# dialer 0190092079 von mcn tele.com durch trojaner ?



## Anonymous (2 Juni 2003)

*Hallo an Alle,* die sich diesen oder ähnlichen *dialer *eingefangen haben, oder weiterhelfen können.

*PROBLEM*:
Hatte auf meinem letzten EVN der DTAG folgenden Posten:
Anbieter:
mcn tele.com AG
Rufnummer 0190092079
Dat.: 10.05.2003 Verb.dauer: 00:04:06
Betrag (netto): EUR 52,8793 (!!) :bigcry:  

*BESCHREIBUNG*:
Ich habe mir noch nie einen dialer gefangen (T-DSL), war daher sehr überrascht. Ich bin etwas ratlos, wo ich mir den dialer gefangen haben soll. Ich habe keine zweideutige Downloadaufforderung bestätigt.
Einzige Idee: Es handelt sich um einen (neuen?) Trojaner, der sich beim Download und Ausführen anderer Software (so eine Art Downloadmanager auf einer Palm OS Softwareseite)
Ich bemerkte nur, das ich mir einen Data Miner o.ä. gefangen hatte und habe diesen postwendend mit ad-aware 6.0 gelöscht (das war leider fatal für meine Reklamation der anfallenden Verbindungskosten...  :evil: ). Es handelte sich um ein Programm, das sich nur löschen lies, nachdem ich zugehörigen Prozess im TakManager manuell beendet hatte, ungewöhnlich, oder?

*FRAGE*:
Ich habe jetzt leider keine Spuren mehr. Gibt es irgendwo im Windoof-System eine Logfile, die diese Installations/Deinstallations Prozesse aufgezeichnet hat, die jetzt noch (ca. 20 Tage später) existent wären? CAPI hat kein Protokoll dazu. Wie kann ich meine Gebührenbeschwerde bei der mcn tele.com begründen, wenn die _[...]_ mit einem Mahnbescheid kommen. Habe vorerst schriftlich Widerspruch eingelegt ( http://www.dialerundrecht.de/muster.rtf ).
Habe in den Infos über Trojaner keine treffende Problembehandlung gefunden ( http://www.trojaner-info.de/inhalt.shtml ).

Für Hilfestellungen / Antworten / Lösungen jeder Art wäre ich sehr *dankbar*.

*DETAILINFO*:
Mein System:
Win 2000,SP3,pre SP4,
IE 6.0,
OE 6.0,
AMD Athlon 1400
K7S5A  SIS Elite-gr
512 MB SD-RAM 133
Internet: T-DSL
über LAN-Router/ Eumex 704 PC LAN ISDN-Telefonanlage-LAN-Router Kombi.
CAPI 2.0
HomeNet Control


----
Ich habe evtl. beleidigende Äußerungen gestrichen. Bitte in der Wortwahl zügeln.

SprMa
-Moderator-


----------



## Smigel (2 Juni 2003)

Hallo,
denke mal folgendes ist dein Problem


> über LAN-Router/ Eumex 704 PC LAN ISDN-Telefonanlage-LAN-Router Kombi.
> CAPI 2.0



Damit kann sich ein Dialer einwählen.
Schau mal nach ob die Eumex evtl. die Verbindungen protokolliert.

Versuch doch mal ob folgender Test was findet.

http://www.sieder-edv.de/dialerschutz


----------



## Anonymous (2 Juni 2003)

*dialer 0190092079  von mcn tele.com durch trojaner ?*

Hi Smigel,
danke für den Tipp!



			
				Smigel schrieb:
			
		

> Schau mal nach ob die Eumex evtl. die Verbindungen protokolliert.
> 
> Versuch doch mal ob folgender Test was findet.
> 
> http://www.sieder-edv.de/dialerschutz



Leider hat der Test keine ActiveX Dialer/Autolader finden können.
Ich habe leider kein CAPI Protokoll mehr von dem Datum. Ich hatte die automatische protokollierung ausgeschaltet Ich könnt mich in den *'*'*!§* Beissen   !
Mir fällt da nichts weiter ein, was ich machen könnte ausser zu versuchen die website wiederzufinden und den dialer erneut zu fangen und dann auf diskette zu sichern...?


----------



## Devilfrank (2 Juni 2003)

Eine Chance bietet Dir das Ereignisprotokoll von W2k
Systemsteuerung\Verwaltung\Dienste (s. Bild)
Dort sind auch die Verbindungen protokolliert, die eröffnet wurden.


----------



## Anonymous (3 Juni 2003)

Hi Devilfrank,

danke für den wertvollen Tipp.



			
				Devilfrank schrieb:
			
		

> Eine Chance bietet Dir das Ereignisprotokoll von W2k
> Systemsteuerung\Verwaltung\Dienste (s. Bild)
> Dort sind auch die Verbindungen protokolliert, die eröffnet wurden.



ich habe noch Protokolle von dem entsprechenden Datum,
jedoch nur Ereignisprotokolle vom An- und Abmelden von Windows, 

Verbindungen werden hier nicht protokolliert. Wo werden die denn dann aufgezeichnet? Hat die HomeNet Control oder die CAPI Control noch versteckte Protokolle? Ich hatte die automatische Protokollierung bei der CAPI Control ja nicht aktiviert.


Hier nochmal meine Ereignisprotokolle vom entsprechenden Datum (die einzigen von dem Datum) als reine Textversion:
Interessant ist der Vergleich der Uhrzeit auf meinem Rechner mit dem der Verbindung auf der Telefonrechnung: laut Telefonrechnung hat der Verbindungsaufbau am 10.05.2003 um 03:39:15 stattgefunden. das Ereignisprotokoll zu dem Datum beginnt mit einem Eintrag um 03:56:59.
Meine Rechneruhr geht im Moment im Vergleicht zur Funkuhr 1 Minute vor. Datum stimmt überein. *Demnach wurde die strittige DFÜ Verbindung 15 Minuten vor dem automatischen Starten des Ereignisprotokolls aufgebaut.* Wie kann das sein? Kann der dialer eine Verbindung aufgebaut haben, bevor das Ereigniprotokoll gestartet wurde?

Ereignis:

Ereignistyp:	Informationen
Ereignisquelle:	EventLog
Ereigniskategorie:	Keine
Ereigniskennung:	6009
Datum:		10.05.2003
Zeit:		03:56:59
Benutzer:		Nicht zutreffend
Computer:	*******
Beschreibung:
Microsoft (R) Windows 2000 (R) 5.0 2195 Service Pack 3 Uniprocessor Free.

Ereignis:

Ereignistyp:	Informationen
Ereignisquelle:	EventLog
Ereigniskategorie:	Keine
Ereigniskennung:	6005
Datum:		10.05.2003
Zeit:		03:56:59
Benutzer:		Nicht zutreffend
Computer:	*******
Beschreibung:
Der Ereignisprotokolldienst wurde gestartet.

Ereignis:

Ereignistyp:	Informationen
Ereignisquelle:	EventLog
Ereigniskategorie:	Keine
Ereigniskennung:	6006
Datum:		10.05.2003
Zeit:		05:15:47
Benutzer:		Nicht zutreffend
Computer:	*******
Beschreibung:
Der Ereignisprotokolldienst wurde beendet. 
Daten:
0000: 05 00 00 00               ....


----------



## Anonymous (3 Juni 2003)

- schieb -

wichtiges Problem, scheint auf jeden Fall die ISDN-Anlage schuld zu sein.... :evil:


----------



## Devilfrank (3 Juni 2003)

@dialer_opfer_gegenwehr

_Demnach wurde die strittige DFÜ Verbindung 15 Minuten vor dem automatischen Starten des Ereignisprotokolls aufgebaut. Wie kann das sein? Kann der dialer eine Verbindung aufgebaut haben, bevor das Ereigniprotokoll gestartet wurde? _

Das ist nicht möglich, da das Ereignisprotokoll als Startdienst sofort mit dem Start von Windows ausgeführt wird. D.h., bevor Kontoeinstellungen geladen werden, der User sich am Windows anmelden kann (und sei es automatisch) läuft der Ereignisdienst schon.
 Es ist durchaus möglich, dass im Ereignisprotokoll kein expliziter Eintrag erfolgt, da die Eumex meines Wissens über USB angeschlossen die Verbindung aufbaut und nicht den Remote-Dienst von Windows verwendet.
Dass die Verbindung jedoch vor dem Start des Ereignisprotokolls stattgefunden haben soll, halte ich für ausgeschlossen.
Insofern sind diese Angaben nicht stimmig.
Bis hier hattest Du im Systemprotokoll nachgesehen, hast Du im Anwendungsprotokoll einen Eintrag für den Start des Homenet-Control gefunden?
Ob es da weitere Protokolle gibt, kann ich Dir nicht sagen. Hierzu solltest Du vielleicht die Eumex-Hotline der Telekom nutzen.


----------



## Anonymous (3 Juni 2003)

Hi Devilfrank,

danke für den Tipp,



			
				Devilfrank schrieb:
			
		

> @dialer_opfer_gegenwehr
> 
> Es ist durchaus möglich, dass im Ereignisprotokoll kein expliziter Eintrag erfolgt, da die Eumex meines Wissens über USB angeschlossen die Verbindung aufbaut und nicht den Remote-Dienst von Windows verwendet.
> Bis hier hattest Du im Systemprotokoll nachgesehen, hast Du im Anwendungsprotokoll einen Eintrag für den Start des Homenet-Control gefunden?



Mein PC ist über *LAN zur EUMEX *verbunden (recht neue Variante)
Ich habe auch im Anwendungsprotokoll nachgesehen, da aber auch keine Ereignisaufzeichnungen bzgl. eines Verbindungsaufbaus gefunden, sondern nur die standard automatisch starteten apps.
Die HomeNet Control erzeugt also keinen Eintrag im Win2000 Ereignisprotokoll. Der *Netzwerkassistent *von Windows ist auf die *Nutzung eines lokalen Netzwerkes über LAN konfiguriert*. Vielleicht registriert Windows deshalb keinen Remote Access beim Aufbauen einer Internetverbindung?

Die *EUMEX kann sämtliche ausgehenden Verbindungen extern in einem Verbindungsdatenprotokoll speichern *(bis der externe Speicher voll ist, das signalisiert dann eine rot blinkende LED an der Anlage). Dieses Protokoll lässt sich von PC auslesen. Dort werden Port (interner Platz) Ziel-MSN und Absender MSN (Rufnummer des Ports) sowie Verbindungsbagin und -ende gespeichert. Dummerweise ist die Protokollierung bei Standard Konfiguration ausgeschaltet, welches ich damals nicht geändert hatte. Also habe ich kein Protokoll. Genauso  ist es mir mit dem CAPI Protokoll ergangen, das ebenfalls ausgeschaltet war. 

*An alle da draussen, die eine ähnliche ISDN-Anlage mit dem PC bedienen: aktiviert eure Verbindungsdatenprotokolle in der EUMEX *und in der CAPI !! Bei mir kommt diese Erkenntnis zu spät. Weiterhin empfehle ich die Installation eines 0190 Warners, der protokolliert dann auch die Anwendung, die versucht die Verbindung aufzubauen. Wirklich sicher scheint mir aber nur, den PC mit DSL von der ISDN Anlage abzukoppeln, etwa durch einen separaten Router oder Server, falls wie bei mir mehrere Rechner sich den DSL-Zugang teilen. Das wird bei mir die nächste Massnahme sein. Ansonsten empfiehlt es sich über die Telekom 0190 / 0900 Rufnummern sperren zu lassen, diesen Service lassen sich die margenta beflaggten Mannen mit 7,50.- € vergolden.

Rätselhaft dagegen bleibt die Zeitdifferenz. Vielleicht hat die Vermittlungsstelle nicht auf Sommerzeit (int. Zeit) umgeschaltet?


----------



## Anonymous (1 Juli 2003)

*file zu dialer lokalisiert: maconnect.dll*

Ich gleube ich habe den dialer zur o.a. 0190 0... Nummer gefunden:

Ich habe das neueste update für ad-aware 6 installiert und nochmal mein system gescant. Das Ergebnis:

ad-aware findet die datei *'MaConnect.dll' *und dazugehörige Registry Einträge. Das Erstellungsdatum passt zu dem Verbindungsnachweis (Datei zwei Tage älter).

Infos zu dem OnlineDialer (Ein ActiveX Dialer) finden sich unter:
http://www.safersite.com/PestInfo/O/OnlineDialer.asp


----------



## Devilfrank (1 Juli 2003)

Wobei noch die Frage bleibt:
Wie konnte sich das Mistding verbinden, wenn im Homenet-Control der Eumex die Verbindung über DSL eingetragen ist?


----------



## Rechenknecht (1 Juli 2003)

dialer_opfer_gegenwehr schrieb:
			
		

> Rätselhaft dagegen bleibt die Zeitdifferenz. Vielleicht hat die Vermittlungsstelle nicht auf Sommerzeit (int. Zeit) umgeschaltet?


sieh dir mal deine Systemzeit an. Vieleicht weicht sie von der Weltzeit ab. (Oder bei der Vermittlungsstelle)
 :roll:


----------



## Anonymous (1 Juli 2003)

*Dialer-Datei ' maconnect.dll ' tarnt sich als 'Loader Class'*

Hi devilfrank,




			
				Devilfrank schrieb:
			
		

> Wobei noch die Frage bleibt:
> Wie konnte sich das Mistding verbinden, wenn im Homenet-Control der Eumex die Verbindung über DSL eingetragen ist?



Die *Internet-Einstellung *in meinem Win2000 System sind auf die Nutzung eines *Lokalen Netzwerkes über LAN *zum Verbindungsaufbau zum Internet eingestellt. Daher erzeugt ein Verbindungsaufbau auch keinen Remote Access Eintrag in den System- und Anwendungsprotokollen.

Der dialer hat sich wahrscheinlich über die *CAPI Control *der Telekom Software eingewählt. Mit der kann man auch manuell eine *ISDN Internet-Verbindung über die EUMEX *aufbauen (FAX-Appl. o.ä.). Das funktioniert auch über LAN zur EUMEX, sogar auch dann, wenn der in der EUMEX integrierte Router standardmässig auf DSL eingestellt ist.
Das geht nomalerweise nicht, ohne dass zumindest ein kleines Programmfenster der CAPI aufpoppt. Wenn man die *CAPI Control richtig konfiguriert *hat muss sogar jeder *Verbindungsaufbau nachmals bestätigt* werden und es wird eine entsprechende logfile geschrieben, aber ich habe es ja versäumt die CAPI so zu konfigurieren. Eine Nachlässigkeit, die dem Dialer den Weg frei gemacht hat.

Ich habe ja kürzlich eher durch einen Zufall die DLL Datei des Dialers gefunden (s.o.). Ich habe noch eine Weile gebraucht bis ich endlich gecheckt habe, dass der Dialer (ActiveX-Stererelement) sich auch noch unter dem unauffälligen Namen '*Loader Class*' in dem Ordner *'Downloaded Program Files' *tarnt. Das ist echt spannend wie ein Krimi!

Jetzt habe ich endlich die nötigen Beweismittel in der Hand, um die Manipulation meines Rechners durch diesen *ActiveX AutoDialer *
nachzuweisen.

Thanx an alle, besonders an Smigel der mir den Tipp gab nach ActiveX Steuerelementen zu suchen !!! Nur hat der ActiveX Test, der unter seinem o.a. link zu finden war nichts angezeigt...

 8)


----------



## Smigel (2 Juli 2003)

Kannst Du mir die dll bitte mal an folgende Adresse mailen.
[email protected]
Aber bitte gezippt oder die Dateiendung ändern.

Das ist ein Crosskirk-Clone den ich noch nicht im Test drin habe, da ich das Teil nirgends gefunden habe.
_opps war wohl etwas spät, jetzt sollte das mit der Mail klappen _


----------



## technofreak (7 Juli 2003)

auch hier die Info (Dank an dvill) 

http://vil.nai.com/vil/content/v_100464.htm

(der direkte Weg, warum umständlich, wenns auch einfach geht) 

tf


----------



## Anonymous (6 Dezember 2003)

*ieloaderctl class - beweise sichern*

an alle: kann ich diesen dialer sichern und danach mein system reinigen, dmit der dialer endlich weg ist? wenn ja, wie geht das?
danke !!!


----------



## Anonymous (7 Dezember 2003)

@Gast, welchen Dialer und wozu Beweise sichern? Falls Du Dich nicht auskennst und das Teil gerichtsverwertbar einsetzen willst, dann sollte das ein Fachmann oder, im Anzeigenfall, die Polizei tun. Der Dialer allein nutzt später nicht mehr viel - man muss ihn in seiner typischen Umgebung analysieren.
Wenn Du ihn nur loshaben willst, dann rufe ihn doch mal auf (mit gezogenem Tel-Stecker). Wie Deiiner Betreffzeile zu entnehmen ist, handelt es sich dabei evtl. um einen alten Bekannten. Dort gibt es womöglich eine Schaltfläche, die zur Installation führt und auch eine Deinstallationsroutine beinhaltet (evtl. Button mit 3 Punkten) oder gucke mal in die Taskleiste, ganz unten rechts. Falls dort ein Icon zu dem Dialer liegt, mit der rechten Maustaste betätigen, ob dort womöglich "Uninstal" oder so angeboten wird. Außerdem solltest Du nach dem Programm suchen (*exe). Erst wenn das sowie der Eintrag unter den Downloaded Program Files entfernt ist, sollte der Spuk vorbei sein.


----------



## Anonymous (14 Dezember 2003)

*@ anna*

ich weiß ja nicht, was passiert. ob der telefonanbieter uns verklagt oder so. daher wollte ich den dialer sichern und danach den rechner formatieren, um ihn wieder benutzen zu können.


----------



## Anonymous (14 Dezember 2003)

@Gast,
wenn die Nummer, die ein Dialer von Deinem Telefonanschluss aus gewählt hat nicht in der Dialerdatenbank der RegTP registriert ist, dann besteht kein Zahlungsanspruch. Also, wenn Du den Dialer sicherst, der explizit diese Nummer angewählt hatte (womöglich auch noch diverse Logfiles des Dialers ausdrucken), dann dürfte das eigentlich reichen. Ist Dir überhaupt ein Schaden entstanden? Hast Du eine Telefonrechnung mit unverkürztem Einzelverbindungsnachweis?
Wenn sich der Dialer so einfach sichern lässt, dann kannst Du ihn bestimmt auch löschen, ohne gleich den Rechner formatieren zu müssen. Weißt Du eigentlich, von welcher Website das Teil stammt? Ist die Session nachvollziehbar?


----------

