Nach Neuinstallation von Win 7: Computer leitet immer noch auf Phishing/Spamseiten um

[Krizzo]

Hallo, ich konnte nichts finden zu diesem Thema, obwhl ich mir sicher bin dass es hier schon was Vergleichbares gibt, aber ich hatte keine Ahnung nach was ich suchen soll.

Ein Freund hat eien Trojaner auf dem Rechner, der bei sämtlichen Seiten auf eine Phishingseite umleitet. Firefox spuckt dauernd die Meldung aus "dieser Verbindung wird nicht vertraut", egal ob er auf Google geht auf hotmail oder sonstwas.

Das Kuriose: Wir haben den PC gestern neu aufgesetzt und alles völlig formatiert, der PC ist frisch und das Problem besteht IMMERNOCH.

Er hat noch ein MacBook, mit dem der Fehler nicht auftritt.


Was zum Geier ist das? Virus im BIOS? Im Router? Ich habe sowas noch nie erlebt.

 

[jaichbins]

Zieh dir Ubuntu und guck im Live-Betrieb ob es funktioniert.

Falls es funktioniert: Router i.O.
Falls nicht: Virus evtl im MBR?

Habt ihr auch das Installationsmedium überprüft, also den Stick oder die CD ob die virenfrei sind?

 

[Krizzo]

Antivir findet gar nichts, mit der Win 7 DVD habe ich meinen PC auch schon öfter aufgesetzt und keine Probleme gehabt.

Den Stick für die Datensicherung haben wir außerdem noch an meinen PC gehängt, keine Probleme


Wie sieht das aus mit Ubuntu, ich hab schon öfter mal Linux- Gehversuche gestartet, aber immer andere Probleme gehabt, meistens ist der Grafikkartentreiber nich tverfügbar und ich komm nicht in di eGUI. ICh hab da eigentlich keine Lust auch noch so rumzufrickeln.

 

[novle]

ein PC der formatiert und mit windows 7 neuinstalliert wurde ist virenfrei, irgendwas machst du falsch

 

[derius]

tippe auf redirect im router

 

[etking]

Antivir ist auch der größte Schrott. Versuchs mal mit einer Testversion von Kaspersky, oder http://security.symantec.com/nbrt/npe.aspx .
Es können der Bootsektor, das Betriebssystemimage, das BIOS, eine andere Platte, der USB-Stick das Bios ja sogar die Hardware oder der Router beispielsweise mit Rootkits infiziert sein. Den Rechner vielleicht auch erst mal offline installieren, scannen und patchen, z.B. mit den Winfuture Updatepacks.

 

[Kein Plan]

Geht das Macbook über den gleichen Router ins Internet?

Ansonsten könntest du Desinfect von C't benutzen...
Es ist auch möglich Win oder Linux von USB zu starten und die nicht eingehängte Festplatte komplett scannen - mit Malwarebytes Antimalware und anderen scannern ...Ct's Desinfect macht eig. genau das - nur dass du das Linux von einer CD startest.

 

[cunhell]

Habt ihr nur die Systemplatte neu gemacht oder alle Platten/Laufwerke die im Rechner sind?
(Formatiert habt ihr die Systemplatte ja und nicht nur drüber installiert, oder?)

Wenn Ihr nur die Systemplatte neu gemacht habt und andere Platten im System sind, könnte der Virus (oder was auch immer) dort verborgen sein.
Hat er sein Userprofil auf einer anderen Platte? Evtl. liegen die Einstellungen auf einer anderen Platte die Ihr nich platt gemacht habt.
Ich würde auch den DNS-Server auf dem Router überprüfen.

Cunhell

 

[Krizzo]

Das MacBook geht ganz normal über den selben Router ins Internet.

Wir haben alles formatiert was am Controller hing und während der Windows- Installation angezeigt wurde.

DNS Server überprüfen? Ich weiß noch nicht mal was das ist... Das übersteigt meine Kapazitäten.

 

[grenn]

Hat er auch für Windows die Updates eingespielt bevor er ins Internet gegangen ist?

 

[werkam]

Und weil Firefox der Seite nicht vertraut, ist es ein Trojaner? Was macht denn IE, meldet der sich auch so?

 

[purzelbär]

Krizzo, du kannst mal das System mit Malwarebytes Free(die Testphase der Pro bitte abwählen): http://www.malwarebytes.org/products/malwarebytes_free/ oder wahlweise mit Emsisoft Emergency Kit: http://www.emsisoft.de/de/software/eek/ überprüfen. Und um nach evtl. Rootkits zu suchen, kannst du dafür Malwarebytes Antirootkit: http://www.malwarebytes.org/products/mbar/ nehmen.

 

[cunhell]

DNS = Domain Name Server. Dieser Dienst löst die Namen auf die hinter den IP-Adressen stecken. Ohne diesen Dienst könntest Du die Rechner nur über ihre IP-Adresse und nicht ihrem Namen ansprechen.

Wenn auf dem PC bzw. Router ein unseriöser DNS-Server hinterlegt ist, könnte dieser alle Anfragen an bestimmte Adressen an falsche IP-Adressen umleiten.
Daher solltest Du auf dem Windows-Rechner und auf dem Router überprüfen ob dort die DNS-Server des Providers Deines Kumpels hinterlegt sind. Wenn nein, solltest Du dies korrigieren. Die Daten für diese DNS-Server sollten auf der Homepage des Providers stehen.

Als erstes kannst Du in einer Dos-Box ( "cmd" bei "Programme/Dateien Suchen" eintippen) mittels
"ipconfig /all" überprüfen, welcher DNS-Server verwendet wird.

Steht da unter
"DNS-Server" die IP-Adresse des Routers, dann überprüf die Konfiguration des Routers.
Steht da eine andere Adresse, dann überprüf die Netzwerkkonfiguration des Windows-PC's.

Am Mac könntest Du die gleiche Abfrage machen. Allerdings bin ich mir nicht sicher wie der Befehl unter MacOS heisst.
Vermutlich "ifconfig -a" da es Unix ist, sicher bich ich aber nicht.

Das der MAC funktioniert, könnte einfach daran liegen, dass der Rechner einen fest eingetragenen DNS-Server in der Netzwerkkonfiguration stehen hat und daher nicht den des Routers verwendet.

Ist alles hypothetisch, da ich ja die Konfigurationen der Geräte nicht kenne. Aber vielleicht hilft es beim Fehler-Suchen.

Viel Glück
Cunhell

 

[Krizzo]

Ich bedanke mich für die Antworten. Werde am Montag erst wieder bei ihm sein können um die Tipps zu testen.

Und weil Firefox der Seite nicht vertraut, ist es ein Trojaner? Was macht denn IE, meldet der sich auch so?

1. Er vertraut sämtlichen Seiten nicht, google, hotmail, ebay, auf keine Seite wird man gelassen
2. ja, auch mit jedem anderen Browser ist es so.


Stichwort Master Boot Record: Wenn ich die Festplatte mit einem Mac neu initialisiere, wird der MBR ja eigentlich auch gelöscht, weil Intelmacs die GUID Partition Table statt dem MBR benutzen, oder? Dieses Problem könnte man ja dann s auch ausschließen. Oder bleibt irgendwo ein "Rest" vom MBR übrig?

 

[cunhell]

Es ist mit jedem anderen Browser auch so? Sieht die Meldung genau gleich aus?
Hat dein Kumpel eine Internet Security Suite auf dem Rechner? Wenn ja, könnte auch die evtl. Probleme machen.
Grad jüngst hat z.B. Kaspersky mit einem Update XP-Rechner netztechnisch lahm gelegt.

Hierbei aber bitte vorsichtig sein und nicht unbedarft ohne Schutz rumsurfen.

Edit: Ach ja, man kann die Platte z.B. mittels "dban" 100% löschen. Dauert aber ewig.

Cunhell