Startpage.com und Screen Scraping

  • Servus an alle,

    heute vormittag hatte ich an meinem Rechner etwas ungewöhnliches bemerkt, das ich nicht so richtig einordnen kann.
    Ich habe beim FF Startpage.com seit ca. 2 Jahren als Standard- Suchmaschine eingestellt. Irgendwann heute vormittag habe ich einen Suchbegriff eingegeben und es kam folgendes:

    Code
    Wir haben innerhalb sehr kurzer Zeit eine ungewohnt hohe Anzahl von Suchanfragen registriert, die von Ihrem Computer stammen oder von anderen PC's aus Ihrem lokalen Netzwerk. Um unser Angebot vor automatisierten Screen Scraping Software-Programmen zu schützen haben wir Ihren Zugriff auf die Suchfunktion von Startpage für ca. 1 Std lang gesperrt.
    
    
    
    
     Falls Sie in gewohnten Umfang Startpage genutzt haben, bitten wir um Entschuldigung für die Verzögerung.
    Die Sperre wird umgehend aufgehoben, wenn Sie uns per Telefon kontaktieren unter der US-Amerikanischen
    Nummer(212) 447-110. Wenn Sie hingegen ein Screen Scraping Programm ausgeführt haben, setzen Sie sich bitte ebenfalls mit uns
    in Verbindung, um eine Regelung zu finden. Oder senden Sie uns bitte eine E-Mail an autoquery @ startpage.com.

    Mein erster Gedanke war, ich bin Teil eines Botnetzes. Ich hab dann Windows XP beendet und dann Linux/Ubuntu
    hochgefahren. Da war alles ganz normal.

    Heut abend hab ich dann HJT und Avira übers Windows laufen lassen. Es kamen keine Alarmmeldungen.
    Die Suchmaschine verhielt sich auch wie immer.

    Hier anbei ist noch ein Logfile von HJT:

    Mein Betriebssystem ist Windows XP SP3.
    Der Browser ist FF 15.01
    Die Plugins sind alle aktuell, Java ist deaktiviert

    Im Moment bin ich mit Linux/Ubuntu unterwegs.

    Ich bin unsicher ob ich das Betriebsystem neu aufsetzen muß oder alles nur ein Joke ist.

    Vielen Dank für die Bemühungen.

    hipster

  • Wenn nicht dein Rechner,

    Zitat

    oder von anderen PC's aus Ihrem lokalen Netzwerk.


    dann wären andere Rechner oder auch WLAN denkbar. Falls du einen (WLAN-)Router nutzt, prüfe das Protokoll dort. Sollte sich nichts ergeben, wäre auch ein größerer IP-Bereich denkbar. Wie oft wählst du dich eigentlich ein? Damit wäre auch denkbar, dass du eine IP erwischt hast, die vorher exzessiv genutzt wurde. MfG

  • Zitat von hipster

    Mein Betriebssystem ist Windows XP SP3.
    Der Browser ist FF 15.01


    Und welche Version des IE ist installiert?

  • Das OS scheint gestrippt zu sein:

    Code
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =


    Code
    WUWebControl Class


    Das läuft auch nicht mit.

    Wäre schön, wenn der TO dazu ein paar erhellende Worte sagen würde.

  • Servus,

    ersteinmal vielen Dank für die Bemühungen.

    Hatte ich vergessen zu erwähnen. Ich betreibe kein Netzwerk und W-Lan ist über die Fritzbox deaktiviert.
    Auf der Platte ist der IE8, welcher aber praktisch nicht genutzt wird.
    Als dieser o.a. Vorfall war, habe ich mich das erstemal an diesem Tag ins Internet eingewählt.
    Vorhin habe ich nochmal Windows XP bemüht und da gab es beim Suchen über Startpage.com keine
    Probleme alles war wir immer.

    Eine Sache schwirrte mir heute durch den Kopf. Ich benutze die Erweiterung IP-Fuck 1.0.1 (https://addons.mozilla.org/de/firefox/addon/ipflood/?src=ss).
    Da werden ja zufällige IP-Adressen mit übertragen. Evtl ist von einer dieser IP-Adressen, die es ja durchaus
    tatsächlich geben kann, etwas ausgegangen. Ist jetzt aber reine Spekulation.

    Docc

    Mir ist jetzt nicht ganz klar was Du mit gestrippt meinst.
    Der Eintrag WUWebControl Class hat ja was mit dem Active X- Steuerelement zu tun. Das ist über das Programm XP-Antispy deaktiviert.

    Die R0-Einträge im HJT, in dem sich ja Startseiten des IE eintragen, tauchen ab und an bei Spybot auf und da elemeniere ich sie (also die Startseiten).Auch mit HJT kann man da ja überflüssige Einträge killen.
    Ist es das was Du gemeint hast?

    mfg hipster

  • Zitat von hipster

    Auf der Platte ist der IE8, welcher aber praktisch nicht genutzt wird.


    Tagtäglich wird der sogar genutzt. Selbst dann, wenn du ihn gar nicht wissentlich aufrufst.

    Zitat

    Ich benutze die Erweiterung IP-Fuck 1.0.1 [...] Da werden ja zufällige IP-Adressen mit übertragen.


    und

    Zitat

    Das ist über das Programm XP-Antispy deaktiviert.


    und

    Zitat

    Spybot


    Und du wunderst dich wirklich, dass das System für dich außer Kontrolle geraten ist???

    Du schiebst eine Paranoia. Mehr nicht. Und deswegen hast du dein System eigenhändig lahm gelegt.

    Spybot Search & Destroy ist ein Anachronismus aus den frühen Windowstagen (Windows98 / Win2k). Auf modernen Windows-Betriebssystemen kann Spybot keinen nennenswerten Beitrag zur Systemsicherheit leisten. Zudem wird Spybot viel zu selten mit Updates versorgt. Und last but not least wurde die Entwicklung der Engine vor fast vier Jahren eingestellt.

    XP-Antispy bedient seinerseits die Paranoia mancher User, die mal irgendwo gehört haben, dass Microsoft eine
    Datenkrake ist. Dann denkt man natürlich, dass die alles über den User sammeln. Angefangen vom Klarnamen, über die IP, bis hin zum Mitprotokollieren des E-Mail-Verkehrs und des Surfverhaltens. Sorry, aber das ist blanker, haarsträubender Unsinn, der jeder Grundlage entbehrt. Die Daten, die Microsoftprodukte nach Redmond übermitteln, sind so anonym, dass selbst du dich darin nicht wiederfinden würdest, selbst wenn du wissen würdest, wonach du suchen musst. Also vergiss den Quatsch mit XP-Antispy.

    IP-Fuck 1.0.1. - Allein der Name sollte dir Warnung genug sein!


    Zitat

    Mir ist jetzt nicht ganz klar was Du mit gestrippt meinst.


    Gemeint ist ein aus Unkenntnis abgespecktes System, welches mit gebremstem Schaum läuft, weil systeminhärente Prozesse, Dienste und Features lahm gelegt wurden. Man könnte auch sagen: das Problem ist hausgemacht.

  • Zitat von Docc

    IP-Fuck 1.0.1. - Allein der Name sollte dir Warnung genug sein!


    ipFlood - aber auch dieser Name sollte Grund genug zu Warnung sein.

  • Servus,

    danke für die klaren Worte. Ich werde meine Schlüsse daraus ziehen. Bin ja nicht beratungsresistent.

    Es passiert schon hin und wieder, daß das man sich verrennt und da ist es ganz gut wenn man mal andere Meinungen
    zu dem einen oder anderen Tool bekommt.

    mfg hipster

  • Zitat von hipster

    danke für die klaren Worte.


    Bitte, gern. Um den heißen Brei herum reden, würde ja auch wenig Sinn ergeben.


    Zitat von hipster

    da ist es ganz gut wenn man mal andere Meinungen zu dem einen oder anderen Tool bekommt.


    Mit Software der Kategorie Snake Oil ist das immer so eine Sache. Vor der Installation lohnt es sich in jedem Fall ein paar Infos außerhalb der populären Endbenutzerforen zu lesen. Beim Querlesen in einschlägigen IT-Fachforen und IT-Blogs löst sich der versprochene Zauber solcher Tool meist sehr schnell auf. Manche dieser Progrämmchen sind schlichtweg wirkungslos, während andere einen Hebel ansetzen, wo kein Hebel erforderlich ist.


    In der Beschreibung von ipFlood heißt es:

    Code
    Simulate the use of a series of proxy changing at each new connection.


    Diesen bunten IP-Salat hat Startpage.com dann als übermäßige Anzahl von Suchanfragen interpretieren, und für zunächst eine Stunde den Riegel vorgeschoben. Was das Tool sonst noch ungefragt hinter deinem Rücken veranstaltet magst du dir selbst ausmalen.

    Zu dem Wunsch nach Anonymität im Internet hatten wir kürzlich einen interessanten Thread: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=99633

    Wirf das ganze Gesummse (XP-Antispy, ipFlood, Spybot Search&Destroy) vom System, und gut ist.

    Um die unerfreulichen Nach- und Nebenwirkungen von Spybot loszuwerden, wirst du wahrscheinlich noch deine Hosts-Datei von den Spybot-Einträgen befreien müssen: %systemroot% \system32\drivers\etc

    Eventuell lässt sich das aber auch direkt in Spybot machen, falls Spybot nicht bereits deinstalliert wurde.

    Wenn das durch ist, überprüfe bitte, ob dein Internet Explorer wieder einwandfrei funktioniert. Du benötigst den IE zwingend für kritische ad hoc Security Updates, wie jenes, welches am vergangenen Freitag (KB2744842) bereitgestellt wurde sowie für die monatlichen Windows-Updates.

  • Zitat von Docc

    Du benötigst den IE zwingend für kritische ad hoc Security Updates, wie jenes, welches am vergangenen Freitag (KB2744842) bereitgestellt wurde sowie für die monatlichen Windows-Updates.

    Ich erlaube mir dies zu vervollständigen... Du benötigst den aktuellen, mit allen Patches versorgten IE zwingend für ....

  • Servus,

    so, ich hab vorhin diese Erweiterung IP-Flood entfernt und die beiden anderen Programme gelöscht. Voher die Einträge in
    der Hosts-Datei entfernt. Alles läuft nach wie vor.

    Der Hinweis mit den Fachforen und den IT-Blogs ist gut gemeint und ab und zu verirre ich mich auch in einige, aber es ist nicht immer so ganz verständlich. Deswegen sind es wahrscheinlich Fachforen.
    Mein Fazit, welches ich für mich gezogen habe, im übertragenen Sinne, ist. Drei billige Schlösser an der Wohnungstür ersetzen kein gutes Schloß.

    Übrigens die Windows-Patches jeden Monat hab ich automatisch bekommen, auch das letzte außerplanmäßige.

    Nochmal vielen Dank für die hilfreichen Infos und die Zeit die Ihr investiert habt. Das nächste Wies'n-Bier stoße ich auf Euch
    an, falls Ihr nichts dagegen habt.

    mfg hipster