# 1970.exe



## Anonymous (8 Juli 2003)

Hallo!
Habe vermutlich einen Dialer auf meinem System, die Symptome sind die folgenden:
Ab und zu trennt sich meine Internet-Verbindung (modem), und direkt danach versucht sich das modem erneut einzuwählen, allerdings anscheinend durch eine andere nummer (welche weiß ich nicht), wobei kein einwahlfenster oder ähnliches angezeigt wird. einzige möglichkeit, die einwahl abzubrechen ist somit: schnell kabel aus der dose ziehen. selbst dann kann man noch dem modem zuhören, wie es weiterhin alle 10 sek. verzweifelt versucht, sich irgendwo einzuwählen. In der taskleiste finde ich dann eine datei "1970.exe", 16 kb groß, die ich nicht einordnen kann und die sich auch nicht schließen läßt (task beenden -> systemabsturz!). die datei befindet sich im stammverzeichnis von C:\, und wenn ich sie lösche, ist sie beim nächsten systemstart wieder da.
Habe das System mit YAW 3.5 gescannt, dieser behauptet jedoch, keinen dialer zu finden.
wer kann mir helfen ??


----------



## Comedian1 (8 Juli 2003)

McAfee könnte helfen:

http://vil.nai.com/vil/content/v_100464.htm

Gruß
Comedian


----------



## Der Jurist (8 Juli 2003)

Und hier im Posting, den passenden Text für einen später möglicherweise notwendig werdenden Vortrag bei Gericht: 

http://forum.computerbetrug.de/viewtopic.php?p=20342#20342


----------



## Anonymous (8 Juli 2003)

*Schaust du hier*

Schaust du hier:

http://forum.computerbetrug.de/viewtopic.php?t=2277


----------



## Anonymous (12 Juli 2003)

ich habe diese exe datei bei mir auch gefunden... ich habe aber eine 0190er sperre.. arbeitet dieser dialer mit 0900er nummern!?

noch eine frage: ich habe mir die dfü verbindung angeschaut... wenn ich die einstellungen betrachte kann ich keine 0190er nummer finden.. genauso kann ich auch beim einwählen über windows nur das erkennen:

"Verbinden mit 0191011..."
usw..

(0191011 ist t-online nummer, das is sicher) kann sich trotzdem noch eine 0190er verbindung aufbauen?!


----------



## Anonymous (12 Juli 2003)

ich bin nochmal der gleiche

ich habe in der regedit nach 1970.exe gesucht und in
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU" einen eintrag gefunden.. ausserdem befindet sich dort auch ein "teenxxx" eintrag.. ich krieg die kriese  :bigcry:


----------



## Heiko (12 Juli 2003)

Das sieht mir nach der Liste der zuletzt verwendeten Dateien aus:
MRU = "Most Recently Used"


----------



## Devilfrank (13 Juli 2003)

Dieser Dialer installiert keine ständige DFÜ-Verbindung für sich, so dass Du nur die vertraute Verbindung zu T-Online siehst.
Was genau meinst Du mit 0190-er Sperre?


----------



## Anonymous (13 Juli 2003)

man kann sich bei der telekom einstellen lassen, dass bestimmte vorwahlen nicht gewählt werden können. und so haben wir uns vor einiger zeit diese 0190er sperre einrichten lassen

bedeutet das, dass der dialer trotzdem aktiv sein kann?


----------



## Devilfrank (13 Juli 2003)

Der Dialer versucht trotzdem von Deinem System aus sich zu verbinden. Allerdings ist die Rufnummernsperre der Telekom aktiv, kann ersich nicht mit seinem Ziel verbinden.
Sollten jetzt trotzdem Rechnungsbeträge zu 0190-Nummern auftauchen, die zeitlich nach der Aktivierung der Rufnummernsperre liegen, ist das das Bier der Telekom.


----------



## Anonymous (13 Juli 2003)

hm.. vielleicht bin ich noch mit nem blauen auge davongekommen. ich kann die exe datei nämlich weder auf der festplatte noch im regedit finden


----------



## Anonymous (14 Juli 2003)

Ich habe die 1970.exe auch auf meinem Rechner gehabt. Wurde automatisch ohne Meldung unter dem Systemaccount  gestartet, installierte eine neu DFÜ-Verbindung, die dann angewählt wurde. Alles ohne mein Wissen !!! Die DFÜ-Verbindung habe ich samt Rufnummer auf meinem Rechner. Ausserdem befindet sich seither auf meinem Rechner die Datei 1980.exe.
Welche Möglichkeit gibt es diesen *......* das Handwerk zu legen ??

MfG GM
*[Virenscanner: Gemäß NUB editiert]*


----------



## Anonymous (15 Juli 2003)

GM schrieb:
			
		

> Ich habe die 1970.exe auch auf meinem Rechner gehabt. Wurde automatisch ohne Meldung unter dem Systemaccount  gestartet, installierte eine neu DFÜ-Verbindung, die dann angewählt wurde. Alles ohne mein Wissen !!! Die DFÜ-Verbindung habe ich samt Rufnummer auf meinem Rechner. Ausserdem befindet sich seither auf meinem Rechner die Datei 1980.exe.
> Welche Möglichkeit gibt es diesen *......* das Handwerk zu legen ??
> 
> MfG GM
> *[Virenscanner: Gemäß NUB editiert]*



Ich bin durch Zufall beim Aufräumen auf 1970.exe und 1297.exe in der Wurzel gestoßen.  Beim Verschieben in ein anderes Verzeichnis meldete McAfee (neueste Version) den Trojaner!  Ob schon Schaden angerichtet
wurde, weiß ich noch nicht :-(  Da das Programm nach Erfolg weg sein soll,  habe ich vielleicht Glück. Interessant sind möglicherweise die folgenden Beobachtungen: Im McAfee-Protokoll waren zeitgleich zum Datum der 1970.exe 2 infizierte Java-Scripte vermerkt, die erfolgreich entfernt wurden (Exploit-ByteVerify). Zeitnah, d.h. 5 Tage vorher hat sich ein Programm winlogon.exe auf dem Rechner eingefunden, was seitdem mitunter das System blockierte und via Taskmanager beendet werden musste. Erst jetzt stellte ich fest, dass bei W98 dieses Programm gar nicht vorhanden sein sollte, es wurde jedoch über eine Eintrag in "Run" bei jedem Start aktiviert. Ob es mit dem 1970-Problem etwas zu tun hat, weiß ich nicht, merkwürdig ist es schon. Der Rechner ist erstmal von der Leitung getrennt.
MG


----------



## Anonymous (16 Juli 2003)

Habe heute eine Seite besucht, die den 1970.exe beinhaltet. Hierbei wurde festgestellt, daß sich gleichzeitig drei Dialer downloaden

1. 1970.exe unter C:/WINDOWS (Anwahl von 0190-873212 und 0190-874370)
2. D1.exe unter C:/WINDOWS (Anwahl von 0190-872836 und 1090-874370)
3. Stmtdlr.exe unter DESKTOP (Anwahl von 0190-872831 und 0190-874370)

Hierbei sind nicht die Nummern als Falback sondern gleich die Programme als solches anzusehen. Neben der üblichen AktiveX-Funktionalität moppelt es der Anbieter gleich doppelt und lässt zusätzlich noch den "Money Tree Dialer" über die Sicherheitswarnung (Downloaded Program Files) bestätigen - man bestätigt ein Angebot der Flying Crocodile in den USA.

Das Download wurde zwischen die zahlreichen Bilder der Site gepackt. Die Dialer arbeiten völlig automatisiert und erhalten ihre Steurung über Scripte von den entsprechenden Websites. Ungeschützte User sind dem absolut ausgesetzt. Dialer-Control wird nicht umgangen, arbeitet einwandfrei!

_Einfaches entfernen_: Dateien umbenennen und anschließend löschen (auch aus dem Papierkorb), Zertifikat unter Downloaded Program Files entfernen. Rechner zur Sicherheit neu starten!
_Kosten_: je nach Dauer der Session - 1,86€/Min.


----------



## SprMa (16 Juli 2003)

Es ist nur zu hoffen, daß sich der 1970er von _jeder_ Seite aus so "brav" verhält...
Ich für meinen Teil bezweifle das.


Matthias


----------



## Anonymous (16 Juli 2003)

SprMa schrieb:
			
		

> Es ist nur zu hoffen, daß sich der 1970er von _jeder_ Seite aus so "brav" verhält...
> Ich für meinen Teil bezweifle das.


"Brav" ist das nun wirklich nicht! Außerdem legt das Teil Tools wie. z. B. die Screencam völlig lahm.
Dass Dialer-Control nicht umgangen wird, könnte daran liegen, dass der Hersteller "Coolspot" schon vor vier Wochen eine Warnung für diese Exen erhalten hatten und kurz darauf zwei Updates verfügbar waren.


----------



## peanuts (16 Juli 2003)

anna schrieb:
			
		

> "Brav" ist das nun wirklich nicht! Außerdem legt das Teil Tools wie. z. B. die Screencam völlig lahm.
> Dass Dialer-Control nicht umgangen wird, könnte daran liegen, dass der Hersteller "Coolspot" schon vor vier Wochen eine Warnung für diese Exen erhalten hatten und kurz darauf zwei Updates verfügbar waren.



Könntest du mir die URL der fraglichen Webseite per PN mitteilen? Ich möchte auch was zum Spielen haben. :dafuer:


----------



## Anonymous (16 Juli 2003)

Kommt prompt!


----------



## Anonymous (16 Juli 2003)

*1970.exe ,1297.exe,usw.....*

Man kann diesem Dialer folgendermaßen den Zugang verwehren (Ich hatte ihn bei jeder Sitzung x fach drauf,jetzt nicht mehr ) Sucht nach  LEXPPS.EXE.Die müßte in der Datei Systems zu finden sein und scheint auch im Zonealarm auf.Wenn man ihr via Zonealarm den Zugriff untersagt oder sie in Systems löscht gibt`s keine 1970.exe und ähnliches mehr.Bei mir funktioniert es .


----------



## Comedian1 (16 Juli 2003)

*Re: 1970.exe ,1297.exe,usw.....*

gelöscht


----------



## Anonymous (20 Juli 2003)

Habe den 1970.exe-Dialer isoliert und und die "Heimatadresse" ausgelesen.
Er ist mit folgender Adresse gekoppelt :

*[size=24]http://www.speed-dialers.com/tools.html[/size]*

Mir ist immer noch unverständlich,warum sich Leute sowas ausdenken..........


----------

