# dc.exe - was ist das?



## Anonymous (2 November 2004)

Hallo.

Seit ein paar Tagen bekomme ich Spam-Mail von verschiedenen Adressen mit immer demselben Text. Auszugsweise lautet die Mail wie folgt:



> Hi Tees.....
> 
> Ich habe am Bahnhof fast 20 Minuten gewartet :-(
> Selbstverständlich habe ich meine Modelfotos dabei gehabt.( siehe auch den Anhang )
> ...



Das Attachment ist eine .com-Datei mit dem Namen Foto-jpg.com. Der installierte McAfee Virenscanner mit der aktuellen Virusdefinition erkennt diese Datei jedoch nicht als Virus/Trojaner. Auch beim Ausführen der Datei meldet sich McAfee nicht. Die Datei scheint verschiedene Dateien zu entpacken. Eine davon heißt "dc.exe" und nistet sich als Autostart-Prozess ein. Der Prozess versucht in regelmäßigen Abständen, mit dem Rechner "gakw44kw.d...ns.org" Kontakt aufzunehmen.

AdAware erkennt "dc.exe" allerdings nicht als Spyware, Spybot tut dies ebensowenig.

Weiß einer von Euch, was dc.exe ist und wie man es wieder loswird?

Besten Dank und viele Grüße,
  Blacky

_URL editiert, man kann nie wissen , siehe NUB tf/mod _


----------



## Anonymous (2 November 2004)

Ok, hab ein bisschen mehr über die Datei Foto-jpg.com herausbekommen.

Habe die com-Datei mal mit UPX (upx.sourceforge.net entpackt. Es könnte sich tatsächlich um einen Dialer handeln. Die entpackte Datei enthält u. a. die Strings:


```
Error in RasEnumConnections()   RasHangUp: RasGetConnectStatus=%d (hconn=%d) TimeOut!   Fehler %d in RasHangUp()    %s  iexplore.exe    -k %s   open    |   Keine Verbindung. rasError=%d   Error in RasDial()  Fehler %d in RasDial()  Error in RasSetEntryDialParams()    Error in RasSetEntryProperties()    x   recv() n=%d, errno=%d, buf=%s   send(%s) n=%d, errno=%d GET %s HTTP/1.1
Host: %s
User-Agent: Max
Accept: text/html, text/plain

    keine   %04X(Build%u)Device=%s/%s(%d)   /m/index.php?id=%s&system=%s    w*w.wabgcom.de  ~~~ Error open dst (%s,WRONLY): %s  Error open src (%s,RDONLY): %s  --x%s   Es wurde keine Verbindung aufgebaut:    Fehler Authentisierung  %s.%s   --d%s   --x Wähle 2: %s Wähle 1: %s --d Fehler Parameter-Datei öffnen   Fehler  .
```


Ich frage mich, warum weder der Virenscanner noch Anti-Spyware-Programme darauf ansprechen. Weiß jemand, wie man die installierten Datei(en) wieder entfernen kann?

Grüße,
  Blacky


----------



## Anonymous (2 November 2004)

Hi Blacky,

weils eben ein Dialer und kein Virus, Trojaner oder irgendein sonstiges Spyprogramm ist.  Da helfen nur Antidialerprogramme etwas....


----------



## wolfgang30 (2 November 2004)

Hallo Blacky!

Mir ist dc.exe "nur" als D ialer C ontrol.exe bekannt, dh. ein Programm daß vor (Porn)Dialern  schützen soll und somit ein Dialer-Schutzprogramm ist, dass allerdings dann nach 14Tagen Test auch kostenpflichtig wird.

Siehe dazu auch:  http://computercops.biz/slet-d.html 
unter dialercontrol (ca. an so 100. Stelle) bzw. auch :   http://www.dialer-control.de/

Prüfe auch mal deine Startup-Liste, ob sich diese dc.exe schon eingetragen hat und gffls. wieder dort deaktivieren.

sonst fällt mir zu dc.exe nichts weiter ein.


----------



## technofreak (2 November 2004)

siehe auch :
http://forum.computerbetrug.de/viewtopic.php?p=2434#2434

dort wird bereits vor über  zwei Jahren über dc.exe als Bestandteil von Dialer-Control diskutiert 

http://forum.computerbetrug.de/viewtopic.php?p=2459#2459


			
				hanso2 schrieb:
			
		

> Es installiert nur 4 Dateien (dc.exe, dc.dll, install.log und uninstall.exe).


----------



## Dino (2 November 2004)

Irgendwie plagen mich allerdings Zweifel, dass Dialercontrol via einer blödsinnigen "Ich hab am Bahnhof gewartet"-Spam-Mail vertrieben wird. Dateinnamen sind Schall und Rauch. Nur weil das Teil, um das es hier geht, dc.exe heißt, muss es sich nicht zwingend um die dc.exe von dialercontrol handeln.


----------



## technofreak (2 November 2004)

Dino schrieb:
			
		

> Nur weil das Teil, um das es hier geht, dc.exe heißt, muss es sich nicht zwingend um die dc.exe von dialercontrol handeln.



einfach mal Googeln "dc.exe"  , das gibt fast 1000 Treffer, von völlig unverdächtigen bis zu Trojanern: 
z.B in diesem Forum diskutiert:
http://forums.techguy.org/showthread.php?t=247481&goto=nextoldest


> Over the pass two days my Virus Software has been popping up and telling me that it has detected the Keylog Briss Trojan and cleaned (deleted) it. It finds it in this location: C:\Documents and Settings\My Name\Local Settings\Temp Internet Files\Content.IE5\"String of letters and numbers"\dc[1].exe. This is immediately followed by the same pop up telling me that it was also detected and cleaned from this location: *c:\windows\System32\dc.exe.*


Fremdprogramme mitten im System32 Verzeichnis sind immer mit Vorsicht zu
 geniessen, da haben sie normalerweise nichts zu suchen. Spybot hat zudem Schwierigkeiten 
Dialer im Rootverzeichnis zu finden, ein berüchtigter Dialer web.exe, der sich direkt unter c: 
einnistet wird, von Spybot nicht gefunden.


----------



## Anonymous (6 November 2004)

Hallo Zusammen,

bei dem genannten Anhang (Foto-jpg.com) handelt es sich tatsächlich um einen Schädling!
Das Programm hinterlegt in der Registry einen Eintrag um beim Starten des Rechners wieder geladen zu werden.
Es wird mittlerweile auch von der Antiviren-Freeware "AntiVir ( www.free-av.de )" erkannt und mit der internen Bezeichnung "BDS/Agent.DW.3" ausgewiesen und beseitigt.

Good Luck! :thumb:


----------

