# Hilfe. Dialer wählte sich ein !



## Sirathon (17 Juli 2005)

Hallo an alle !

Ich habe A-DSL.
War gestern im Internet und wurde dann auf einmal von AOL rausgeworfen und unten in der Taskleiste entstand ein neues Symbol. Als ich daraufklickte sah ich,daß sich ein Dialer eingewählt hatte und die Verbindung bereits 48 Sek. bestand - habe die Verbindung dann gekappt.
Der Dialer befindet sich jetzt bei meinen Internetverbindungen neben AOL unter "direkt". Das Dialerprogramm heißt übrigens SIXA .
Wie konnte das trotz DSL passieren ? Habe zwar ein internes Modem,es aber nie angeschlossen.
Kann er sich vielleicht über eine LAN Verbindung eingewählt haben ? (Kenne mich da überhaupt nicht aus).
Hat vielleicht jemand eine Idee oder kann helfen ?
Wäre sehr dankbar !


----------



## Dino (17 Juli 2005)

Grundsätzlich wäre eine Einwahl nicht möglich. DSL ist und bleibt nun mal eine Netzwerk- und keine Wählverbindung. Und Du hast Dein Modem definitv abgeklemmt? Wie, bitteschön, ist Dein Rechner ans Internet angeschlossen? Netzwerk- oder USB-Kabel? Ist eine TK-Anlage an den Rechner angeschlossen, die mit dessen Hilfe konfiguriert wird? 
Auch noch eine Idee: Hängt da vielleicht ganz verträumt, aber komplett installiert ein Drucker-Scanner-FAX-Kombi am Rechner, der wiederum eine Verbindung mit der TAE-Dose hat, damit er eben faxen kann?


----------



## Aka-Aka (17 Juli 2005)

@sira

falls Du Dinos Beitrag gelesen hast, bist Du der Antwort auf die Frage näher, ob sich das Ding einwählen konnte... Da Du hier angemeldet bist... Kannst Du bitte mal bei www.hijackthis.de vorbei schauen, Dir dieses wundervolle Programm (Hijack THis) besorgen, damit eine log-Datei erstellen und diese mir per PN senden? Ist nicht ultrawichtig, nur wenn's keine bis wenig Umstände macht
Danke
(wie kommst du darauf, dass das Dialerprogramm SIXA heisst? Was ist das für eine Verbindung "direkt"? Findet ein Virenprogramm einen Dialer (Antivir unter www.free-av.de ). Kannst du dich erinnern, wie das icon ausgesehen hat?)


----------



## Captain Picard (17 Juli 2005)

http://www.trojaner-board.de/showthread.php?t=19125


> ausserdem kommt ab und zu ein einwahlprogramm, im fenster steht dann "verbinden mit sixa"
> da ich aber dsl flat hab kann er sich nich einwählen aber während er es versucht ist mein PC sowas von lahm....



cp


----------



## Sirathon (17 Juli 2005)

Ja,Captain Picard,das habe ich auch schon gelesen. Bei mir wars leider anders. Wie schon erwähnt,schmiss mich AOL raus und der Dialer war dann 48 Sekunden verbunden.

Zu den anderen Fragen. Nein,habe kein Faxgerät angeschlossen.

Leider kann ich das,was ich auf dem Monitor sehe hier nicht ablichten.

Wenn ich zu meinen Netzwerkverbindungen gehe steht da folgendes :


Direkt
--------

AOL                SIXA                  


LAN oder Hochgeschwindigkeitsinternet
----------------------------------------------

Bluetooth Network           Lanverbindung 7


Netzwerkbrücke
-------------------

LAN-Verbindung    1394-Verbindung     Netzwerkbrücke



Ich kann wenn ich bei SIXA auf Eigenschaften gehe folgendes wichtiges sehen :

Da steht unter allgemein : Gerät auswählen : WAN Miniport (ATW) (IRDA13-0)

Unter Netzwerk steht : Typ des anzurufenden Einwahlservers : PPP:Windows95/98/NT4/2000,Internet

Diese Verbindung verwendet folgende Elemente : Internetprotokell (TCP/IP) , QoS-Paketplaner , Datei und Druckerfreigabe für Microsoft-Netzwerke , Client für Microsoft-Netzwerke.


@ Aka-Aka : Würde deinen Vorschlag annehmen,weiß aber nicht wasdas bringt (bin nicht der 5Sterne-Fachmann


----------



## Aka-Aka (17 Juli 2005)

@cp
in dem Trojanerboard-Beitrag postet einer ein Hijackthis-File. In diesem steht ein Eintrag mit einem download von einem EGWN-Server (E-Group)(downl***v3.com). Ich hatte "Sixa" auch, aber bei meinem Konsum an giftigen Fischen ist das leider nicht mehr rekonstruierbar...
Deshalb bat ich sira um ein hijackthis-file. Is aber nicht soooo wichtig...

@sira:
mach mal bitte strg+alt+entf und kuck unter "Prozesse" ob da dieser Prozess aktiv ist
[C:\WINDOWS\system32\]RUNDLL32.EXE



			
				Sirathon schrieb:
			
		

> Leider kann ich das,was ich auf dem Monitor sehe hier nicht ablichten.


"print screen" drücken und in eine Bildbearbeitung einfügen, wenn Du's mal brauchst


----------



## Dino (17 Juli 2005)

Aka-Aka schrieb:
			
		

> "...print screen" drücken...


Kann auch "Druck S-Abf" draufstehen.


----------



## Counselor (17 Juli 2005)

Wegen des WAN Miniports am IrDA:

Gibt es eine ISDN Karte? Was ist an der Infrarotschnittstelle angeschlossen?


----------



## Sirathon (18 Juli 2005)

@ Aka-Aka : Ja.ist aktiv.

@Counselor : Nein,ein integriertes Modem gibt es (ist aber nicht angeschlossen.


Eine Frage an alle : Ich habe von meinem Provider mal testen lassen,durch welche Verbindungen ich ins Internet gehen kann.
Zum einem mit dem integriertem Moden (kein Problem,da es nicht angeschlossen war und ist,kann sich da nichts einwählen).
Dann über DSL (nutze ich ja)
Und üner TCP/IP LAN oder ISP (habe mal versuct damit eine Verbindung zu meinem Provider herzustellen,geht aber nicht - weiß auch nicht was das für eine Verbindungsart ist und dachte zuerst,daß sich der Dialer vielleicht darüber eingewählt hat. - Wäre die einzige Möglichkeit oder nicht ?! )
ALso,alles was ich weiß,ist das der Dialer,wie schon erwähnt für ein paar Sekunden mit dem Internet verbunden war,obwohl es über DSL garnicht möglich ist,daß höre ich immer wieder.
Ich habe ein paar Ausländische Seiten übr google gefunden (ua. eine niderländisch,der hatte den gleichen Dialer er DSL benutzt - und das wurde über die Telefonrechnung abgebucht).
Ich habe versucht bei der Telekom an meine aktuellen Rechnungsdaten zu kommen,mir wurde aber gesagt,daß dies nicht möglich sei und ich auf die nächste Abrechnung warten muß (fast 4 Wochen - und die können lang werden).


----------



## Dino (18 Juli 2005)

Irgendwie habe ich das Gefühl, dass meine Frage nach einer TK-Anlage oder einem Terminal-Adapter, die/der über USB an den Rechner angeschlossen ist, noch nicht beachtet wurde. Internes Modem hin oder her. Wenn es abgeklemmt ist, geht nix! Es sei denn, wir finden irgendwo ein anderes Modem (ISDN/Analog) und das möglicherweise genau da, worauf meine Frage ausgerichtet ist.
Was für ein DSL-Modem hast Du? TK-Anlage mit integriertem DSL-Modem, angeschlossen über USB? Evtl. mit einem Modem, das hilfsweise mal zum Tragen kommen kann, wenn's beim DSL hakt (Fallback)?
Oder ist es wirklich eine Standard-DSL-Konfiguration (Rechner>Netzwerkkarte>DSL-Modem>Splitter>Rest der Welt)?

Will sagen: Ich möchte das *genaue* hardwareseitige Umfeld Deines Rechners wissen. Was kommt hinten raus und an welches Gerät führt das?
Irgendeine Funkverbindung?


----------



## Sirathon (18 Juli 2005)

@ Dino.

An meinem PC ist lediglich der Drucker angeschlossen (hat keine Faxfunktion o.ä.).
Das DSL-Modem ist das Acer ADSL Surf Modem und an einem Splitter angeschlossen (so wie es sich gehört   )
Ich besitze sonst kein analoges Modem.


@ alle  

Ich bin wirklich ratlos,wie diese Verbindung zustande kommen konnte.
Mir ist noch eingefallen bzw. ich hatte vergessen zu erwähnen,daß ich außer den 48 SEK. die der Dailer eingeloggt war,auch gesehen habe,daß er irgendwelche Daten auf meinen Comupter geladen hat o.ä.
Ich hae mal ein bischen in verschiedenen Foren gesucht und gelesen daß es passieren kann,daß der Dialer die aktuelle Verbindung kappt und sich einwählt,aber nicht unter DSL.

Ich kann auch per "Print Screen" ein Abbild des Bildschirms machen und es schicken,damit man genaueren Enblick zu verschiedenen sachen hat und somit etwas herausfinden bzw. überprüfen kann.


----------



## Aka-Aka (18 Juli 2005)

Sirathon schrieb:
			
		

> Ich bin wirklich ratlos,wie diese Verbindung zustande kommen konnte.


Keine Panik... DSL KANN NICHT DIALEN - und was auch immer gedialt haben will - keep cool...
Danke für den rundll32-Hinweis

Noch einmal: weisst du definitiv die "Dialerdatei"?
Poste doch mal so 'nen screenshot, wenn du willst per pn


----------



## dvill (18 Juli 2005)

Wenn es geht, wäre ein Blick in die Systemsteuerung -> Verwaltung -> Ereignisanzeige hilfreich. DFÜ-Einwahlen ("RemoteAccess") sollten dort verzeichnet sein.

Dietmar Vill


----------



## Dino (18 Juli 2005)

Also irgendwie ist es gut, dass Du mich nicht sehen kannst, denn im Moment gucke ich mindestens genauso dämlich aus der Wäsche wie mein Avatar-Hase. Aber sei es drum. Was fällt mir noch ein? Einfach mal so aus dem Bauch heraus:
Kann es sein, dass dieses SIXA zu AOL gehört? Will sagen, eigentlich gar kein Dialer im Sinne des Wortes ist, sondern eine Software zum Herstellen und Trennen der DSL-Verbindung? Was sagen denn hier anwesende AOLler mit Durchblick dazu?
Eine andere Variante dieser Idee wäre die Software des DSL-Modems. Acer-ADSL-Surf-User hier?

Vielleicht noch eine Idee: Das interne, aber nicht angeschlossene Analog-Modem - ist es treibermäßig installiert? Sind seine Einstellungen vielleicht in der Art, dass es nicht auf ein Freizeichen warten soll?

Langer Rede kurzer Sinn: Keine entsprechende Hardware = keine Einwahl = keine Kosten.


----------



## Sirathon (18 Juli 2005)

Hier erstmal ein Abbild meiner Netzwerkverbindungen.

@dvill Deine Anfrage,werde ich entweder nachher oder morgen ins Forum stellen.


----------



## Sirathon (18 Juli 2005)

So,hier die Anfrage von dvill. Ja,die Verbidnung wurde als hergestellt. Was ist daraus zu sehen ?


----------



## dvill (18 Juli 2005)

Das spricht für eine Infrarot-Verbindung. Haben der Rechner und das Handy einen Infrarot-Anschluss?

Dietmar Vill


----------



## Anonymous (18 Juli 2005)

Dino schrieb:
			
		

> Kann es sein, dass dieses SIXA zu AOL gehört?


nein, Dino, definitiv... MIr Idiot fällt nur nicht mehr ein, bei welchem dialer dieses SIXA auftaucht. Es klingelt noch nicht... aber was sira gepostet hat (Systemmeldung), gibt mir Recht, nicht der Dialer hieß SIXA, sondern die Verbindung. Ein sehr sehr schräger Dialer, der mir neulich untergekommen ist, klotzte mir auch so eine SIXA-Verbindung rein und eine andere. Auch vier Buchstaben...
 Fragnichtwarum - obwohl ich sonst jeden österreichischen Pups in drittklassigen GRiaslerforum dokumentiere - das hab ich nicht... ich kriegs ums Verrecken nicht mehr hin... 

dieses rundll32 ist interessant, der Mann soll seine Autostartdatei offenbar - oder endlich ein hijackthis-log *fleh*
ich wette, der unheilvolle Gesell sitzt in einer kaum auffindbaren c:\windows\system32\*.exe - fast spurlos und schwer löschbar.
Aber ich bin ja nur der Forenchaot 
aka


----------



## Sirathon (18 Juli 2005)

Also ich hatte mal ein Handy mit Bluetooth und Infrarot. Konnte aber Dateien nicht per Infrarot auf meinen PC ziehen,also nur mit Bluetooth.
Bin ansonsten ratlos.

Ja,werde morgen hijackthis machen.


----------



## dvill (18 Juli 2005)

Rein technisch gesehen könnte dies ablaufen: Ein Rechner mit Infrarot-Anschluss kann mit einem Handy, welches Infrarot aktiviert und ein Modem eingebaut hat, eine Wählverbindung herstellen.

Dietmar Vill


----------



## Sirathon (18 Juli 2005)

Also ich habe eben meinen Provider angerufen. Der Techniker sagte mir,was IRDA ist und damit eine Verbindung bestand,die aber keine Kosten verursacht haben kann. Zumahl es ja nicht über Telefonleitung o.ä. lief. Kann das jetzt schlecht wiedergeben aber er meinte das es definitiv keine Kosten verursacht haben kann. Der Dialer hat sich einfach IRDA als Möglichkeit genommen,weil es über DSL nicht ging.
Das mit den Kosten hört sich gut an und werde das Gerät jetzt deaktivieren,kann ich mir eurer Meinung nahezu sicher sein,was die Kosten betrifft ?


----------



## Sirathon (18 Juli 2005)

Also bis morgen und Danke bis hierhin,für alles.


----------



## Anonymous (19 Juli 2005)

http://castlecops.com/postlite116114-sixa.html


> A friend of me has a problem with a dial-up connection to internet. After a few minutes it is interrupted and a new connection with the name SIXA is created and dialed. I also see a file xyz.exe being created and launched as a process in Task Manager.
> Then the browser automatically visits a url with following IP address: 64.156.31.59





> Just for your information: this dialer seems to be located in Belgium only and dialing very expensive 0905 numbers. The phone bill of 1 month has been increased with 300%, all because of this dialer.


----------



## Counselor (19 Juli 2005)

Sirathon schrieb:
			
		

> Also ich habe eben meinen Provider angerufen. Der Techniker sagte mir,was IRDA ist und damit eine Verbindung bestand,die aber keine Kosten verursacht haben kann.


Deswegen meine Frage weiter oben nach dem Infrarot Anschluß, die leider zunächst unbeantwortet blieb. Wenn kein Handy angeschlossen war, dann sind sicher keine Kosten entstanden. Wenn allerdings ein GSM-fähiges Handy angeschlossen war, dann können schon Kosten entstehen.


----------



## dvill (19 Juli 2005)

Sirathon schrieb:
			
		

> Also ich habe eben meinen Provider angerufen. Der Techniker sagte mir,was IRDA ist und damit eine Verbindung bestand,die aber keine Kosten verursacht haben kann.


Das verstehe ich nicht.

Wenn es eine manipulierte Einwahl gibt, kennt man "Provider" dieser Schurkeneinwahl nicht. Da kann man nicht anrufen, bis man überhaupt weiß, wer der Verursacher ist.

Die Meldung im Ereignisprotokoll ist eigentlich eindeutig. Ich wüsste nicht, wie der Eintrag manipuliert werden könnte. Ich gehe davon aus, dass der PC per IRDA ein Modem findet und damit irgendwo einwählen kann. Die Verbindungen bestehen teilweise über ca. 15 Minuten.

Das Modem müsste unter "Systemsteuerung" -> "Telefon- und Modemoptionen" als Modem gelistet sein.

Die Einwahl muss nicht nur hohe Telefonrechnungen zum Ziel haben, es könnten auch PIN- und TAN-Nummern gestohlen werden oder ähnliches.

Es gibt also 2 Probleme: Erst das Modem finden und sicher ausschalten, dann feststellen, ob nicht etwa Daten gestohlen wurden.

Dietmar Vill


----------



## Aka-Aka (19 Juli 2005)

Anonymous schrieb:
			
		

> http://castlecops.com/postlite116114-sixa.html
> 
> 
> > A friend of me has a problem with a dial-up connection to internet. After a few minutes it is interrupted and a new connection with the name SIXA is created and dialed. I also see a file xyz.exe being created and launched as a process in Task Manager.
> ...


Danke, ich hatte diesen Beitrag auch überflogen, aber die IP nicht registriert... wenn man die IP "eins weiter" abfragt, landet man bei der Dialerfirma CRONTEL, zwei weiter ebenfalls bei einer Firma NGD Systems mit der gleichen Adresse in Tortola (Beaufort House)

Zur Crontel gibt es jede Menge zu sagen, NGD Systems scheint neuer zu sein, in der Dialerbeschreibung steht aber ebenfalls der bekannte "membersplayground". *ich bin nicht zu Hause und kann daher nicht beurteilen, was auf der Seite geboten ist, bitte nicht einfach mal dort vorbei schauen!*
Beziehungen zu dieser ominösen Seite gab es auch schon bei anderen Fällen, wie z.B.
http://forum.computerbetrug.de/viewtopic.php?t=7132
auch zu crontel wird man hier im Forum fündig, da waren fürmich mal Fragen offen...
http://forum.computerbetrug.de/viewtopic.php?t=9354

ältere Forumsmitglieder werden sich auch noch an diesen Dialer erinnern...

Na, hätte die amerikanische FTC diesen Typen doch ein bisschen heftiger auf die Finger geklopft im Jahre 2002

für Tüftler... der Dialer kommt normalerweise von **.***.**.70 (müsste globaleaccess sein). Ein UK-Dialerlink aus einem Forum (NGD Systems-Diallerliefert dort aktuell eine UK-paybycall-Nummer, gebe ich als Herkunft Deutschland an, soll ich die
09005550020 (dtms)
anrufen
für schweiz 0906600664 (atms, Tochter der dtms)

dtms, die sind nicht bös
machen ihr Geschäft seriös
*narhallamarsch*


----------



## technofreak (19 Juli 2005)

Sirathon schrieb:
			
		

> War gestern im Internet und wurde dann auf einmal von AOL rausgeworfen und unten in der Taskleiste entstand ein neues Symbol.!


von ganz alleine wird das ja wohl nicht passiert sein. Wesentlich wäre, auf welcher Site das passiert ist.
Falls bekannt, bitte Info per PN 


			
				emeel schrieb:
			
		

> Just for your information: this dialer seems to be located in Belgium only and dialing very expensive 0905 numbers.


Falls es eine  belgische "Minderwertnummer" wäre, wäre das weniger tragisch, da diese in Deutschland ungültig sind 

tf


----------



## Aka-Aka (19 Juli 2005)

technofreak schrieb:
			
		

> von ganz alleine wird das ja wohl nicht passiert sein. Wesentlich wäre, auf welcher Site das passiert ist.
> Falls bekannt, bitte Info per PN
> tf


...an mich auch... aber diese Dialer gab und gibt es (wie übrigens auch das Beispiel aus dem UK-Forum) auch auf gamesp***gr**** - einer harmlosen Spieleseite... ändere ich dort DSL in ISDN, lande ich auf einer Pornoeinwahlseite mit Versteckwhois und NS von Crontel.


----------



## Reducal (19 Juli 2005)

Aka-Aka schrieb:
			
		

> ältere Forumsmitglieder werden sich auch noch an diesen Dialer erinnern...


...der in dem Link als Registrierungsverantwortlicher genannte M.P. ist (angeblich) ein reiner _Vertriebler_. Da trifft es sich prima, wenn man eng mit (deutschstämmigen) schweizer Firmen kooperiert, in denen es nur so "nagelt" und von denen man gleichermßan davon ausgehen kann, dass sie Crosskirk´s neues Gesicht am Markt vertreten! 

@ Aka, beziehe diese Überlegungen ruhig in Deine Recherchen mit ein, mir bringen die Informationen eines anderen _Vertrieblers_ nichts.



			
				Aka-Aka schrieb:
			
		

> Beziehungen zu dieser ominösen Seite gab es auch schon bei anderen Fällen, wie z.B.
> http://forum.computerbetrug.de/viewtopic.php?t=7132
> auch zu crontel wird man hier im Forum fündig, da waren fürmich mal Fragen offen...
> http://forum.computerbetrug.de/viewtopic.php?t=9354


----------



## Sirathon (19 Juli 2005)

Habe da etwas gefunden.
Mir ist immer noch unschlüssig,wie eine Verbindung stattfinden konnte- Über das Gerät IRDA 13-0,daß ich nicht in meinem Gerätemanager gefunden habe.
Mir wird zwar immer gesagt,daß so keine Kosten entstanden sein können aber das kann ich mir schwer vorstellen. Bringt nichts,muß die Telefonrechnung abwarten (gute 4 Wochen - habe die letzte nämlich erst am Freitag bekommen).

Auf die Frage,auf welcher Seite ich war : Also ich weiß nicht,wo ich mir den eingefangen habe. Ich schrieb gerade eine E-Mail,als AOL beendet wurde.

Jetzt kommt immer nach kurzer Zeit (nach dem Hochfahren des PC's eine Meldung : Confirm : This call is not for free. It is a premium rate number. It is international cost. (irgendwie so). Da unter dann Ja oder Nein
Ich stelle mir vor,daß ich,als diese Meldung das erste mal kam und ich gerade einen Text geschrieben habe,damit der Dailer aktiv wurde (versteht ihr was ich meine ?) Könnte so gewesen sein.


----------



## Aka-Aka (19 Juli 2005)

Das ist die dfü-Verbindung, nicht der Dialer...
Den Dialer (oder einen derartigen Dialer) habe ich gerade aktuell an mir vorbei fliegen sehen, aber bei meinen beiden screenvideorecorder ist die Testzeit abgelaufen


----------



## TSCoreNinja (19 Juli 2005)

Aka-Aka schrieb:
			
		

> für Tüftler... der Dialer kommt normalerweise von **.***.**.70 (müsste globaleaccess sein). Ein UK-Dialerlink aus einem Forum (NGD Systems-Diallerliefert dort aktuell eine UK-paybycall-Nummer, gebe ich als Herkunft Deutschland an, soll ich die
> 09005550020 (dtms)
> anrufen
> für schweiz 0906600664 (atms, Tochter der dtms)


@Aka, probier es doch einmal mit Firefox statt IE, oder probier 99 statt 70 als IP. Kommt ein Dialer geflogen... Mit ActiveX von CBIT Solutions Ltd. Namens XFullGames.exe... Ein unbedarfter Klick, dann kommt der Dialog von Sirathon. Noch ein unbedarfter Klick, und schwupps, es gibt eine Verbindung SIXA unter den DFÜ Verbindungen. Was wohl im Modemlog steht... And the winner is: 

```
Senden: ATDT###########<cr>
Empfangen: ATDT01805579944<cr>
...
Senden: ATDT###########<cr>
Empfangen: ATDT00236711102<cr>
```
Geographisch haben die wohl einen ziemlichen Hau, 01805 und international. Wird wohl derzeit mit ziemlich kleinen Brötchen gebacken, dass die ihren ach so dollen Premium-Content zu nur 12cent/min verkaufen... Game over auf dem SpieleSpielplatz? Gibts ein Verzeichnis, an wen die 01805 Nummern vergeben sind? 
TSCN


----------



## Sirathon (19 Juli 2005)

Was mir hier noch Sorgen macht. Es "wählt" sich bei mir vielleicht noch etwas ein,wenn ich online gehe. Während des Einwählens erscheint bei meinen Netwerkverbindungen neben den Symloben AOL  SIXA auch The Internet (1) ,dieses letzte Symbol verschwindet nach der Einwahl zu AOL wieder.
Unter Verwendung des Geräts IRDA 13-1 - wenn ich wüßte was das ist und wa sda passiert und wie es dadurch vielleicht auch zu Kosten kommen kann.


----------



## Anonymous (19 Juli 2005)

@tscn: ich hab doch gesagt, dass ich nicht zu Hause war... auf gamesplaygr* kann man auch spielen mit dem dingens... ich wollte es gerade 10x auf den desktop speichern, landete aber immer nur im temp-Ordner... So hätte ich etwas länger gebraucht als Du... Bin kein Technikgenie (wie Du)
Dafür habe ich den Müll, wie Du evtl. auch, ja auch schon länger. Manchen muss man nur lange genug auf die Finger schauen, bis der nächste Zuckerer kommt. Die sind fast schon krankhaft kriminell und MÜSSEN so was machen. Die deutschen Behörden gehen mit diesen armen Leuten ja auch um, als wären es arme kleine Psychos, die man zur Erlebnispädagogik nach Gran Canaria schickt...


----------



## Aka-Aka (19 Juli 2005)

ich war das... und kann nun leider nicht mehr "Gran Canaria" durch "San Bartholome de Tirana" ersetzen oder "Santa POnsa"

apropos cbit solutions...


			
				cbit soft schrieb:
			
		

> We have recently received many complaints about adware/spyware type software apparently hijacking peoples computers all over the world. This software refers to CBIT Solutions Ltd as the party responsible for its supply and installation and the people concerned have been mistakenly contacting us asking us to remove it. We would like to point out that neither this software, nor CBIT Solutions Ltd, is anything to do with CBitSoft Ltd and we are therefore unable to assist in this problem.




Dass die "passende" Firma die Adresse hat, die sie hat, darauf hätte ich Haus und Hof verwettet (s.a. whois der Seite, die auf dem Dialerdownload steht. Das is ja bei diesen Firmen immer etwas verwirrend)
Nameserver dazu

Das ist Mr RC's kleiner Beitrag zum deutschen Dialerproblemchen, oder? Oder es ist RC's kleiner Beitrag zum Dialerproblemchen einiger Deutscher???


----------



## TSCoreNinja (19 Juli 2005)

Anonymous schrieb:
			
		

> Dafür habe ich den Müll, wie Du evtl. auch, ja auch schon länger.


Jupp, die Links stehen im Link Forum unter Ellipso Sat Dialer Links  Da ist die 01805 echt ein Segen, richtiges Schnäppchen für die Opfer...


----------



## Aka-Aka (19 Juli 2005)

TSCoreNinja schrieb:
			
		

> Da ist die 01805 echt ein Segen


Dänentaktik? Hatten die das nicht auch?


----------



## Sirathon (20 Juli 2005)

Ich habe unter AOL Systeminformationen ZWEI Adapter gefunden.

Einmal das ADSL Modem und dann : WAN Miniport (ATW).
Das steht auch unter SIXA - Eigenschaften - verwendete Geräte.
Kann er sich über WAN Miniport eingewählt haben ?

Wenn ich online gehe zeigt mir die Netzwerkverbindungen neben AOL und SIXA ein weiteres Programm an,daß aber nach der Einwahl nicht mehr da ist.
Also kann sich der Dailer unter WAN Miniport eingewählt haben ? Wann ja,was dann ?


----------



## Reducal (20 Juli 2005)

Sirathon schrieb:
			
		

> Also kann sich der Dialer unter WAN Miniport eingewählt haben ? Wann ja,was dann ?


Jetzt warte doch erstmal die nächste Telefonrechnung ab, in der Hoffnung, dass da der erforderliche Einzelverbindungsnachweis mit dabei ist. Wenn Du erstmal die angewählte Nummer weißt, lässt´s sich besser über den Fall spekulieren.


----------



## Reducal (20 Juli 2005)

TSCoreNinja schrieb:
			
		

> Gibts ein Verzeichnis, an wen die 01805 Nummern vergeben sind?


Ja > HIER < aber das mag ich nur der Vollständigkeit noch erwähnen stammt.


----------



## Captain Picard (20 Juli 2005)

Reducal schrieb:
			
		

> TSCoreNinja schrieb:
> 
> 
> 
> ...


Das Verzeichnis informiert nur darüber ob eine  Nummer vergeben ist , aber nicht an wen 

cp


----------



## Captain Picard (20 Juli 2005)

TSCoreNinja schrieb:
			
		

> ```
> ....
> Senden: ATDT###########<cr>
> Empfangen: ATDT00236711102<cr>
> ```


unter den "auffälligen" Nummern ist die beim BSI noch nicht in Erscheinung getreten
http://www.bsi.bund.de/dialer/warnung/auslandsrufnummer.htm


> 00-232- Sierra Leone
> 00-239- Sao Tome und Principe
> 00-245- Guinea Bissau
> 00-246- Diego Garcia (Tschagosinseln)
> 00-269- Komoren


Internationale Vorwahlen:


> Land	Vorwahl
> Zentralafrika	00236


Fragt sich wie immer, wie die Knaben an die  Kohle kommen, wenn da nicht jemand 
"Vermittler"  spielt...

cp

PS: Fragt sich auch für welche "Zielgruppe" das gedacht ist , 01805 ist nur für Deutschland "zuständig" 
und exotische Auslandsnummern  werden von der T-Kom auf ungewöhnliche Einwahlhäufigkeit 
überwacht


----------



## Aka-Aka (21 Juli 2005)

Reducal schrieb:
			
		

> davon ausgehen kann, dass sie Crosskirk´s neues Gesicht am Markt vertreten!
> @ Aka, beziehe diese Überlegungen ruhig in Deine Recherchen mit ein, mir bringen die Informationen eines anderen _Vertrieblers_ nichts.


Hallo Reducal.
ich fand noch etwas lustiges... Die paybycall-Nummer von gamesplaygr*.com ist für Österreich die
(0)930 826890 

Dahinter verbirgt sich laut RTR folgende Konstellation:
Inhaber: UTA Telekom
Dienstanbieter:
*Aktuell ab 29.10.2004 BEL - CALL Limited, GIB, Gibraltar, Suite 2B, Centre Plaza, Main Stre[eet]*
Die Belcall taucht in deutschen Foren so gut wie nie auf. Ist aber eine sehr sehr interessante Firma. 
Nicht allein deshalb, weil sie mit dem Vermerk "origin unknown" in einer der ausführlicheren Analysen des "Online-Dialers" auftauchen...
--> http://www.doxdesk.com/parasite/OnlineDialer.html

Ich erlaube mir hier mal ein längeres quote, weil ich das für sehr interessant halte (allerdings mit der Einschränkung, dass bei doxdesk so manches steht)


> Description: An ActiveX drive-by-installer used primarily to load premium-rate phone diallers.
> Variants
> OnlineDialer/MaConnect: filename MaConnect.dll; object name ‘Loader class’; signed by ‘AGUILA ESTATES SL’; typically downloaded from online-dial**.com.
> 
> ...



Naja, unknown?
Die Bel Call hat zwar nur noch eine geparkte domain - aber ich habe die alte noch irgendwo in meinem Archiv rumliegen. Und web.archive.org gibt es ja auch 
Ob nach der Geburt des Söhnchens bei S*B* die Babypause www.noconline.org/NOCworld/displayitem.asp%3Fitem%3Dcurrent%26displayid%3D435+%22saki+belitsas%22&hl=en]vorbei ist?[/url]
Ob es die guten Kontakte zu deutschen Carriern noch gibt? (früher zu QSC, später zur in-telegence?
Welcher Art wohl die Geschäfte mit dem carrier "concert" waren (ich hatte hier den falschen Archic#vlink drin, auch oben bei qsc/in-telegence: bei Gelegenheit folgt der richtige link). "Concert" ist ein Carrier, den hier keiner kennt - aber der in einem australischen Fall eine Rolle gespielt haben soll? Bei der Optus/Gilsan-Vanuatu-Story soll eine "CONCERT" aufgetaucht sein. Es gibt hier Leute im Forum, die das besser parat haben als ich...

ach, jetzt hab ich bei doxdesk noch eine Firma vergessen...





> OnlineDialer/Ole: filename Ole32ws.dll; object name ‘Moniker32 class’; signed by ‘HALDEX Ltd.’; typically downloaded from start.online-dial**.com or 63.219.181.*. Loads the RichFind parasite instead of a dialler.


(wenn man nach der IP googlet,kann man sogar noch od-stdn-Dialer downloaden)



> OnlineDialer/Ole is typically distributed in a file called ‘cax.cab’; it is, however, quite different code to the DialerMaker/Cax parasite, also distributed in a file of this name. However both diallers exhibit the same behaviour and security problems, and the OnlineDialer-related site dl.dialerssolutio*.c** [Ben Macdui SL! siehe u.a.hier] has also installed DialerMaker/Cax.


 die cax.cab - damüssten Dir andere die neuesten Details geben. Aber die tun das ja... Und S*B* liest ja hier nicht mit, denke ich...


----------



## Sirathon (22 Juli 2005)

Wie konnte der Dialer,wie in meinem fall,überhaupt eine Netzwerkverbindung erstellen (mit dem Adapter WAN Miniport (ATW) ) - handelt sich dann schließlich um eine Breitbandverbindung - und sich über diese einwählen ? 
Das konnten doch bisherige Dialer über DSL garnicht.
Habe nur,wie schon erwähnt,nur das DSL Modem,Splitter angeschlossen.

Ja,ich weiß,ich sollte abwarten - bleibt mir ja auch nichts anderes übrig 

Ich finde jedenfalls bisher keinen vergleichbaren Fall auf deutschen Seiten.


----------



## Captain Picard (22 Juli 2005)

Sirathon schrieb:
			
		

> Das konnten doch bisherige Dialer über DSL garnicht..


und das können sie immer noch nicht, was immer bei dir passiert ist, über DSL jedenfalls nicht. 
über DSL wird nicht gewählt sondern eingeloggt bzw angemeldet.  
Punkt 

cp


----------



## Aka-Aka (22 Juli 2005)

Investiere die Zeit lieber in eine Analyse, woher der Dialer gekommen (sein kann), wo die Datei hin ist, usw.
Hast Du nun schon ein hijackthislog erstellt?
www.hijackthis.de

Hast Du Viren- und Spywarescanner eingesetzt? Oder ist der Dialer längst identifiziert - und ich habe es überlesen?


----------



## Sirathon (22 Juli 2005)

Das ist genau das,was mich erwischt hat. Allerdings kann ich mich nicht erinnern,daß auf porographischen Seiten bekommen zu haben (weil ich diese garnicht besuche - nein,ich würde dazu stehen - aber das was mir Freunde über solche Seiten erzählten und das Risiko,war es eben nicht wert).

Dialer.Asdplug


----------



## Captain Picard (22 Juli 2005)

http://securityresponse.symantec.com/avcenter/venc/data/dialer.asdplug.html


> Behavior
> Dialer.Asdplug is a dialer program that can be used to access pornographic material by dialling a high-cost number using the modem.
> 
> Transmission
> The most common installation method for this dialer application is through various Web sites, which are mainly pornographic.



Sehr informativ ist  das nicht gerade, weder woher das kommt noch wohin das wählt ...

cp


----------



## Aka-Aka (22 Juli 2005)

Der link zu dialer-asdplug, den Du da gesetzt hast, hat mich kurzzeitig verwirrt... Ich dachte ja, deine Dialerdateien wären xfullgames.exe und fullgames.exe - aber unter diesem link einer kanadischen Firma steht mehr:
h**p://labs.paretologic.com/spyware.aspx?remove=Dialer.ASDPLUG



> Remove these files
> Dialer.ASDPLUG file    <windows system directory>\france.exe [die Datei steht auch bei symantec, es folgt eine Liste weiterer Dateinamen... unter anderem...]
> Dialer.ASDPLUG file   <windows system directory>\fullgames.exe



und das ist genau die datei, die die "codebase" des active-x-Elements darstellt - die eben mir das SIXA hingezaubert hatte...

Kuck mal in c:\windows\downloaded program files
ich habe da eine seltsame Datei (irgendwas in {geschweiften Klammern}) - und da steht der Download zur fullgames.exe drin. Hast Du auch so was? Was steht da?
(rechtsklick, Eigenschaften, codebasis: wenn Du's markierst, kannst du's ganz erkennen und kopieren, dann bitte PN)

ich experimentiere gleich noch ein wenig...


----------



## Wembley (22 Juli 2005)

Sirathon schrieb:
			
		

> Das ist genau das,was mich erwischt hat. Allerdings kann ich mich nicht erinnern,daß auf porographischen Seiten bekommen zu haben (weil ich diese garnicht besuche - nein,ich würde dazu stehen - aber das was mir Freunde über solche Seiten erzählten und das Risiko,war es eben nicht wert).



Es muss ja keine Pornoseite gewesen sein. Oder du wurdest durch einen Google-Spammer irgendwo hingeleitet, wo du nicht hinwolltest. Kurz Seite gesehen (mit oder ohne Pop-up-Gewitter), alles gleich weggeklickt. Trotzdem hatte dein Viech genug Zeit, sich einzunisten.

Gruß
Wembley


----------



## Aka-Aka (22 Juli 2005)

Nee... keine Pornoseite, aber z.B. Gamesdownloads...
Aber irgendeine Erinnerung wäre schon hilfreich...
und (ich erwähne es im Leierstil) www.hijackthis.de

@cp 
wohin das wählt, wüsste man wohl schon, wenn man in einem hijackthis-File evtl. den Downloadort sehen könnte. 
(fullgames.exe kriegt man auch auf Seiten von
Andloadsmore Ltd, R*C*, Apartado de Correo 262, Macher, Espana
wenn man die IP von membersplayg* von **.***.**.51-61 ankuckt, sieht man ein paar Seiten des Herrn R*C* und seiner Freunde aus Tortola und Macher...

Aber @sira:
ist es das - oder nicht?
http://forum.computerbetrug.de/viewtopic.php?p=110908#110908

////////////off topic?  ////////////
zu einer Verbindung "The Internet", wie in sira's screenshot
http://forum.computerbetrug.de/download.php?id=3656
fand ich auf die Schnelle nur diesen sehr alten Beitrag hier
http://www.trojaner-board.de/showthread.php?t=1939


----------



## Aka-Aka (22 Juli 2005)

Also falls das Mr R*C* und seine britischen Freunde sind, diese um den Mr Bo** Dialoff vielleicht, und jemand will denen was ausrichten, jemand aus der Branche, meine ich, vielleicht bei der INTERNE*T im August, dann überbringe dieser bitte folgenden Gruß:
*FU** OFF!*
(wer damit etwas anfangen kann... Ein gewisser B* aus den contacts der global*charge.com hat zufällig den gleichen Namen und die gleiche icq-Nummer wie ein gewisser B* von einer Firma dialo**. Die global*charge steht mitten in den IPs des R*C* (Macher, ES / Tortola, BVI) in einer Referenzliste einer UK-Softwarefirma)


----------



## Sirathon (23 Juli 2005)

Kann mir dann vielleicht einmal kurz erklären was ich genau auf der Seite www.hijackthis.de machen soll ?
Glaube auch,daß er sich in der Windows/System32 eingenistet hat.

Also wird man dann ja sehen.
Erklärt es kurz und ich werde dann bestimmt heute abend endlich dazu kommen.


----------



## Aka-Aka (23 Juli 2005)

hier hijackthis downloaden
h**p://80.237.140.193/downloads/hijackthis_199.zip

die zip-Datei speichern, entpacken, die hijackthis.exe ausführen...

auf "do a system scan and save a logfile"
(es bietet sich an, möglichst keine unnötigen Programme laufen zu lassen, damit es übersichtlicher wird)

Dann scant hijackthis und öffnet ein logfile "hijackthis.log".

Dieses speicherst Du ab als hijackthis.txt und hängst es hier als attachment (Anhang) an.
abschicken, fertig!

wenn wir Glück haben, hast Du dann so einen Eintrag wie diesen dabei:


> O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.games****ground.com/output/100067/de/fullgames/fullgames.exe


(eher nicht, fürchte ich... aber diesen sixa-Dialer gibt es in verschiedenen Varianten, wobei der dateiname einen Hinweis auf den Downloadort gibt. Aus der weiter oben genannten Liste konnte ich bisher aber erst einige wenige mit Downloadort zuordnen. Dieses zeitaufwendige Projekt habe ich wieder einstellen müssen... wer noch 'nen link will, PN!)

Profi-Variante:
sollten in deinem hijackthis-log Dinge aufauchen wie Dein Name (z.B., weil dein PC so heisst wie Du) oder ähnliches - bitte editieren.

 Insider-Frage: weiss jemand, wie der (angeblich türkische?) webmaster im Questnetfall hieß?Oder gab es dazu eine Adresse? 
Hat jemand aktuelle Infos zur Dialoff?
Bitte PN...


----------



## Sirathon (23 Juli 2005)

Habe eben mit G Data einen Virusscan durchgezogen. 
Die Fehlermeldungen was System32.dll betrifft sind jetzt weg.
Der Dialer unter Quarantäne (also ich hatte ziemlich viele infizierte Dateien) (weiß also nicht welcher der Dialer ist der zur Netzwerkverbindung Sixa gehörte).
Habe es im abgesicherten Modus ausgeführt.
Ist hijackthis jetzt noch nötig bzw. bringt es etwas ?


----------



## Aka-Aka (23 Juli 2005)

grrrrr....
es kostet dich nicht mehr als 60 sekunden...
was schadet es denn?
Ich bat Dich schon vor 6 Tagen darum...
http://forum.computerbetrug.de/viewtopic.php?p=110749#110749
kannst mir das log auch per PN schicken. Aber mach's bitte einfach!


----------

