# ....com



## querre (29 Juni 2004)

Hallo @all,
ich hab ein kleines Problem . Wenn ich ins Internet gehe, kommt die obengenannte Website immer als startsite, obwohl ich davor noch davon etwas gehört geschweigedenn auf ihr war. Ich änderte also die Site in google und da sagt nach 5 Min mein 0190 warner möchten sie wirklich ....com als Starsite haben obwohl ich das net wollte. Ich klick also nein an aber das hatte nix gebracht . Also löschte ich alle temp sachen meine Cookies, den Verlauf , liess antispy und antivir drüberlaufen aber es hatte nix gebracht. Deshalb schaute ich in die reg und siehe da da war ein Eintrag von prosearching  :evil: .Ich löschte ihn und nacj 10 min sagte mein 0190 Warner wieder ob ich die startsite in prosearching umtaufen lassen will.
Zu meinen Fragen:
1)Kann das sein das diese Site eine Dialersite ist (wegen dem Warner ich hab noch net auf die telrechnung gesehen weil das noch ziemlich neu ist)

2) Wie krieg ich dieses Problem wieder behoben 

3) wei kann ich verhindern das das nochmal passiert

danke im vorraus,
querre

_[Edit: Bitte NUB beachten - HDUS]_


----------



## haudraufundschluss (29 Juni 2004)

Probier´s mal mit Spybot oder dem CWShredder.


----------



## TSCoreNinja (29 Juni 2004)

**Searching*

Kurzes Googlen brachte interessantes ans Tageslicht, auf das ich in anderem Kontext bereits gestossen bin. Zur Suchseite gibts dieses Hijackthis Log.

Hier taucht ebenfalls ein Eintrag zu Dialer2004.*** auf, der eine aeusserst boesartige load.exe aufruft. Per Windows Help File Exploit. Was letztlich zu einer Einwahl bei EMSAT unter 0088213335132 fuehren koennte, via einer Datei seksdialer.exe

Ansonsten taucht in einem weiteren Log auch eine Referenz auf ein Plugin von acculoader.*** auf, was ein Alias der Downloaddomain von den Dialern der Rufnummer 0900-90000606 und 0900-90000928 ist. 

Wie herum das laeuft, ob die Dialerseite die Suchmaschine installiert oder umgekehrt, weiss ich nicht, jedenfalls ist dies scheinbar ein derzeit sehr beliebter Sport, den ich bei anderen Suchmaschinen der Kategorie CWS gefunden habe.

Also unbedingt HijackThis drueberlaufen lassen! Und zumindest eine Dialerschutzsoftware installieren. 

Andererseits vielleicht doch auf einen alternativen Browser umsteigen, wie von CERT empfohlen ob ungeflickter Loecher im Internet Explorer.

Zum Hintergrund:  die Seite wird von 
	
	



```
C2 Media Ltd.
Unit 12, 571 Finchley Road
Hampstead, London, NW3 7BN
United Kingdom
```
 betrieben. Mehr dazu 
in diesem Artikel. Beim Eingeben von Test-Begriffen wird man uebrigens ueber Webserver von hxxp://www.falkag.de und hxxp://www.zanox-affilate.de geleitet, die offensichtlich fuer den Traffic zahlen.

Gr,
TSCoreNinja


----------



## querre (30 Juni 2004)

*hijack*

Also erstma danke für die Tipps
also ein Anti 0190 habe ich schon (0190 Warner heisst der)
ich hab mir mal das Prog hijack this runtergeladen und folgendes kam:
Logfile of HijackThis v1.98.0
Scan saved at 10:37:09, on 30.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\0190 Warner\w0svc.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\PROGRA~1\Atommeal\drvwmareadme.exe
D:\WINNT\system32\internat.exe
D:\Programme\Steganos Security Suite 4\sde.exe
D:\Programme\Steganos Security Suite 4\steganos4.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\Stealth Anonymizer\stealth23r2.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://....html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://....html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://...dex.html?http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://....html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://...r.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://...r.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://...ar.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - D:\WINNT\udpmod.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LockDown2000] D:\Programme\LockDown 2000 v7.0\lockdown2000.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Dconfig7] D:\WINNT\RSTINS.EXE
O4 - HKLM\..\Run: [isobib] D:\PROGRA~1\Atommeal\drvwmareadme.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SDE] D:/Programme/Steganos Security Suite 4/sde.exe /booting
O4 - HKCU\..\Run: [SSS] D:/Programme/Steganos Security Suite 4/steganos4.exe /booting
O4 - HKCU\..\Run: [Steam] D:\Valve\Steam\Steam.exe -silent
O4 - Startup: Stealth Anonymizer.lnk = D:\Programme\Stealth Anonymizer\stealth23r2.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {0191ABF4-9421-435E-9FFaD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://directplugin.com/tl7000.dll


Jaetz hab ich folgende Frage was muss ich löschen bzw. in Quarantäne setzen  und brauch es net zum start für win 2000 prof . Ich weiss bin dumm aber irgendwie damit hab ich mich noch nicht so richtig beschäftig .
Vielen Dank für die Antworten
querre

*[Virenscanner: URL "entschärft"]*


----------



## haudraufundschluss (30 Juni 2004)

*Re: hijack*



			
				querre schrieb:
			
		

> O16 - DPF: {0191ABF4-9421-435E-9FFaD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://....com/tl7000.dll



Antivir sagt mir, dass es sich hier um einen Trojaner handelt...


----------



## virenscanner (30 Juni 2004)

Diese Einträge im abgesicherten Modus fixen:


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://....html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://....html
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://...dex.html?http://www.google.de/
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://....html
> ...


----------



## TSCoreNinja (30 Juni 2004)

*Re: hijack*



			
				querre schrieb:
			
		

> O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - D:\WINNT\udpmod.dll


Apropos, dies scheint ein Dialer zu sein, wenn man einigen Hits bei Google glaubt. Sicher den lieber mal auf CD/Diskette wg eventueller Beweise im Falle einer Einwahl.
Gr,
TSCoreNinja


----------



## querre (1 Juli 2004)

*danke*

Also ich habe jetz alles gemacht, was ihr gesagt habt , aber irgendwie sagt der 0190 Warner immernoch möchten sie prosearching als Startsite haben , aber diesmal maccht er wenn ich auf nein klicke auch wirklich nein. 

Aber trotzdem wunder ich mich ein bisl warum diese Fehlermeldung kommt, obwohl nix mehr passiert?

Und ich wunder mich, wie sowas überhaupt passiert , denn ich denke legal ist das nicht oder?

Und dann noch eine Frage : Wie kann ich das in Zukunft verhindern , dass sich automatisch eine Startsite einrichtet?

Und gibt es irgendwie ein Programm, womit ich ich sozusagen kontrollieren kann, ob sich was im Hintergrund installliert ?

Und die letzt Frage , stimmt das eigentlich wenn ich eine Flatrate habe , dass sich die meisten Dialer eh nicht einwählen können oder bin ich da falsch informiert?

Vielen Dank für die Hilfe, 
querre


----------



## OskarMaria (1 Juli 2004)

*Mozilla oder FirefOx*

Hallo querre,

nimm einfach einen anderen Internetbrowser - dann hast Du dieses Problem nicht mehr. Ich empfehle den kostenlosen & schnellen Firefox, der in fast allen Bereichen den IE übertrifft.

In Bezug auf Sicherheit gibt es dann keine ActivX-Programme mehr, die Dir einen Dialer aufschwätzen wollen. Auch unterdrückt der Browser PopUps und verhindert so, dass man auf unseriösen Seiten den Überblick verliert.

Die neue Version 0,91 gibt es hier:
http://www.firefox-browser.de/

OM


----------



## Anonymous (2 Juli 2004)

*Re: danke*



			
				querre schrieb:
			
		

> Also ich habe jetz alles gemacht, was ihr gesagt habt , aber irgendwie sagt der 0190 Warner immernoch möchten sie prosearching als Startsite haben , aber diesmal maccht er wenn ich auf nein klicke auch wirklich nein.
> 
> Aber trotzdem wunder ich mich ein bisl warum diese Fehlermeldung kommt, obwohl nix mehr passiert?
> 
> ...




Legal ist sowas natürlich nicht.

Zum einen ist die lästige Sache - wenn ich mich recht erinnere (hatte das gleiche Problem auch mal) - mit Spybot zu entfernen. 

Zum anderen benötigen Sie ein Anti-Viren-Programm. Das verhindert, dass der Schädling sich einnisten kann. Ich empfehle Norton Anti Virus.

Sehr hilfreich (in diesem Fall leider nicht, aber generell) ist eine Firewall (als Software-Lösung kostenlos). Hier empfehle ich Zone Alarm (www.zonelabs.com - darauf achten, dass man die Free-Version auswählt; die anderen kosten etwas).

Mit Norton Anti Virus und Zone Alarm ist ihr PC eigentlich wirklich wasserdicht. Ausnahmen bestätigen natürlich die Regel, aber Sie sind damit sehr sicher. Darauf achten, dass die Software auf dem aktuellen Stand ist.

Um vor manuellen Einwahlen sicher zu sein, benötigen Sie DSL. Wenn Sie oft und länger im Internet sind (ca. 1,5 bis 2 h pro Tag), rechnet sich DSL auf alle Fälle. Sie sollten allerdings bei der Auswahl des Tarifes einen für sie passenden und damit günstigen auswählen. ...
...

 Für 2 Personen können 2 oder 4 GB durchaus ausreichend sein. Zeittarife finde ich persönlich weniger interessant. Das Zeitbudget hat man in der Regel schneller ausgeschöpft als das Volumenbudget. Eine volle Flatrate ohne jegliche Beschränkung gibt es unter ..... de für weniger als 20 Euro. Das ist eine mit der günstigsten Flatrates, die eine optimale Performance bietet. Von ...., die noch günstiger sind, ist abzuraten. Ab einem gewissen Volumen, das sie genutzt haben, wird Ihre Geschwindigkeit gedrosselt.

Mit DSL und ohne Kabelverbindung vom PC zu Telefonbuchse (also kein ISDN-Modem/kein analoges Modem aktiv) können keine für Sie überraschenden Einwahlen stattfinden.
Die Dialerverbindungen kommen genauso zustande wie Ihre normalen Telefongespräche. Ihr Modem, das mit dem PC verbunden ist, hebt sozusagen ab, der Wählton ertönt, nun wählt das Modem die entsprechende Nummer. Normalerweise Ihre Providernr. Diese wird aber ausgetauscht gegen die teure Mehrwertrufnummer. Und schon haben Sie den Schlamassel.
Die DSL Verbindung ist hingegen eine reine Datenverbindung. Hier werden keine Nummern im klassischen Sinne gewählt. Mit DSL wird Ihre Telefonleitung in zwei Frequenzbereiche aufgesplittet. Ein Frequenzbereich dient weiterhin der Telefonie. Der andere ist auschließlich Ihrer Verbindung zum Internet per DSL vorbehalten. Daher sind Sie mit DSL auf der sicheren Seite.

Kurz und knapp: wenige Maßnahmen, hoher Komfort, hohe Sicherheit. Und immer auf den Preis achten. Man muss nicht mehr ausgeben als nötig ist. Günstige Hardware gibt es bei ........ Hier können Sie nach der Mindestvertragslaufzeit kündigen und dann einen günstigeren Internetprovider auswählen, wie oben beschrieben.

_kommerzielle Links und Hinweise gelöscht, siehe NUB 
http://forum.computerbetrug.de/rules.php#13 _


----------

