In einer kleinen Firma läuft ein Server unter Windows 2008 R2 als 
Terminalserver. Zusätzlich gibt es noch zwei iMacs. Seit einigen Tagen 
kommt auf allen Rechnern im Netz beim Aufruf von Google die Meldung:

Sorry ... but your computer or network may be sending automated queries. 
To protect our users, we can't process your request right now.

und nix geht mehr (mit Google). Ich habe auf dem Server schon bestimmt 6 
verschiedene Viren- und Malwarescanner mehrfach laufen lassen - ohne 
Befund. Auch die Software "TCP-View" zeigt keine verdächtigen 
Aktivitäten, aber gerade sie sollte doch den Übeltäter anzeigen, der 
Google so attackiert, oder?

Was kann man noch tun?

>Server unter Windows 2008 R2
Fehler 1
>zwei iMacs
Fehler 2
Ergebnis: Hoffnungslos


* Sieh dir mal alle laufenden Prozesse an ob da ungewöhnliche sind.
* Steck einen Computer nach dem anderen aus, warte ein paar Std. und 
versuch dann Google aufzurufen. Wenn es nach wieder geht, weißt du ja 
welcher Schuld ist.

Wenn man einen Server betreiben will, sollte man eigentlich wissen, wie 
man sowas selbst rausfindet...

Wie hängst du denn am Netz? Bei dynamischen Adressen kann es schon mal 
vorkommen, dass der böse Vorbesitzer gemeint ist... Mach mal eine 
Zwangstrennung, und schau dass die IP eine andere ist...

Es handelt sich um einen "normalen" DSL-Anschluss mit täglich 
wechselnder IP-Adresse. Ein Router-Neustart ausser der Reihe (mit neuer 
IP) hat Nichts gebracht.

Die iMacs sind seit Feierabend (ca. 16 Uhr) aus, es läuft nur noch der 
Server. Ich erwähnte sie nur, weil sie auch unter dem Problem "leiden".

Eine Auswertung mit HijackThis erbrachte keine kritischen Dinge. TCPView 
zeigt derzeit keinerlei externe Verbindungen an, ausser 
"bk-in-f94.1e100.net". Weiss jemand was das für eine Adresse ist?

Gibt man die bei Google ein (die JS-getriebene "Selbstsuche" während der 
Einagbe geht, nur klassisch Suchbegriff eigeben und "Suchen" klicken 
bringt die blöde Meldung), kommt nur für mich Unverständliches ...

Die 1e100.net gehören zu Google. Da hatten wir schon mal einen Thread 
dazu:
Beitrag "TCP Verbindungen zu *.1e100.net nach surfen auf µC.net"
Das hättest du mit einer whois-Abfrage selbst rausgefunden.
Jetzt musst du rausfinden, welches Programm die Verbindung zu Google 
hält.

Nochmal die Prozessliste: Nicht nur Programme nutzen, sondern selbst mal 
STRG+ALT+ENTF drücken, auf Prozessliste klicken und such Prozesse die 
dir komisch vorkommen.

Lass den Server keinesfalls vom Internet erreichbar sein. Es scheint 
nicht so, als könntest du ihn wirklich kontrollieren.

K. Laus schrieb:
> Jetzt musst du rausfinden, welches Programm die Verbindung zu Google
> hält.

Bis zu 6x "System" mit der PID 0 ... :-(

Habe jetzt erstmal 1e100.net im Hostsfile blockiert und einen Neustart 
ausgelöst. Mal sehen, ob es als Erste Hilfe taugt ...

Ich hatte das Problem mal mit einem Firefox Plugin, welches alle Links 
auf einer Seite überprüft. Deaktiviert -> Problem gelöst.

Ein Mitarbeiter hatte - trotz User-Status (wieso geht das eigentlich?) - 
in seinem Firefox einen "Yahoo-Toolbar" installiert, den habe ich 
eliminiert. Hat aber nicht wirklich 'was gebracht, zumal dessen Session 
zu dem Zeitpunkt nicht lief.

Laut TCP-View versucht ein "Systemprozess" (PID=0) sich mehrfach mit den 
Google-Servern zu verbinden. Dem habe ich erstmal einen Riegel 
vorgeschoben (Hosts-File und Router-Firewall). Aber die Versuche bleiben 
und ich würde das Übel ganz gerne an der Wurzel packen ...

Etwa zeitgleich mit dem ersten Auftreten des Problems habe ich auf dem 
Server das Backupprogramm "Duplicati" installiert ... direkt von Heise 
geladen und virengeprüft. Dem vielfach gelobten Tool traue ich solche 
Sachen aber eigentlich nicht zu ... oder?

"Malwarebytes" hat auch Nichts gefunden :-(

Schalte bitte mal das Prefetching im Firefox aus, das musst du in allen 
Userprofilen machen, die auf dem Terminalserver arbeiten. about:config 
eingeben und dort den Eintrag network.prefetch... auf false setzen. 
Damit werden zumindest mal die Massenanfragen des Firefox beendet.

Siehe auch:
http://archiv.peterkroener.de/firefox-user-stellt-...
http://www.trojaner-board.de/114690-google-were-so...

K. Laus schrieb:
> Nochmal die Prozessliste: Nicht nur Programme nutzen, sondern selbst mal
> STRG+ALT+ENTF drücken, auf Prozessliste klicken und such Prozesse die
> dir komisch vorkommen.

Besser: ProcessExplorer verwenden. Der zeigt erheblich mehr Details an.

Du scheinst nicht der einzige mit dem Problem zu sein:

http://www.golem.de/news/google-captcha-eingaben-v...