAN-Verbindung erledigt sich das Problem immer von selbst. Es ist halt nur läsitg, jedes Mal die Verbindung zu reparieren, unter XP SP2 dauert dies ja auch länger als ohne das SP.

Thanks@all
Andreas