# New Dialup Connection - 00882130217375



## owerumer (30 August 2006)

Hab seit gestern ein Problem auf dem Rechner von meinem Vater. Ich wollte nur mal nach dem rechten sehen weil mein Dad ein Neuling in Sachen PC und Internet ist. Und siehe da, meine Befürchtungen wurden war. Etliche Müllprogramme installiert, neue Suchleiste im Inet-Explorer und natürlich auch noch ein Dialer!!
Unter Netzwerkverbindungen tauchte eine neue Verbindung "New Dialup Connection" mit der Zugangsnummer 088213 217375 auf. Ich also das Ding im Netzwerkordner gelöscht und gehofft das es das dann war. Aber Pustekuchen. Nach dem Neustart die selbe Scheisse wieder. Der Dialer will sich in unregelmässigen Abständen ins I-net einwählen unter der oben genannten Nummer. Ich habe schon erlesen das es sich um eine Sat Nummer (EMSA) handelt, die hohe Kosten verursacht.

Rechner Betriebssystem: Win 2000
Das komische ist aber das ich Antivir drauf habe und auch Spybot und Adaware. Trotzdem ist der Dialer da!!

Kann mir jemand sagen wie ich den Dialer wegbekomm??

P.S. Kenn mich kaum in der Regedit aus, wäre also lieber für ein Tool!!


----------



## Aka-Aka (30 August 2006)

*AW: New Dialup Connection - 00882130217375*

nichts machen an dem Rechner. Wenn er ihn entbehren kann: Ab zur Polizei. Wo steht der Rechner?
Wenigstens ein komplettes Image der Festplatte erstellen. Erst dann ans löschen gehen. Erstell mal unter www.hijackthis.de ein log (vorher alle nicht benötigten Prozesse/Programme schliessen/beenden, wegen der Übersichtlichkeit)


----------



## Aka-Aka (30 August 2006)

*AW: New Dialup Connection - 00882130217375*

exemplarisch sei erinnert an
http://forum.computerbetrug.de/showthread.php?t=33292&highlight=0088213
und an die Mauer des Schweigens...
Hier haben wir wohl wieder so einen Auslandsdialer ... mal sehen, mal sehen, ob es nicht wieder die gewohnte Richtung ist, aus der das kommt...

Noch einmal... Nicht wild drauf los löschen!!!
s.a.
http://forum.computerbetrug.de/showthread.php?p=72426#post72426


----------



## Captain Picard (30 August 2006)

*AW: New Dialup Connection - 00882130217375*

Das BSI informiert und grübelt 
http://www.bsi.de/dialer/warnung/emsat-info.htm


> Vorwahl 0088213 - EMSAT-Satellit oder Dialer-Trick?


http://www.heise.de/ct/04/11/048/


> Abzocke mit Satelliten-Nummern


http://www.itseccity.de/?url=/content/markt/nachrichten/050101_mar_nac_eutelsat.html


> In Deutschland, Österreich, Schweiz und anderen europäischen Ländern mehren sich in jüngster Zeit die Berichte über betrügerische Dialer-Praktiken im Internet im Zusammenhang mit der internationalen Telefonvorwahl 00 88 213.


----------



## Aka-Aka (30 August 2006)

*AW: New Dialup Connection - 00882130217375*

so was stand aber auch als fallback-Nummer in deutschen ("niederländisch-panamaischen") Dialern aus dem Jahr 2004... aber es hat die Leutchen ja damals keiner gefragt, wie das abgerechnet wird. Man hätte vieles lernen können...


----------



## technofreak (30 August 2006)

*AW: New Dialup Connection - 00882130217375*



			
				Aka-Aka schrieb:
			
		

> Noch einmal... Nicht wild drauf los löschen!!!


der Bitte  kann ich mich nur anschließen!


----------



## owerumer (30 August 2006)

*AW: New Dialup Connection - 00882130217375*



			
				Aka-Aka schrieb:
			
		

> so was stand aber auch als fallback-Nummer in deutschen ("niederländisch-panamaischen") Dialern aus dem Jahr 2004... aber es hat die Leutchen ja damals keiner gefragt, wie das abgerechnet wird. Man hätte vieles lernen können...


Ich lass heut abend mal einige scanns drüber laufen um nähere Infos zu erhalten!

@aka
Ich werde noch nix löschen!!


----------



## Aka-Aka (30 August 2006)

*AW: New Dialup Connection - 00882130217375*



			
				owerumer schrieb:
			
		

> @aka Ich werde noch nix löschen!!


Brav  aber (siehe PN), mach mal 'n hijackthis-log
und verhöre den Papa möglichst genau (kann er sich an irgendwas besonderes erinnern?).
Ach noch was... Wann kommt eure Telefonrechnung? Ruft gleich mal an wegen Einzelverbindungsnachweis. Für den Fall, dass eine Einwahl stattgefunden hat.


----------



## TSCoreNinja (30 August 2006)

*AW: New Dialup Connection - 00882130217375*

Hier noch eine offizielle Liste mit der Warnung vor EMSAT Missbrauch sowie legalen Nummern (leider nur als Word-Dokument und in Englisch/Französisch, ich würde ggfs. bei Rechnungsforderungen bezüglich der Nummer darauf hinweisen):
http://www.itu.int/itudoc/itu-t/number/t/tpz/86918.html

Interessanter Artikel zur Thematik übrigens bei der International Herald Tribune aus 2004, inklusive Verweis auf ds:
http://www.iht.com/articles/2004/02/28/itend01_ed3_.php



> ... The worst part of the fraud, said Jacques Neher, the owner of Teleconnect France, is that everyone up and down the telephone food chain benefits from the calls, so there is hardly any incentive for any of the companies involved to stop it.
> .
> Each phone company that transfers a call along its route — say, from Stockholm to Diego Garcia — takes a fee out of the final charge, which is usually billed to the customer by the originating local phone company.
> .
> ...


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

@owerumer: Du hast mir einen screenshot geschickt mit einer 09062000247 als Einwahlnummer. Könnte eine schweizerische Nummer sein (obwohl 1 Stelle zu lang) oder eine holländische oder eine britische (vermutlichst). Das weiss der Dialer, nur: wo isser?


----------



## owerumer (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

Hier die Screen Shots.
Als Anhang.


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

ich hab mal den Dialereinahlversuch als jpg hier editiert
@all: wie kriegt man raus, was da wählen will?
Das meiste hat owerumers Antivir kassiert


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

schau mal, dass Du die 411e5eb.exe herkriegst. Vielleicht hilft dir da jemand hier.
die ist bei dir in c:\winnt\system32
versuch mal, die Datei irgendwie zu kopieren. Die klingt interessant. Dann kannst Du versuchen, sie umzubenennen in 411e5eb.xxx oder so, damit sie nicht mehr funktioniert. Aber lösch sie mal noch nicht, wenn sie noch da ist.


----------



## owerumer (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

Und weiter:


Kennt sich da jemand aus. Sind das "Standart Sachen" oder was neues und aussergewöhnliches dabei??


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

ich bin ja blind, da steht's ja


> C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\411e5eb.exe
> [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.aar


-->
http://www.trojaner-board.de/showthread.php?t=31549
durchsuche mal alles nach "*.tmp.exe" - das müssten evtl die Dialer sein - aber ich sehe, dass Antivir das gelöscht hat. Nuja. Ist gut und schade zugleich...
-->
http://www.rokop-security.de/index.php?s=&showtopic=12232&view=findpost&p=162443

[Oberlehrermodus] hatte ich nicht gesagt, dass Du nichts löschen sollst? [Oberlehrermodus aus]


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

Hier eine Meldung über einen italienischen Dialer in Frankreich
infos-du-net.com/forum/256356-11-dialer-italien-connessionne-impossibile


evtl diese Richtung?
http://forum.computerbetrug.de/showthread.php?t=40404
-->
http://forums.spywareinfo.com/lofiversion/index.php/t69882.html


> ...
> C:\WINDOWS\TEMP\winB76.tmp.exe
> D:\Hijack This\HijackThis.exe
> C:\WINDOWS\TEMP\winB76.tmp.exe
> ...



s.a.
http://www.trojaner-board.de/showthread.php?t=27094


hier haben wir:


> C:\WINDOWS\Temp\iddB.tmp.exe


Also doch diese Richtung? "enter" und so??? Immerhin war die Firma im Hintergrund damals eine in Panama registrierte Firma einer Italienerin...

(und mein Interesse an diesem drecksteil war schon berechtigt)


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

Da ist offenbar 'ne Menge Schrott auf dem Rechner... Was ist denn das für eine Toolbar, von der Du berichtet hast?

und:
von wann sind denn die Dateien in diesem ordner:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z6S8O7Q9\
?
Könnte ein Hinweis auf die ursprüngliche Infektion sein.


----------



## owerumer (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

Weis nicht mehr genau müsste nachschauen wegen der Toolbar. War glaub ich im Inet Explorer als neue Suchleiste mit dem Namen: Taskbar oder Toolbar 888 oder so?!


----------



## Aka-Aka (31 August 2006)

*AW: New Dialup Connection - 00882130217375*

toolbar888
http://www.avira.com/de/threats/section/fulldetails/id_vir/2435/dr_softomate.q.1.html


----------



## Unregistriert (3 September 2006)

*AW: New Dialup Connection - 00882130217375*

Hab seit heut morgen das Problem das sich der Dialer versucht einzuwälen,
hab XP Prof. Firewall (winows) tut den nich filtern.
TIP: SmartServer blockt das Ding
Denke das da ne Sicherheitslücke beim Mailserver von GMX ist ?


----------



## Aka-Aka (3 September 2006)

*AW: New Dialup Connection - 00882130217375*

Kannst Du den PC entbehren? Oder ein Image erstellen? Dann ab zur Polizei. Konntest Du eine Dialerdatei identifizieren? Kannst Du Einwählversuche dokumentieren?
kannst du ein Hijackthis-Log hier einstellen?
www.hijackthis.de

Berichte bitte weiter und melde Dich auch hier an zwecks Austausch von nachrichten. Danke.
Die Nummer wurde ja offenbar bereits gesperrt, aber ich hoffe, dass nicht allein deshalb nicht weiter ermittelt wird. Und wenn ermittelt wird, braucht man Rechner, wo der Fiesling drauf ist. Such mal nach Dateien mit dem Schema ***.tmp.exe (also Suche nach "*.tmp.exe" im Explorer)


----------



## owerumer (12 September 2006)

*AW: New Dialup Connection - 00882130217375*

Hab immer noch das Problem mit dem Dialer!!!

War jetzt einige Tage Ruhe und heute gings wieder los.
Es wurde eine neue DFÜ erstellt mit Namen Cool Web. Antivir, Adaware, Spyboot und diverse andere Scanner finden nix solange die exe nicht ausgeführt wird.

Wenn ich mich dann ins Inet einwähle kommt immer die Meldung das eine neue Verbindung hergestellt werden soll zu einer Nummer 008821 3137477.
In den Prozessen findet sich der Eintarg: C:\WINNT\SYSTEM32\COOL.exe

Ich denke das das der Dialer ist!! Wie bekomm ich den Müll weg?? Oder sind das noch Anhängsel meines Dialers vor 2 Wochen??

Manchmal bringt mir auch Antivir ne Virenwarnung: TR/Dldr.Agent.40448.1
Aber beim scannen findet der nix!!

HILFE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Ich seh es kommen das ich das System plätte!!

Zum Screenshot im Anhang: Dort ist leider die cool.exe nicht drauf! HAbs verpasst, aber vielleicht fällt was anders auf!

Gruß MArco


----------



## Aka-Aka (12 September 2006)

*AW: New Dialup Connection - 00882130217375*

ich wiederhole nicht, was ich Dir bereits geraten habe. Wende Dich mal ans BSI-Dialerteam. dialer(at)bsi.bund.de
Ich habe mir mal wieder erlaubt, die jpg aus deinem doc-Dokument als jpg zu posten.
Kuck, dass du die cool.exe irgendwie kriegen kannst


----------



## Aka-Aka (12 September 2006)

*AW: New Dialup Connection - 00882130217375*



> Es wurde eine neue DFÜ erstellt mit Namen Cool Web



@freaks


> I have coolweb in my network connections, an icon on the taskbar that periodically tells me i'm infected, *winxx.tmp.exe*, cool.exe, and random pop ups to antispyware software sites.


http://forums.spywareinfo.com/lofiversion/index.php/t81990.html
s.a.
http://forum.computerbetrug.de/showthread.php?p=164037#post164037


			
				Aka schrieb:
			
		

> durchsuche mal alles nach "*.tmp.exe" - das müssten evtl die Dialer sein - aber ich sehe, dass Antivir das gelöscht hat. Nuja. Ist gut und schade zugleich...



???
der hat da einen download von
85.255.***.166 drin (Ukraine).
Hab das Teil mal gespeichert (rdgUS2404.exe)
-->
Das ist ein Globalaccessdialer
http://virusinfo.prevx.com/pxparall.asp?PXC=f26b14030056
http://www.castlecops.com/atxlist-1602.html
gdnUS2338.exe ... added by ...
http://fileinfo.prevx.com/adware/qq17a622883729-GDNU17246009/GDNUS2338.EXE.html

ich wüsste zu gerne, was das für ein Dialer ist...



> DialerPlatform Limited


 (im Thawte-Zertifikat)
schau bitte, dass Du die cool.exe (und möglichst viele andere exes) herkriegst, bevor Du die löschst. Danke.

s.a.
http://forums.spybot.inf0/showthread.php?t=6552
coolweb/cool.exe

???
@freaks Hilft da ein Coolweb-Shredder? (oder ist so was in Spybot integriert?)

http://www.intermute.com/spysubtract/cwshredder_download.html --> CW-Shredder
http://www.safer-networking.org/de/index.html --> Spybot


*Du musst von den Hintergründen nichts verstehen. Es sind halt möglicherweise die Jungs, die seit Jahren immer wieder auftauchen. Ich hatte mich schon gewundert, als die vor kürzerer Zeit wieder in Foren über Dialer diskutierten. Irgendwann und irgendwo musste da was auftauchen*


----------



## owerumer (12 September 2006)

*AW: New Dialup Connection - 00882130217375*

Ich versteh nix ?!


----------



## Aka-Aka (12 September 2006)

*AW: New Dialup Connection - 00882130217375*

musst du auch nicht... Schau, dass Du exe-Dateien herkriegst und lasse diese bei www.virustotal.com überpprüfen. Vergleiche das Ergebnis mit dem Anhang.
oder probiere, bei
www.virustotal.com

bei durchsuchen
C:\WINNT\SYSTEM32\COOL.exe

einzugeben. Vielleicht ist die exe da ja noch.


----------



## Aka-Aka (12 September 2006)

*AW: New Dialup Connection - 00882130217375*

Also die Nummern, die hier angewählt werden, sind ja jetzt schon ein paar tage bekannt. Das BSI interessiert sich offenbar nicht für solche Kinkerlitzchen...
http://www.bsi.de/dialer/warnung/sat008813.htm

P.S.: Wegen der von overumer angegebenen 0906-Nummer habe ich inzwischen Antwort aus London. Die Anfrage wird dort bearbeitet und ich habe sie auch selbst noch einmal an die Nummerninhaber geschickt (gleicher Nummerninhaber wie bei den UK-Nummern der "enter"-Leute)


----------



## Aka-Aka (13 September 2006)

*AW: New Dialup Connection - 00882130217375*

Die Nummerninhaber aus UK gaben bekannt, dass es hinter dieser Nummer keinen Dienst gibt. Ich frage jetzt, ob *sie* dann von Anwahlen profitieren würden...
Der Anbieter ist mir (als UK-Insider) durchaus bekannt.... Zum jetzigen Zeitpunkt gilt natürlich deren Aussage als zu akzeptierendes Dementi. Muss ich wohl nach Holland schreiben 

In der Schweiz gehört die 0906200024 (also ohne die 7) zu
einer Firma "Sun Pearl Consulatants" in Panama, in NL gehört sie der wavecrest (sehr große Firma, auch in DE vertreten, mir sind keinerlei Beschwerden bekannt)
Und dass *ich* die Anwaltskanzlei, die die Firma registriert hat, schon kannte, als deren viertes Kanzleimitglied noch lebte, nun denn, das ist wieder eine andere Sache.


----------



## owerumer (14 September 2006)

*AW: New Dialup Connection - 00882130217375*

So ich habe mal die cool.exe gescannt.
Das kam bei raus!!!


----------



## Aka-Aka (14 September 2006)

*AW: New Dialup Connection - 00882130217375*



owerumer schrieb:


> So ich habe mal die cool.exe gescannt.
> Das kam bei raus!!!


schick sie mir bitte mal. ich habe deinen Screenshot hier wieder als jpf angehängt


----------



## owerumer (14 September 2006)

*AW: New Dialup Connection - 00882130217375*

Ich kann die Datei cool.exe nicht senden weil mein email Client (web.de) die Datei als Virus definiert und nicht sendet!!


----------



## SEP (14 September 2006)

*AW: New Dialup Connection - 00882130217375*



owerumer schrieb:


> Ich kann die Datei cool.exe nicht senden weil mein email Client (web.de) die Datei als Virus definiert und nicht sendet!!


Brav von web.de, nicht ... 

Versuche mal, sie zu zippen und dann unter anderem Namen zu senden - aber gefälligst nur an den Empfänger, der genau weiß, was das jetzt ist!!


----------



## Aka-Aka (14 September 2006)

*AW: New Dialup Connection - 00882130217375*

das dürfte dieses "connesione impossible"-Zeugs sein, in Verbindung mit der toolbar888 tauchte das auch hier auf (in Deutsch, in anderen Sprachen gibt es mehr)
http://www.trojaner-board.de/showthread.php?t=31142


----------



## andredrum (15 Oktober 2006)

*AW: New Dialup Connection - 00882130217375*

hallo, 

ich bin durch google auf diese seite gekommen. ich hab einproblem und zwar hab ich eine exe 
ausgeführt was offensichtlich ein virus war, dann hatte ich bei software unter systemsteuerung
 "toolbar 888" drin, als ich es entfernen wollte hat mein PC (windows ME) sich aufgehengt und 
nachdem reset kommt jetzt jedesmal folgende mitteilung, die ich aber gar nicht beantworten kann :

>>

Es besteht ein Problem mir (ja da steht wirklich "mir") einer Systemdatei . Windows wird unter 
Umständen nicht einwandfrei ausgeführt. Dieses Problem kann möglicherweise mit der Systemwiederherstellung gelöst werden. Falls das Problem mit der Systemwiederherstellung
 nicht gelöst werden kann, sollten Sie Windows  neu installieren.

Vsd-Dynamic-Link-Aufruf: C0075BA8 für "000C" , Dienst 3.

Wählen Sie "Ja", um Windows fortzusetzen. Beim Fortsetzen kann das System instabil werden.
Wählen Sie "Nein", um Windows zu beenden. Ungespeicherte Informationen gehen verloren.
 Möchten Sie Windows fortsetzen?

J= Ja, N=Nein : J 

<<

ich kann diese mitteilung aber gar nicht beantworten weil die tastatur darauf nicht reagiert..
.d.h. ich komm nicht mal in windows rein. sitze jetzt im internet cafe und schreibe das 

sagt mir bitte was ich machen kann damit mein pc wieder läuft?!?
hoffe das es nicht hoffnungslos ist
mit freundlichem gruß


----------



## Reducal (15 Oktober 2006)

*AW: New Dialup Connection - 00882130217375*

Ferndiagnose ist schlecht und bringt zumeist nichts. Hole dir entweder vor Ort brauchbaren Rat oder lege einfach die Windows-CD in ein Laufwerk und installiere das BS neu.


----------



## Aka-Aka (15 Oktober 2006)

*AW: New Dialup Connection - 00882130217375*

schliesse aber vorher aus, dass eine Einwahl stattgefunden hat.
Einfach gefragt: Gibt es eine Verbindung zur Telefonbuchse oder ist es ein reiner DSL-Rechner? 
Falls die Möglichkeit besteht, dass ein Dialer sich eingewählt hat, solltest Du versuchen, diesen zu isolieren.
Wie? Das darfste mich nicht fragen...
Die Beschreibungen, die man über google findet (was die Löschung angeht) klingen für mich als Laien sehr kompliziert...

http://www.avira.com/de/threats/section/fulldetails/id_vir/2435/dr_softomate.q.1.html

wenn es diesen Beitrag bei avira gibt, sollte das kostenlose Antivir das eigentlich erkennen.

wenn du das Löschen probieren willst:
Viel Glück
--> http://forum.hijackthis.de/showpost.php?p=101425&postcount=2
(du müsstest dich dann aber dort anmelden)

ansonsten ist's nicht gerade einfach und es ist ziemlich viel Wissen erforderlich...
Hier im Forum gibt es auch "allgemeine Anleitungen"
http://forum.computerbetrug.de/showthread.php?t=31646


----------

