dummy.de.org - Umleitung! Wie entfernen?

#1 dummy.de.org >>>>

Ich nutze normalerweise Opera. In letzter Zeit ist Opera langsam und Webseiten (zB: yahoo) lassen sich nur bei öfteren anklicken öffnen. Ich dachte es ist ein Opera Problem und habe daraufhin im IE Versuche gestartet. Dort wurde ich gleich auf die "dummy.de.org" Seite weitergeleitet (erschreckend).

Wie kann man solche Umleitungen entfernen? (Gleiches Problem hat J1m1 - ist nur auf dem falschem Weg...)

Danke für jede Hilfe!

MfG Alex[/b]

#2 Wenn Du den Thread von J1M1 durchgelesen hast, dann weißt Du ja was zu tun ist!
Woher weißt Du, dass J1M1 auf dem falschen Weg ist?

Bitte keine Doppelpostings!!!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Habe kein Kazzaa und somit auch nicht p2p. Denke also, dass das damit nix zu tun hat..

Doppelposting ist nicht beabsichtigt.

MfG Alex

#4 Ich habe auch nicht das Problem, sondern die Vorgehensweise mit HighjackThis gemeint!
Ohne grundlegende Informationen (HJT Log) kann Dir hier keiner helfen (Hellseher sind wir alle nicht). Also bitte HighjackThis besorgen und Log hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hi, sry (hast ja recht Heron) hier die Log...

Logfile of HijackThis v1.99.0
Scan saved at 15:56:26, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\AnalogX\NetStat Live\nsl.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Opera7\opera.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
D:\Download\new\Heute\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: ICQ.lnk = C:\Programme\ICQ\Icq.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{07CC8A7C-D336-427B-8EE0-ADAB9C965D57}: NameServer = 213.211.196.2,213.211.196.3
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\Programme\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#6 Hi, hab noch etwas weiteres zu diesem Thema aus anderer Quelle gefunden, hilft mir nur grade nicht weiter, aber vielleicht irgendwem anderes...

>>>
Hallo,

wie ich in meinem ersten Thread fälschlicherweise angenommen habe,
(Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier:
ScreenShot
um ein spyware / adware tool, habe ich folgendes rausbekommen:

http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen:
http://dummy.de.org/index.htm
und über www.microsoft.de.org oder über www.heise.de.org.

Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden
Nur macht das der Internet Explorer automatsch.

Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch.
Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer.

Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus.
xxx.de.org

Comments welcome.
>>>

MfG Alex

#7 Du hast an Deinem Problem schon gearbeitet!?
Ich sehe nichts besonders Auffälliges an Deinem Log.

Wenn Du die Domain in
O17 - HKLM\System\CCS\Services\Tcpip\..\{07CC8A7C-D336-427B-8EE0-ADAB9C965D57}: NameServer = 213.211.196.2,213.211.196.3
nicht kennst, dann diesen Eintrag mit HijackThis fixen (Häkchen setzen und "fix checked" drücken)

Weißt Du wozu diese Programme gehören?
lmgrd.exe
ansyslmd.exe
PowerReg SchedulerV2.exe
Ir.exe
Icq.exe

Wenn Du sie keiner Dir bekannten Anwendung zuordnen kannst, dann einmal einzeln hier überprüfen lassen:
http://virusscan.jotti.dhs.org/

Falls was angezeigt wird, die Ergebnisse posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 Hi,

O17 sind meine DNS-serveradressen

die oberen zwei Programme sind ein cad-Programm

Powerreg war nur noch teilweise da und den Rest hab ich dann ganz entfernt.

Ir.exe ist von winTV

ICQ.exe ist halt Messanger ICQ


Ich hab ja den Log auch schon angeschaut und finde auch nix. Das komische ist eben, dass Opera davon auch befallen ist. Dennoch blockt es die Umleitung irgendwie (indem er mir ein Netzwerkproblem angibt). Aber wenn man schon DSL hat, und es geht dann trotzdem so langsam, nervt das.

CWshredder und Spybot und Adaware, sowie NortonAV haben nix gefunden.

Vielleicht sollte ich mal Opera deinstallieren (vielleicht auch Java?) und dann neu draufbringen?

MfG Alex

#9 Noch ein Versuch! Dann vielleicht doch alles einmal neu installieren.

Stinger
http://vil.nai.com/vil/stinger/
Programm öffnen und starten. Poste das Log.

DllCompare
http://www.atribune.org/downloads/DllCompare.exe
Locate.com Button. drücken und wenn der Scan beendet ist Compare button drücken und erstelle das Log => posten

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#10 zu dll Compare:
>>>
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.480 items found: 1.480 files, 0 directories.
Total of file sizes: 301.575.018 bytes 287,60 M

Administrator Account = -----

--------------------End log---------------------
>>>



zu Stringer:

>>>
McAfee AVERT Stinger Version 2.4.9.2 built on Jan 31 2005
Copyright (C) 2005 Networks Associates Technology, Inc. All Rights Reserved.
Virus data file v1000 created on Jan 31 2005.
Ready to scan for 50 viruses, trojans and variants.

Scan initiated on Tue Feb 01 20:59:41 2005
Number of clean files: 90717
>>>

das andere danach, gleich

#11 Da ist wieder nichts zu sehen!

Vielleicht prüfst Du doch noch die Dateien
lmgrd.exe
ansyslmd.exe
PowerReg SchedulerV2.exe
Ir.exe
Icq.exe
bei http://virusscan.jotti.dhs.org/ einmal online
vielleicht wird doch etwas gefunden.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12 Das update dauert jetzt schon ne dreivirtel Stunde! Wie lang geht das denn noch?

#13 U.U. noch ziemlich lange! Die Kaspersky-Server sind offenbar stark überlastet.
Vielleicht später noch einmal versuchen oder Geduld haben.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#14 Also gut hab das erst mal abgebrochen.

Weiterhin hab ich rausgefunden, das man also immer auf diese Seite weitergeleitet wird: http://polizeibedarf.de/

Habe dazu nun fast alle Foren besucht und nix wirklich gefunden.... Sieht momentan schlecht aus. Wenn dennoch jemand was weiß, dann bitte schreiben.

Danke MfG Alex

#15

Zitat

Weiterhin hab ich rausgefunden, das man also immer auf diese Seite weitergeleitet wird: http://polizeibedarf.de/

Das war das Stichwort und es ist mir wieder eingefallen! Habe mir Deinen ganzen Thread daraufhin noch einmal durchgelesen und festgestellt, dass Du ja noch gar keinen Scan mit AdAware und Spybot S&D gemacht hast! Bei dem Thread http://board.protecus.de/t15003.htm hat das nämlich funktioniert und die Umleitung nach dummy.org und polizeibedarf.de war verschwunden.

Lade folgende Programme herunter und update sie

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch und lösche alle gefundenen kritischen Objekte.

Poste die jeweiligen Logs plus HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch