Auslandsdialer? Einwahl 008821388XXXX oder mit 0

Einfragender

Frisch registriert
:( Etwa alle halbe Stunde versucht sich ein Einwahlprogramm über die o.g. Nummern einzuwählen - wohl vergeblich. Unter "Netzwerkverbindungen" erscheint als Verbindungsname "all", als angewählte Nummer wird lediglich die "0" angegeben. Nach zwei Versuchen verschwindet diese Verbindung wie von Geisterhand. Nachsuche auf Malware über Spybot oder a²free ergibt nix auswertbares, obwohl ja irgendwas manipuliert sein muß.

Ist wohl nicht schädlich, aber es nervt, jedesmal wieder die alte Verbindung aufbauen zu müssen.

Habe inzwischen den 190 Warner von Herrn Boer installiert, der auch trefflich warnt - leider erst, wenn Verbindung unterbrochen.

Hat wer Erfahrung mit dem Ding? Wie bekommt man es weg? Auch eine Systemwiederherstellung brachte keine Veränderung.

Oder droht doch Gefahr?

PS: Das erste mal ist es nach Aufruf einer niederländischen Seite .Mokkels.nl aufgetreten :oops:
 

Stalker2002

Frisch registriert
Anonymous schrieb:
Du kannst das ja bei BSI melden:
http://www.bsi.de/dialer/warnung/emsat-info.htm

Da steht auch was über "echte" und "falsche" Emsat-Nummern:
00-88213-xx-yyy-z

xx: 00, 10, 20, 30, 41, 46, 58, 60, 85, 86
yyy: 000, 001,002, ...., 998, 999
z: 1, 2, 3

Da "dein" xx 88 ist, ist's schon mal keine emsat-Nummer, oder?
Doch, ist Emsat/Telespazio.
numberingplans

Sehr praktisch, diese Seite, wenn es um das aufdröseln solcher Nummern geht.

MfG
L.
 
A

Anonymous

Das widerspricht dem BSI
bsi schrieb:
Vorwahl 0088213 - EMSAT-Satellit oder Dialer-Trick?

Die Vorwahl-Nummer "0088213" ist eigentlich für Verbindungen zum EMSAT-Satelliten vorgesehen. Es besteht jedoch mittlerweile der Verdacht, dass viele diese Satelliten-Rufnummern in Wirklichkeit im Festnetz geschaltet sind und nur als Ersatz für teure 0190-Rufnummern dienen.
Dies wird auch belegt durch eine Information des EMSAT-Satellitenbetreibers Eutelsat vom 18.04.2004 (war einige Zeit im Internet-Auftritt von Eutelsat).
(Englische Original-Information und nicht amtliche deutsche Übersetzung )
In dieser Information wird darauf hingewiesen, dass die eigentlichen EMSAT-Nummern einem bestimmten Schema unterliegen, wenn es sich tatsächlich um eine Satelliten-Nummer handelt. In allen übrigen Fällen ist die Nummer von der italienischen Telefongesellschaft Telespazio angemietet worden, die sie ihrerseits wieder untervermietet hat.
Die Verbindung zum EMSAT-Satelliten erfolgt nur, wenn die Rufnummer wie folgt aufgebaut ist:
00-88213-xx-yyy-z
xx: 00, 10, 20, 30, 41, 46, 58, 60, 85, 86
yyy: 000, 001,002, ...., 998, 999
z: 1, 2, 3
Die Nummer 00-88213-88-129-0 ist daher keine EMSAT-Nummer, weil xx=88 und z=0. Diese Nummer gehört daher höchstwahrscheinlich zu einem Dialer.
Erstellt: 26.07.2004
irgendwo hier wird das auch debattiert.
 

Captain Picard

Commander
http://www.bsi.de/dialer/warnung/eutelsat-de.htm
Eutelsat schrieb:
Wie können Sie sich zur Wehr setzen?
Wenn Sie weitere Nachforschungen anstellen wollen, empfehlen wir Ihnen, sich erneut mit Ihrer Telefongesellschaft in Verbindung zu setzen oder mit folgenden Personen Kontakt aufzunehmen:
Telecom Italia : Herr L. R.
Carrier manager, International Operations
Viale del Campo Boario, 56/D
00153 Rome - Italien
Telespazio : Herr M. oder Herr de V.
965 Via Tiburtina
00156 Rom - Italien
Witzbolde.....

cp
 

Einfragender

Frisch registriert
Weitere Ergebnisse

Der 0190-Warner hat jetzt eine Datei "Shell Ext/check.EXE" unter C/Windows/System32 erkannt und zum Isolieren bzw. Löschen geraten.
Aber trotz Unschädlichmachen war sie am nächsten Tag wieder da.

Habe dann in der Autostartdatei nachgesehen und dort Eintragungen gefunfen, die mir nichts sagen, z.B. Svchost.exe. Dat Ding is mir doch in diesem Forum schon mal in Verbindung mit Dialern begegnet???

Werde mal die Suchfunktion befragen.

Wenn Telespazio Nummern weitervermietet, lohnt sich die Verbindungsaufnahme?

Bleibe am Ball
 

Einfragender

Frisch registriert
weiter neues

In dem Zusammenhang wurde auch ein Programm d_2.EXE unter demselben Pfad aktiv, aber nun nix mehr mit Emsat - Nummer, sondern ne 090090000928. Da gibts ja auch schon Erfahrungen hier im Forum. Wie das wohl alles zusammenhängt?
 

Aka-Aka

Chaostheoretiker
bitte versuche, möglichst viele der Dateien irgendwie zu sichern (zB umbenannt in d_2.vir oder so). Manchmal sind interessante Infos drin enthalten. 090090000928 war ein in meinen Augen höchst interessanter Dialer, leider weiß ich nicht, ob da jemals weitere Ermittlungen geführt wurden. Ich habe hier einen d**.exe-Dialer mit Hinweisen auf deutsche Firmen, der wählt aber 010330067... (glaub ich).
 

johinos

Mitglied
Viele Dateien sichern ist schön und gut, beweisen geht damit meistens nur so viel, wie problemlos zugegeben werden kann.

Unangenehm wird es doch erst dann, wenn nicht nur die Existenz bestimmter Dateien, sondern auch der genaue Ablauf zweifelsfrei bewiesen werden kann. Und das geht nur, wenn eine komplette Datensicherung vorhanden ist, also: Festplatte spiegeln. Dann erst anfangen, bestimmte Dateien zu suchen und zu sichern.
 

TSCoreNinja

Mitglied
@Einfragender

Die d_2.exe/0900-90000928 wurde von einer Life and Art Consulting aus Bingen betrieben, die Rufnummern/Dialerkombi duerfte eigentlich zur Zeit gar nicht mehr sinnvoll sein. Dies alles gehoerte zu einem Dialerbetreiber, der sich u.a "DialerConnection" nannte, und auch einige Auslands/satellitennummern im Angebot hatte. Mit einem String "premium-call.de" im Dialer, Aehnlichkeiten zur gleichnamigen einschlaegig bekannten deutschen Firma sind natuerlich rein zufaellig...
Mehr dazu in diesem alten Posting von mir:
http://forum.computerbetrug.de/viewtopic.php?p=54692&highlight=life+art+bingen+premium#54692

Was interessant ist: die alten Downloads sind tot. Hast Du Dir das neu eingefangen? Wenn ja, wuerde mich interessieren, woher. Kannst Du mal ein HijackThis Log anfertigen, und als Attachment anhaengen (oder mir als PN zuschicken)?
Gr,
TSCN
 

TSCoreNinja

Mitglied
So, bin das mal durchgegangen.

Kann jemand sonst evt noch mal drueberschauen, ob ich Unfug erzaehle? BTW, ich hab bei einigem geschrieben, dass ich nicht sicher bin. http://www.virustotal.com scannt Dateien auf Viren und benutzt gleichzeitig etliche bekannte Programme, ist evt. zur Ueberpruefung der unsicheren Dateien geeignet. Ansonsten mal die Eigenschaften anschauen, und feststellen, ob von Microsoft... Ausserdem muss der Rechner im abgesicherten Modus gestartet werden. BTW, da ist ziemlich viel Muell drin, unbedingt ein Update von Windows machen, oder evt. ueber eine Neuinstallation nachdenken.

Ist glaube ich von NVidea, daher nicht boese:
C:\WINDOWS\System32\nvsvc32.exe

AOL Program,http://www.liutilities.com/products/wintaskspro/processlibrary/wanmpsvc/ ? Keine Ahnung...
C:\WINDOWS\wanmpsvc.exe

Vermutlich Virus, bin mir aber nicht ganz sicher, gibt auch ein Soundkarten-Programm
siehe http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101090
C:\WINDOWS\SOUNDMAN.EXE


Die folgenden fixen, das gehoert zu einem Browser Hijacker:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://my-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://my-find.com/sp.htm
R3 - Default URLSearchHook is missing

Meines Erachtens sind die folgenden beide Spyware, siehe
http://www.spyany.com/program/article_ad_rm_Global_Finder.html
und
http://securityresponse.symantec.com/avcenter/venc/data/adware.searchcounter.html
F1 - win.ini: run=fntldr.exe msinfo.exe


Malware, siehe http://www.lurhq.com/submithook.html gibt wohl eine Uninstall Moeglichkeit (nachschauen unter Systemsteuerung->Software, obs da entfernt werden kann)
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll

Weiss nicht sicher, mal auf Virus scannen:
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\michael.INES\Anwendungsdaten\sysmq\mssearch.dll

Ist glaube ich von Microsoft, bin mir aber nicht sicher:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx


Fixen, :
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install

Taucht nur in Zusammenhang mit hotxxx Dialer auf, daher fixen:
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\msocfg.exe /i


Google sagt hier Virus,
siehe http://www.windowsstartup.com/wso/browse.php?l=14&start=50&end=75
also Fixen
C:\WINDOWS\System32\NETAPI.EXE
O4 - HKLM\..\Run: [NETAPI] C:\WINDOWS\System32\NETAPI.EXE


Alte Ueberbleibsel? Im Zweifelfall loeschen...
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de

Fixen:
O16 - DPF: {22998D24-B789-4CA2-A7FC-CD7CE7DEB100} - h**p://64.239.87.168/toolbar/seek99.cab

Keine Ahnung, ob dies bewusst genutzt wird, und was dies tut.... Im Zweifel fixen, wenn man nicht weiss, was es ist, fehlts einem auch nicht... :
O16 - DPF: {2C52AF58-B9B1-11D5-9DF6-00508B755B44} (AXClientUtil2 Control) - h**p://www.smartforce.com/v2.1/applications/liveplay/Activex/AXClientUtil.cab
 
A

Anonymous

008821388... Dialer

Ja, das hatte ich auch
eine bestehende T-Online-Verbindung (ISDN) wurde beendet und mehrfach versucht, auf 0088213881122x, also mit wechselnden Nummern versucht heimlich wieder neu einzuwählen. Der 0190-Warner hat das erkennt und hoffentlich rechtzeitig abgebrochen.

Nur war die Check.EXE schon wieder vom angegebenen Ort verschwunden, bevor 0190-Warner was löschen konnte.
Spybot, und AdAware haben nix gefunden.
Selbst der Wechsel von IE auf Mozilla hat nix gebracht. Der Effekt tritt immer noch auf.
Hat jemand ne Idee, wie man den wegbekommt.

Ich bin mir nicht sicher, aber er könnte durch dummes Einschalten von active-X im IE reingekommen sein.


Mic
 
A

Anonymous

Bin ja fast berhuigt dass es noch mehr Leute gibt die sich die Nächte mit so nem Mist um die Ohren schlagen müssen.
In der Autostartdatei gibt es zwar einige Einträge die ich jetzt deaktiviert habe, wie genau ich den jetzt runterbekomme ist mir aber immer noch nicht klar.
Die Datei von der aus der Dialer starten will ist c:windows/system/shell/check.exe
Geht man auf den betreffende Ordner sieht man einen leeren Ordner der nach dem löschen sofort wieder erstellt wird.
Ist es von dort aus möglich den Ursprung des Ordners zu ermitteln umd das Ding dann dauerhaft zu entfernen ?
 
A

Anonymous

Dialer 008821 3 88 2225

Habe das gleiche Problem und eigentlich gehören die Verursacher weggeschlossen.

Zu den Fakten: check.exe wurde per Process Viewer gefunden.
Die Anwendung taucht nach ca. 15 Minuten auf und mein Smart Surfer
kappt die angebliche 0190 Einwahl. Somit erst mal Schluss mit Surfen.

Das Programm 0190 WARNER 4.03 listet die geplante Rufnummer auf.
---0088213882227---.
Über START / SUCHEN werden 2 Dateien gefunden
C/Windows/System32/ShellExt/check.exe
C/Windows/Prefetch/check.exe-1FC92DEA pf Datei

Die kann man ruhig löschen, denn bei der nächsten Surf-Runde sind sie dann alle wieder da.
Und nun der Oberhammer: Die letzte Ziffer der Einwahlnummer ändert sich fröhlich. Statt der 7 dann die 5, dann die 6 und nun mal sehen was danach kommt.
Trotzdem reicht es mir nun gehörig. Das Teil muss raus, fragt sich nur wie.
 
A

Anonymous

Ich bins nochmal...

Gestern hat Stinger die
c:\windows\msexploren.exe als mit BackDoor-CGZ infiziert gemeldet

dieser Trojaner ist seit 15.9.04 bekannt. Die Datei ließ sich nicht säubern. Meine Freundin wollte schon Doxycyclin ins Diskettenlaufwerk geben, weil das gegen viröse Infekte wirkt.

Ich habe die Datei dann doch gelöscht und noch keine Nachteile entdeckt. Der Rechner hat nicht mehr auf diese teure Nummer umgewählt.

Sollte es das gewesen sein?

Vielleicht hilft euchb das weiter.
Trotzdem bin ich für Infos dankbar.

Kennt jemand die Detei msexploren.exe?

Gruß
Mic
 
Oben