dummy.de.org - Umleitung! Wie entfernen? |
||
---|---|---|
#0
| ||
01.02.2005, 12:22
Member
Beiträge: 12 |
||
|
||
01.02.2005, 12:52
Member
Beiträge: 1132 |
#2
Wenn Du den Thread von J1M1 durchgelesen hast, dann weißt Du ja was zu tun ist!
Woher weißt Du, dass J1M1 auf dem falschen Weg ist? Bitte keine Doppelpostings!!! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 13:04
Member
Themenstarter Beiträge: 12 |
#3
Habe kein Kazzaa und somit auch nicht p2p. Denke also, dass das damit nix zu tun hat..
Doppelposting ist nicht beabsichtigt. MfG Alex |
|
|
||
01.02.2005, 13:25
Member
Beiträge: 1132 |
#4
Ich habe auch nicht das Problem, sondern die Vorgehensweise mit HighjackThis gemeint!
Ohne grundlegende Informationen (HJT Log) kann Dir hier keiner helfen (Hellseher sind wir alle nicht). Also bitte HighjackThis besorgen und Log hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 01.02.2005 um 13:25 Uhr von Heron editiert.
|
|
|
||
01.02.2005, 16:02
Member
Themenstarter Beiträge: 12 |
#5
Hi, sry (hast ja recht Heron) hier die Log...
Logfile of HijackThis v1.99.0 Scan saved at 15:56:26, on 01.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\AnalogX\NetStat Live\nsl.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WinTV\Ir.exe C:\Programme\ICQ\Icq.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\Opera7\opera.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\WinRAR\WinRAR.exe D:\Download\new\Heute\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: PowerReg SchedulerV2.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: ICQ.lnk = C:\Programme\ICQ\Icq.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{07CC8A7C-D336-427B-8EE0-ADAB9C965D57}: NameServer = 213.211.196.2,213.211.196.3 O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\Programme\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
01.02.2005, 17:32
Member
Themenstarter Beiträge: 12 |
#6
Hi, hab noch etwas weiteres zu diesem Thema aus anderer Quelle gefunden, hilft mir nur grade nicht weiter, aber vielleicht irgendwem anderes...
>>> Hallo, wie ich in meinem ersten Thread fälschlicherweise angenommen habe, (Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier: ScreenShot um ein spyware / adware tool, habe ich folgendes rausbekommen: http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen: http://dummy.de.org/index.htm und über www.microsoft.de.org oder über www.heise.de.org. Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden Nur macht das der Internet Explorer automatsch. Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch. Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer. Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus. xxx.de.org Comments welcome. >>> MfG Alex |
|
|
||
01.02.2005, 19:14
Member
Beiträge: 1132 |
#7
Du hast an Deinem Problem schon gearbeitet!?
Ich sehe nichts besonders Auffälliges an Deinem Log. Wenn Du die Domain in O17 - HKLM\System\CCS\Services\Tcpip\..\{07CC8A7C-D336-427B-8EE0-ADAB9C965D57}: NameServer = 213.211.196.2,213.211.196.3 nicht kennst, dann diesen Eintrag mit HijackThis fixen (Häkchen setzen und "fix checked" drücken) Weißt Du wozu diese Programme gehören? lmgrd.exe ansyslmd.exe PowerReg SchedulerV2.exe Ir.exe Icq.exe Wenn Du sie keiner Dir bekannten Anwendung zuordnen kannst, dann einmal einzeln hier überprüfen lassen: http://virusscan.jotti.dhs.org/ Falls was angezeigt wird, die Ergebnisse posten Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 20:25
Member
Themenstarter Beiträge: 12 |
#8
Hi,
O17 sind meine DNS-serveradressen die oberen zwei Programme sind ein cad-Programm Powerreg war nur noch teilweise da und den Rest hab ich dann ganz entfernt. Ir.exe ist von winTV ICQ.exe ist halt Messanger ICQ Ich hab ja den Log auch schon angeschaut und finde auch nix. Das komische ist eben, dass Opera davon auch befallen ist. Dennoch blockt es die Umleitung irgendwie (indem er mir ein Netzwerkproblem angibt). Aber wenn man schon DSL hat, und es geht dann trotzdem so langsam, nervt das. CWshredder und Spybot und Adaware, sowie NortonAV haben nix gefunden. Vielleicht sollte ich mal Opera deinstallieren (vielleicht auch Java?) und dann neu draufbringen? MfG Alex |
|
|
||
01.02.2005, 20:48
Member
Beiträge: 1132 |
#9
Noch ein Versuch! Dann vielleicht doch alles einmal neu installieren.
Stinger http://vil.nai.com/vil/stinger/ Programm öffnen und starten. Poste das Log. DllCompare http://www.atribune.org/downloads/DllCompare.exe Locate.com Button. drücken und wenn der Scan beendet ist Compare button drücken und erstelle das Log => posten eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan" klicken. Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 21:22
Member
Themenstarter Beiträge: 12 |
#10
zu dll Compare:
>>> * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.480 items found: 1.480 files, 0 directories. Total of file sizes: 301.575.018 bytes 287,60 M Administrator Account = ----- --------------------End log--------------------- >>> zu Stringer: >>> McAfee AVERT Stinger Version 2.4.9.2 built on Jan 31 2005 Copyright (C) 2005 Networks Associates Technology, Inc. All Rights Reserved. Virus data file v1000 created on Jan 31 2005. Ready to scan for 50 viruses, trojans and variants. Scan initiated on Tue Feb 01 20:59:41 2005 Number of clean files: 90717 >>> das andere danach, gleich |
|
|
||
01.02.2005, 21:52
Member
Beiträge: 1132 |
#11
Da ist wieder nichts zu sehen!
Vielleicht prüfst Du doch noch die Dateien lmgrd.exe ansyslmd.exe PowerReg SchedulerV2.exe Ir.exe Icq.exe bei http://virusscan.jotti.dhs.org/ einmal online vielleicht wird doch etwas gefunden. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 21:57
Member
Themenstarter Beiträge: 12 |
#12
Das update dauert jetzt schon ne dreivirtel Stunde! Wie lang geht das denn noch?
|
|
|
||
01.02.2005, 22:22
Member
Beiträge: 1132 |
#13
U.U. noch ziemlich lange! Die Kaspersky-Server sind offenbar stark überlastet.
Vielleicht später noch einmal versuchen oder Geduld haben. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 22:45
Member
Themenstarter Beiträge: 12 |
#14
Also gut hab das erst mal abgebrochen.
Weiterhin hab ich rausgefunden, das man also immer auf diese Seite weitergeleitet wird: http://polizeibedarf.de/ Habe dazu nun fast alle Foren besucht und nix wirklich gefunden.... Sieht momentan schlecht aus. Wenn dennoch jemand was weiß, dann bitte schreiben. Danke MfG Alex |
|
|
||
02.02.2005, 11:20
Member
Beiträge: 1132 |
#15
Zitat Weiterhin hab ich rausgefunden, das man also immer auf diese Seite weitergeleitet wird: http://polizeibedarf.de/Das war das Stichwort und es ist mir wieder eingefallen! Habe mir Deinen ganzen Thread daraufhin noch einmal durchgelesen und festgestellt, dass Du ja noch gar keinen Scan mit AdAware und Spybot S&D gemacht hast! Bei dem Thread http://board.protecus.de/t15003.htm hat das nämlich funktioniert und die Umleitung nach dummy.org und polizeibedarf.de war verschwunden. Lade folgende Programme herunter und update sie AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch und lösche alle gefundenen kritischen Objekte. Poste die jeweiligen Logs plus HJT Log Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
Ich nutze normalerweise Opera. In letzter Zeit ist Opera langsam und Webseiten (zB: yahoo) lassen sich nur bei öfteren anklicken öffnen. Ich dachte es ist ein Opera Problem und habe daraufhin im IE Versuche gestartet. Dort wurde ich gleich auf die "dummy.de.org" Seite weitergeleitet (erschreckend).
Wie kann man solche Umleitungen entfernen? (Gleiches Problem hat J1m1 - ist nur auf dem falschem Weg...)
Danke für jede Hilfe!
MfG Alex[/b]