# Auslandsdialer? Einwahl 008821388XXXX oder mit 0



## Einfragender (18 September 2004)

Etwa alle halbe Stunde versucht sich ein Einwahlprogramm über die o.g. Nummern einzuwählen - wohl vergeblich. Unter "Netzwerkverbindungen" erscheint als Verbindungsname "all", als angewählte Nummer wird lediglich die "0" angegeben. Nach zwei Versuchen verschwindet diese Verbindung wie von Geisterhand. Nachsuche auf Malware über Spybot oder a²free ergibt nix auswertbares, obwohl ja irgendwas manipuliert sein muß.

Ist wohl nicht schädlich, aber es nervt, jedesmal wieder die alte Verbindung aufbauen zu müssen.

Habe inzwischen den 190 Warner von Herrn Boer installiert, der auch trefflich warnt - leider erst, wenn Verbindung unterbrochen.

Hat wer Erfahrung mit dem Ding? Wie bekommt man es weg? Auch eine Systemwiederherstellung brachte keine Veränderung.

Oder droht doch Gefahr? 

PS: Das erste mal ist es nach Aufruf einer niederländischen Seite .Mokkels.nl aufgetreten


----------



## Aka-Aka (18 September 2004)

XXXX=4830?


----------



## Anonymous (18 September 2004)

kann sein, aber gemerkt habe ich mir 2220, 2222-2228


----------



## Anonymous (18 September 2004)

Du kannst das ja bei BSI melden:
http://www.bsi.de/dialer/warnung/emsat-info.htm

Da steht auch was über "echte" und "falsche" Emsat-Nummern:
00-88213-xx-yyy-z

xx: 00, 10, 20, 30, 41, 46, 58, 60, 85, 86
yyy: 000, 001,002, ...., 998, 999
z: 1, 2, 3

Da "dein" xx 88 ist, ist's schon mal keine emsat-Nummer, oder?


----------



## Stalker2002 (18 September 2004)

Anonymous schrieb:
			
		

> Du kannst das ja bei BSI melden:
> http://www.bsi.de/dialer/warnung/emsat-info.htm
> 
> Da steht auch was über "echte" und "falsche" Emsat-Nummern:
> ...



Doch, ist Emsat/Telespazio.
numberingplans

Sehr praktisch, diese Seite, wenn es um das aufdröseln solcher Nummern geht.

MfG
L.


----------



## Anonymous (18 September 2004)

Das widerspricht dem BSI


			
				bsi schrieb:
			
		

> Vorwahl 0088213 - EMSAT-Satellit oder Dialer-Trick?
> 
> Die Vorwahl-Nummer "0088213" ist eigentlich für Verbindungen zum EMSAT-Satelliten vorgesehen. Es besteht jedoch mittlerweile der Verdacht, dass viele diese Satelliten-Rufnummern in Wirklichkeit im Festnetz geschaltet sind und nur als Ersatz für teure 0190-Rufnummern dienen.
> Dies wird auch belegt durch eine Information des EMSAT-Satellitenbetreibers Eutelsat vom 18.04.2004 (war einige Zeit im Internet-Auftritt von Eutelsat).
> ...


irgendwo hier wird das auch debattiert.


----------



## Captain Picard (18 September 2004)

http://www.bsi.de/dialer/warnung/eutelsat-de.htm


			
				Eutelsat schrieb:
			
		

> Wie können Sie sich zur Wehr setzen?
> Wenn Sie weitere Nachforschungen anstellen wollen, empfehlen wir Ihnen, sich erneut mit Ihrer Telefongesellschaft in Verbindung zu setzen oder mit folgenden Personen Kontakt aufzunehmen:
> Telecom Italia : Herr L.  R.
> Carrier manager, International Operations
> ...



Witzbolde.....

cp


----------



## Einfragender (19 September 2004)

*Weitere Ergebnisse*

Der 0190-Warner hat jetzt eine Datei "Shell Ext/check.EXE" unter C/Windows/System32 erkannt und zum Isolieren bzw. Löschen geraten.
Aber trotz Unschädlichmachen war sie am nächsten Tag wieder da.

Habe dann in der Autostartdatei nachgesehen und dort Eintragungen gefunfen, die mir nichts sagen, z.B. Svchost.exe. Dat Ding is mir doch in diesem Forum schon mal in Verbindung mit Dialern begegnet???

Werde mal die Suchfunktion befragen.

Wenn Telespazio Nummern weitervermietet, lohnt sich die Verbindungsaufnahme?

Bleibe am Ball


----------



## Einfragender (19 September 2004)

*weiter neues*

In dem Zusammenhang wurde auch ein Programm d_2.EXE unter demselben Pfad aktiv, aber nun nix mehr mit Emsat - Nummer, sondern ne 090090000928. Da gibts ja auch schon Erfahrungen hier im Forum. Wie das wohl alles zusammenhängt?


----------



## Aka-Aka (19 September 2004)

bitte versuche, möglichst viele der Dateien irgendwie zu sichern (zB umbenannt in d_2.vir oder so). Manchmal sind interessante Infos drin enthalten. 090090000928 war ein in meinen Augen höchst interessanter Dialer, leider weiß ich nicht, ob da jemals weitere Ermittlungen geführt wurden. Ich habe hier einen d**.exe-Dialer mit Hinweisen auf deutsche Firmen, der wählt aber 010330067... (glaub ich).


----------



## johinos (19 September 2004)

Viele Dateien sichern ist schön und gut, beweisen geht damit meistens nur so viel, wie problemlos zugegeben werden kann. 

Unangenehm wird es doch erst dann, wenn nicht nur die Existenz bestimmter Dateien, sondern auch der genaue Ablauf zweifelsfrei bewiesen werden kann. Und das geht nur, wenn eine komplette Datensicherung vorhanden ist, also: Festplatte spiegeln. Dann erst anfangen, bestimmte Dateien zu suchen und zu sichern.


----------



## TSCoreNinja (20 September 2004)

@Einfragender

Die d_2.exe/0900-90000928 wurde von einer Life and Art Consulting aus Bingen betrieben, die Rufnummern/Dialerkombi duerfte eigentlich zur Zeit gar nicht mehr sinnvoll sein. Dies alles gehoerte zu einem Dialerbetreiber, der sich u.a "DialerConnection" nannte, und auch einige Auslands/satellitennummern im Angebot hatte. Mit einem String "premium-call.de" im Dialer, Aehnlichkeiten zur gleichnamigen einschlaegig bekannten deutschen Firma sind natuerlich rein zufaellig... 
Mehr dazu in diesem alten Posting von mir:
http://forum.computerbetrug.de/viewtopic.php?p=54692&highlight=life+art+bingen+premium#54692

Was interessant ist: die alten Downloads sind tot. Hast Du Dir das neu eingefangen? Wenn ja, wuerde mich interessieren, woher. Kannst Du mal ein HijackThis Log anfertigen, und als Attachment anhaengen (oder mir als PN zuschicken)? 
Gr,
TSCN


----------



## Einfragender (20 September 2004)

*das vo ganz ohm*

@TSCoreNinja

Hoffe, es klappt mit dem Attachment, ansonsten probier ichs nachher mal mit PN
Befasse mich erstmals mit Hijackthis bzw. einer Anleitung dazu... ein abendfüllendes Programm


----------



## TSCoreNinja (20 September 2004)

So, bin das mal durchgegangen. 

Kann jemand sonst evt noch mal drueberschauen, ob ich Unfug erzaehle? BTW, ich hab bei einigem geschrieben, dass ich nicht sicher bin. http://www.virustotal.com scannt Dateien auf Viren und benutzt gleichzeitig etliche bekannte Programme, ist evt. zur Ueberpruefung der unsicheren Dateien geeignet. Ansonsten mal die Eigenschaften anschauen, und feststellen, ob von Microsoft... Ausserdem muss der Rechner im abgesicherten Modus gestartet werden. BTW, da ist ziemlich viel Muell drin, unbedingt ein Update von Windows machen, oder evt. ueber eine Neuinstallation nachdenken. 

Ist glaube ich von NVidea, daher nicht boese:
C:\WINDOWS\System32\nvsvc32.exe

AOL Program,http://www.liutilities.com/products/wintaskspro/processlibrary/wanmpsvc/ ? Keine Ahnung... 
C:\WINDOWS\wanmpsvc.exe

Vermutlich Virus, bin mir aber nicht ganz sicher, gibt auch ein Soundkarten-Programm
siehe http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101090
C:\WINDOWS\SOUNDMAN.EXE


Die folgenden fixen, das gehoert zu einem Browser Hijacker:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://my-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://my-find.com/sp.htm
R3 - Default URLSearchHook is missing

Meines Erachtens sind die folgenden beide Spyware, siehe
http://www.spyany.com/program/article_ad_rm_Global_Finder.html
und
http://securityresponse.symantec.com/avcenter/venc/data/adware.searchcounter.html
F1 - win.ini: run=fntldr.exe  msinfo.exe


Malware, siehe http://www.lurhq.com/submithook.html gibt wohl eine Uninstall Moeglichkeit (nachschauen unter Systemsteuerung->Software, obs da entfernt werden kann)
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll

Weiss nicht sicher, mal auf Virus scannen:
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\michael.INES\Anwendungsdaten\sysmq\mssearch.dll

Ist glaube ich von Microsoft, bin mir aber nicht sicher:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx


Fixen, :
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install

Taucht nur in Zusammenhang mit hotxxx Dialer auf, daher fixen:
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\msocfg.exe /i


Google sagt hier Virus, 
siehe http://www.windowsstartup.com/wso/browse.php?l=14&start=50&end=75
also Fixen
C:\WINDOWS\System32\NETAPI.EXE
O4 - HKLM\..\Run: [NETAPI] C:\WINDOWS\System32\NETAPI.EXE


Alte Ueberbleibsel? Im Zweifelfall loeschen...
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de

Fixen:
O16 - DPF: {22998D24-B789-4CA2-A7FC-CD7CE7DEB100} - h**p://64.239.87.168/toolbar/seek99.cab

Keine Ahnung, ob dies bewusst genutzt wird, und was dies tut.... Im Zweifel fixen, wenn man nicht weiss, was es ist, fehlts einem auch nicht... :
O16 - DPF: {2C52AF58-B9B1-11D5-9DF6-00508B755B44} (AXClientUtil2 Control) - h**p://www.smartforce.com/v2.1/applications/liveplay/Activex/AXClientUtil.cab


----------



## Einfragender (20 September 2004)

das gibt ja was  

nun, das meiste kann ich nachvollziehen. Erstmal vielen Dank


----------



## Anonymous (21 September 2004)

*008821388... Dialer*

Ja, das  hatte ich auch
eine bestehende T-Online-Verbindung (ISDN) wurde beendet und mehrfach versucht, auf 0088213881122x, also mit wechselnden Nummern versucht heimlich wieder neu einzuwählen. Der 0190-Warner hat das erkennt und hoffentlich rechtzeitig abgebrochen.

Nur war die Check.EXE schon wieder vom angegebenen Ort verschwunden, bevor 0190-Warner was löschen konnte. 
Spybot, und AdAware haben nix gefunden.
Selbst der Wechsel von IE auf Mozilla hat nix gebracht. Der Effekt tritt immer noch auf. 
Hat jemand ne Idee, wie man den wegbekommt.

Ich bin mir nicht sicher, aber er könnte durch dummes Einschalten von active-X im IE reingekommen sein. 


Mic


----------



## Einfragender (21 September 2004)

@ Mic

guck mal, wie mit dem 0190 - Warner empfohlen, in die Autostartliste. Da stehen bei Dir bestimmt auch merkwürdige Dateien drin...


----------



## Anonymous (22 September 2004)

Bin ja fast berhuigt dass es noch mehr Leute gibt die sich die Nächte mit so nem Mist um die Ohren schlagen müssen.
In der Autostartdatei gibt es zwar einige Einträge die ich jetzt deaktiviert habe, wie genau ich den jetzt runterbekomme ist mir aber immer noch nicht klar.
Die Datei von der aus der Dialer starten will ist c:windows/system/shell/check.exe
Geht man auf den betreffende Ordner sieht man einen leeren Ordner der nach dem löschen sofort wieder erstellt wird.
Ist es von dort aus möglich den Ursprung des Ordners zu ermitteln umd das Ding dann dauerhaft zu entfernen ?


----------



## Anonymous (22 September 2004)

*Dialer 008821 3 88 2225*

*Habe das gleiche Problem und eigentlich gehören die Verursacher weggeschlossen.

Zu den Fakten: check.exe wurde per Process Viewer gefunden.
Die Anwendung taucht nach ca. 15 Minuten auf und mein Smart Surfer
kappt die angebliche 0190 Einwahl. Somit erst mal Schluss mit Surfen.

Das Programm 0190 WARNER 4.03 listet die geplante Rufnummer auf.
---0088213882227---.
Über START / SUCHEN  werden 2 Dateien gefunden
C/Windows/System32/ShellExt/check.exe
C/Windows/Prefetch/check.exe-1FC92DEA   pf Datei

Die kann man ruhig löschen, denn bei der nächsten Surf-Runde sind sie dann alle wieder da.
Und nun der Oberhammer: Die letzte Ziffer der Einwahlnummer ändert sich fröhlich. Statt der 7 dann die 5, dann die 6 und nun mal sehen was danach kommt.
Trotzdem reicht es mir nun gehörig. Das Teil muss raus, fragt sich nur wie.*


----------



## Anonymous (22 September 2004)

Ich bins nochmal... 

Gestern hat Stinger die 
c:\windows\msexploren.exe als mit BackDoor-CGZ infiziert gemeldet 

dieser Trojaner ist seit 15.9.04 bekannt. Die Datei ließ sich nicht säubern. Meine Freundin wollte schon Doxycyclin ins Diskettenlaufwerk geben, weil das gegen viröse Infekte wirkt.   

Ich habe die Datei dann doch gelöscht und noch keine Nachteile entdeckt. Der Rechner hat nicht mehr auf diese teure Nummer umgewählt. 

Sollte es das gewesen sein? 

Vielleicht hilft euchb das weiter. 
Trotzdem bin ich für Infos dankbar. 

Kennt jemand die Detei msexploren.exe? 

Gruß 
Mic


----------



## Anonymous (22 September 2004)

Kämpfe seit Tagen mit demselben Problem (check.exe) und habe noch keine Lösung gefunden. Deswegen wüßte ich gern, ob es mit dem Löschen der Datei msexploren wirklich getan ist. Meldet sich der Dialer (resp. das 0190-Warnprogramm) auch nach einem Neustart des Computers nicht mehr?
Gruß - Sinclair


----------



## Smigel (22 September 2004)

Kann mir bitte mal jemand besagten Dateien per PM zusenden.


----------



## Anonymous (22 September 2004)

Ich kämpfe mit dem selben Problem, habe auch schon msexploren.exe gelöscht, aber das Problem bleibt!
Wer kann helfen?


----------



## Heiko (22 September 2004)

Ich hätte die msexploren.exe gerne mal per Mail.


----------



## technofreak (22 September 2004)

@alle msexploren.exe Betroffenen 

Meldet  euch  an und schickt uns die Datei , ohne jeden Anhaltspunkt ist es schwer Ratschläge zu geben.

Im I-Net gibt es bisher nur  Fragen und Ratschlagsversuche   in  zwei Foren (außer diesem)  die aber
 auch keine Erkenntnisse  liefern 


tf


----------



## HerrS (22 September 2004)

In diesem Forum scheint es eine Lösung bzgl. "MSEXPLOREN.EXE" gegeben zu haben:
http://amazingtechs.com/index.php?showtopic=17508&s=


----------



## technofreak (22 September 2004)

Lösung vielleicht, aber auch hier   keine  Erklärung über das woher und wie die Datei auf den 
PC kommt, nur den Müll wegkratzen ist halbes  Werk, das versuchen die beiden anderen Foren auch 

solange nicht klar ist, woher die Infektion kommt, ist das unbefriedigend  und verhindert 
nicht weitere Infektionen.  Deswegen nochmal die Bitte die Datei an Heiko zu schicken 

tf


----------



## Anonymous (23 September 2004)

*Check.exe*

Ich würde die Datei msexploren (in C:\Windows) gerne posten, weiß aber nicht genau, wie das geht. Reicht es, sie zu kopieren und hier einzufügen? Und ist das nicht gefährlich für andere?
Nach der (hoffentlichen?) Lösung in einem anderen Forum habe ich noch nicht gesehen, es ist mir jetzt zu spät (die Check.exe lösche ich jetzt immer mühsam im Task-Manager), aber ich finde auch, daß es wichtig ist, diesen Badfingern das Handwerk zu legen.
Übrigens dachte ich anfangs, mein Problem sei allgemein vertraut und alt, jetzt finde ich die Sache bei allem Ärger fast spannend, scheint es sich doch um einen sehr neuen und besonders hinterlistigen Dialer zu handeln.
Morgen sehe ich weiter.
Gruß - Sinclair


----------



## Heiko (23 September 2004)

Am besten per Mail an [email protected].
Ich übernehme das weitere.


----------



## Mic (23 September 2004)

*Mein Zwischenstand*

Hi Leute

Habe Msexploren und den Schlüssel in der Registry entfernt. Erstes vorsichtiges Surfen war ohne jegliche Auffälligkeiten. Scanner Stinger, adaware, und spybot finden nix (Außer MSO EXPLOID, keine Ahnung, was das ist). 0190-Warner meldet auch nix. 

mein System ist Win98

soweit zur Info

Gruß
Mic


----------



## Anonymous (24 September 2004)

Hallo Leute, 
ich hab leider seit einigen Tagen das gleiche Problem. Bei mir gibt es aber keine msexploren.exe ??? Hoffentlich gibts bald ne lösung!


----------



## Anonymous (24 September 2004)

*Dateien*

Hallo,
ich habe msexploren.exe gelöscht (ging nur im abgesicherten Modus), allerdings blieb das Problem, nur die Abstände der Unterbrechung der Internetverbindung und die Neueinwahl mit 008821388222x wurden wesentlich größer.
Bei erneuter Überprüfung im windowsexplorer entdeckte ich noch die Datei svchst.exe. - mit dem selben Installationsdatum und -uhrzeit wie msexploren.exe (bei mir 17.9.04 per E-Mail, obwohl ich kein Anhang geöffnet und kein Herunterladen von Elementen aus dem Internet erlaubt habe - auf x geklickt - trotzdem Installation, einfach gemein)

Habe sie auch im abgesicherten Modus löschen können.
Außerdem habe ich die beiden auch im Register gelöscht:
in:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Seitdem ist Ruhe!
Ich habe die betreffenden Dateien auch auf Diskette gespeichert (da auch eine Einwahl geglückt war als Beweis - hatte da noch kein 0190Warner - mal sehen wie teuer der Spaß ist und wie die Telekom auf meinen Wiederspruch reagieren wird), will aber sie nicht mailen, da ich keine Lust habe, sie mir nochmal aufs Laptop zu ziehen.
Wer will, mailt mir seine Adresse unter .....t.com , dann schicke ich eine Diskette.
Toni

_e-mail-addi gelöscht , siehe NUB , du kannst sie an 
[email protected].  schicken tf/mod_


----------



## Anonymous (26 September 2004)

habe die dateien an [email protected] gesendet, gebt mal ne Rückinfo, worum es sich nun handelt.
Auch die Mail, die vermutlich mein laptop infiziert hat...
Danke
toni


----------



## Anonymous (26 September 2004)

> gebt mal *bitte* ne Rückinfo, worum es sich nun handelt.



 :roll:


----------



## Anonymous (11 Oktober 2004)

Mal nebenbei ich hab 5 DSO Exploits die mir von Ad Ware aufgelistet werden , könnte das damit zutuen haben , hab auch das fröhlige Problem der Check Exe , im nu is sie da dann is sie wieder weg, zumindest waren die erstelle blöd , hätten sie den Einwahl Ton wie andere Dialer noch wegbekommen wäre so nen Dialer tötlich ,
Gott segne die Dummheit ,
Naja ich werd auch erstmal weiterhin das Problem analysieren , 
zusagen ist noch das kurz vorm Rausschmeißen und neu einwählen ein unbefugter Zugriff über die Firewall gelistet wird , war bei allen 9 mal bei mir so ...

Naja Peace DaCharlie


----------



## Anonymous (11 Oktober 2004)

Hm das mit der svchost hab ich auch zusammenhängen mit der Check.exe der Verbindung "all" und der 0 als einwahlnummer , lustig ist ja das der anstatt nur die 0 eine sau lange Nummer gewählt wird , das beim ersten Versuch "kein Anschluss unter dieser Nummer kam "
Und das Programm keinen Intervall besitzt sondern bei mir nach belieben aus dem Internet schmeißt , das heißt mal nach 5 Minuten dann nach 2 Stunden ,
Rätselhaft bleibt mir nur woher ich das habe , habe in letzter Zeit nur gezockt und keine Dateien oder Websites die fragwürdig sind aufgerufen ...


----------



## Anonymous (12 Oktober 2004)

hallo leute,

ich habe mir heute ebnfalls die msexploren.exe eingefangen, fragt nicht wo, ich weiß es nicht. nicht mals norton is, in zusammenarbeit mit zonelabs hat ihn erkannt. das interessante, und der grund warum ich mich hier melde ist der, dass dieses programm 2 (zwei!!!) dateien installiert. da ich über ein modem ins netz gehe und wenn ich offline bin das modemkabel rausziehe, habe ich im offline betrieb alle firewall und virenprogramme deaktiviert (über task-manager), daher wußte ich , dass ich immer nur 20 prozesse am start habe. die im hintergrund laufen. beim nächsten neustart waren es aber 22. zum einen kam neu hinzu:

msexploren.exe (versteckte datei im windows stammverzeichnis)
und die 2. war eine datei names Winampagent.exe

da ich den winamp installiert habe wurde ich stutzig, da bei mir der richtige winamp agent deaktiviert ist. war er auch weiterhin. die 2 datei war immer noch aktiv. sie befindet sich ebenfalls im windows ordner, kann daher als exe nix mit winamp zu tun haben. also schaute ich mir beide dateien genauer an. beide wurden zur haargenau gleichen zeit installiert. habe beide entfernt und noch keine problem (wie man sieht) gehabt. die jungs die sich auskennen sollen die datei mal auseinander nehmen. hoffe ich konnte helfen.

greetz BooBaa!!!


----------



## Bubo (14 Oktober 2004)

Grüß euch alle,
ich möchte euch mal mein Problem schildern:
Auf meiner letzten Telefonrechnung tauchte eine Position auf, die mich stutzig machte. 10,66 EUR für Verbindung über mcn tele.com. Ich habe mich dann im Internet auf die Suche gemacht und bin auf das Forum hier gestoßen. Ähnlich wie bei anderen, ist es auch bei mir gelaufen. Eine DFÜ-Verbindung namens ALL baut sich auf (oder versucht es)und ich habe eine Datei msexploren.exe gefunden. (Datei auf Diskette gesichert und auf der Festplatte gelöscht. Vorher habe ich noch einen Dialerwarner installiert und das Einwahlprotokoll gespeichert. Die anderen hier erwähnten Dateien habe ich nicht gefunden, aber seit der Löschung von msexploren.exe läuft die Internetverbing wieder problemlos.) Ein Anruf bei mcn ergab: Auslandsverbindung. Ich habe also der Firma mcn einen Brief geschrieben und der Rechnung widersprochen (Musterbrief von hier verwendet) und einen Einzelverbindungsnachweis verlangt. Dann die Abbuchung von der Telekom rückgängig gemacht und nur den Betrag ohne mcn überwiesen. Inzwischen sind zwei Briefe von mcn eingegangen. Erstmal der mit der Einzelverbindung. Es handelte sich um eine Verbindung nach 006753237xxx (Papua-Neuguinea, darüber habe ich hier noch nichts gefunden). In einem zweiten Brief machte mich mcn darauf aufmerksam, dass sie doch nur „ein Telekommunikationsdienstleister, der als Transitcarrier lediglich die Transportwege für Telefonieverbindungen zur Verfügung stellt“ seien. Für weitere Informationen soll ich doch bitte „direkt mit unseren Vertragspartner in Verbindung setzen“. Diese sind in meinem Fall:
Sound Advertising Limited
4 Cumbrian House, Meridian Gate
217 Marsh Wall
E149FJ London

oder
Sound Advertising Limited
P.O. Box 12577
London E 14 9 AT

Beide Schreiben wurden übrigens von mcn Mahnwesen erstellt.
Habe ich bisher alles richtig gemacht und wie sind die bisherigen Erfahrungen mit mcn telecom? Ich kann mir nicht vorstellen, dass es wegen 10,66 EUR einen großen Aufstand gibt, aber ich habe ja auch noch nicht die Telefonrechnung von Oktober.
Viele Grüße
Burkhard


----------



## Der Jurist (14 Oktober 2004)

@ Bubo

Soweit ich sehe ist alles richtig gemacht. Zu Deiner Kontrolle: Werfe einen Blick in unseren Erste-Hilfe-Kasten. Einfach die blaue Schrift anklicken.

Ich würde mcn noch kurz schreiben und zwar:

Falls mcn nur als Carrier auftritt, gestattet mcn, dass sie Deine Daten an die an Deine vermeintlichen Vertragspartner weiterleitet, damit sich diese an Dich wenden können (und nicht Du Dich an sie wenden musst). Damit wäre die Sache für mcn erledigt.

Falls aber mcn als Inkasso-Unternehmen für die Engländer auftritt, dann bitte sie Dir die Original-Abtretungsurkunde für die Forderung zu übersenden und bitte um die technische Überprüfung nach § 16 TKV.

Im übrigen lese hier http://forum.computerbetrug.de/viewtopic.php?t=4164

Es kostet etwas Zeit, aber da ist vieles drin.


----------



## Bubo (14 Oktober 2004)

Der Jurist schrieb:
			
		

> Falls mcn nur als Carrier auftritt, gestattet mcn, dass sie Deine Daten an die an Deine vermeintlichen Vertragspartner weiterleitet, damit sich diese an Dich wenden können (und nicht Du Dich an sie wenden musst). Damit wäre die Sache für mcn erledigt.
> 
> Falls aber mcn als Inkasso-Unternehmen für die Engländer auftritt, dann bitte sie Dir die Original-Abtretungsurkunde für die Forderung zu übersenden und bitte um die technische Überprüfung nach § 16 TKV.



Hallo Jurist,
viele Dank für Deine Antwort.
Soll ich das Ganze in einem Schreiben verfassen, also falls nur Carrier dann Daten weiterleiten und wenn Inkasso dann den Rest oder Schritt für Schritt vorgehen?
Gruß
Burkhard


----------



## TSCoreNinja (14 Oktober 2004)

Bubo schrieb:
			
		

> Inzwischen sind zwei Briefe von mcn eingegangen. Erstmal der mit der Einzelverbindung. Es handelte sich um eine Verbindung nach 006753237xxx (Papua-Neuguinea, darüber habe ich hier noch nichts gefunden).


Stimmt nicht, schau mal hier:
http://forum.computerbetrug.de/viewtopic.php?t=7570


			
				Sascha schrieb:
			
		

> In Deutschland werden unter anderem die Nummern 006753237615, bzw. 006753237652 (Papua Neu Guinea) verwendet. Vorangestellt ist jeweils die Call-by-Call-Nummer 010066 der Mcn tele.com AG Bad Homburg, offenbar, um etwaige Sperren bei der T-Com zu unterlaufen.





			
				Buko schrieb:
			
		

> In einem zweiten Brief machte mich mcn darauf aufmerksam, dass sie doch nur "ein Telekommunikationsdienstleister, der als Transitcarrier lediglich die Transportwege für Telefonieverbindungen zur Verfügung stellt" seien. Für weitere Informationen soll ich doch bitte „direkt mit unseren Vertragspartner in Verbindung setzen“. Diese sind in meinem Fall:
> Sound Advertising Limited
> 4 Cumbrian House, Meridian Gate
> 217 Marsh Wall
> ...



Interessant, kannst Du evt. die Postings einscannen und hier einstellen (anonymisiert, d.h. persoenliche Daten geschwaerzt)? Gleichzeitig wuerde ich die RegTP bitten, zum Vorgang Stellung zu nehmen, da hier offensichtlich die Registrierungsvorschriften ausgehebelt werden. 


			
				TKV §43b schrieb:
			
		

> (6) Kostenpflichtige Dialer, bei denen neben der Telekommunikationsdienstleistung Inhalte abgerechnet werden, dürfen nur über Rufnummern aus einer von der Regulierungsbehörde hierzu zur Verfügung gestellten Gasse angeboten werden.



Gr,
TSCN


----------



## galdikas (14 Oktober 2004)

Bubo schrieb:
			
		

> Auf meiner letzten Telefonrechnung tauchte eine Position auf, die mich stutzig machte. .... Es handelte sich um eine Verbindung nach 006753237xxx (Papua-Neuguinea, darüber habe ich hier noch nichts gefunden).



Ob die auf die Anwahl dieser Nummer von Deinem Anschluß aus hin hergestellte Verbindung tatsächlich eine zwischen einem Anschluß in Papua Neuguinea und Deinem war, steht nicht fest ... die MCN behauptet dies jedenfalls. Du kannst ja mal beim einzigen Netzbetreiber Papua Neuguineas Telikom PNG Ltd. (löste die Post and Telecommunications Corp. - PTC ab) nachfragen, wem die Nummer 3237xxx ( 3237-615? 3237-652? )  zugeteilt ist:

*Telikom PNG Ltd.*
Adresse: Boroko N.C.D. 
Postfach: P.O. Box: 1349
Stadt:     Boroko
Papua New Guinea 
Telephone: 675 300 4010
Fax: 675 325 0665
http://www.telikompng.com.pg

Vergangenen Monat wurde das Vorhaben gestoppt, 51% der in Staatsbesitz befindlichen Telikom an die südafrikanischen Unternehmen Econet and Altech zu verkaufen: http://www.goasiapacific.com/location/pacific/GAPLocPacificStories_1205324.htm

Laut online-Telefonauskunft der Telikom PNG Ltd. ( http://www.telikompng.com.pg/WhiteDirectories.aspx ) scheinen keine mit 3237.... beginnenden Rufnummern vergeben worden zu sein.



			
				Bubo schrieb:
			
		

> Für weitere Informationen soll ich doch bitte „direkt mit unseren Vertragspartner in Verbindung setzen“. Diese sind in meinem Fall:
> 
> *Sound Advertising Limited*
> 4 Cumbrian House, Meridian Gate
> ...



Die englische Mehrwertdienste-Regulierungsbehörde OFCOM nennt eine etwas andere Adresse:



			
				OFCOM schrieb:
			
		

> *Sound Advertising Ltd*
> Floor 2
> 217 Marsh Wall
> Cumbrian House
> ...


 http://www.ofcom.org.uk/static/archive/oftel/ind_info/licensing/address_ list/o_s.htm

gal.


----------



## Anonymous (20 Oktober 2004)

*Rechnung*

Hallo,
habe jetzt auch von der geliebten Telekom meine Rechnung bekommen und siehe da, von der mcn tele.com für 2:48 min 2,3121 EUR (o.MwSt) berechnet bekommen (Einwahl 006753237XXX) - wer verdient da eigentlich was, oder macht es die Masse?
Habe natürlich erstmal sofort aus Prinzip der Telekomwidersprochen...
Der Reg.Behörde habe ich das per E-Mail gemeldet, aber...
Ich hatte doch vor einiger Zeit meine Dateien mal an [email protected] gemailt, habt Ihr mal rausgekriegt, worum es sich handelt und wo man sich das einfängt?
Bitte mal Rückmeldung.
Danke
Toni


----------



## Anonymous (23 Oktober 2004)

*Auslands-Dialer*

Haaalllooo! 
Habe den gleichen fiesen Dialer eingefangen!  Ad-Aware, a2, Symantec,... Keiner findet ihn auf dem PC! Der 0190 Warner schuetzt mich vor unangenehmen Ueberraschungen auf der Tel.-Rechnung, aber ich haette das Teil gerne von meinem PC ´runter! kann mir jemand helfen? Der Dialer waehlt jedesmal eine andere Nummer, meistens mit einer call-by-call Billig-Vorwahl. Die letzte Nr. war aus Estland: 0037270220.
Weiss jemand Rat?
Danke und Gruss
[email protected]

*e-mail-addi  gelöscht siehe NUB *


----------



## Reducal (23 Oktober 2004)

*Re: Auslands-Dialer*



			
				mkratzm schrieb:
			
		

> Keiner findet ihn auf dem PC!


Dort sind auch nur diverse Hilfsdateien, das Teil holt sich seine Informationen und Steuerungen in Form von Updates immer wieder neu aus dem Internet. Dürfte so eine Art Trojaner sein - also Rechner generell bereinigen! Derartige Dialer haben keine Oberfläche (z. B. Fenster mit Schaltflächen und Preisangabe) und sind auch sonst nicht so, wie man es von einem ordnungsgemäßen Tool erwartet.


----------



## Sabottka (26 Oktober 2004)

*Endlich weg!!*

Ich habe mich jetzt seit ca. einer Woche ebenfalls mit diesem "wundervollen" Dialer rumgeschlagen.
Dank dieses Forums hier habe ich ihn seit gestern vom System erfolgreich entfernt. 
Jetzt warte ich auf die nächste Telekomrechnung.

Für alle die dass Problem noch haben: Im Safemodus Windows starten, in der Registry die msexploren.exe und die winamgagent.exe suchen und löschen. Auch die check.exe und die ähnlich o. schon erwähnten Dateien werden da meist gefunden.
Reboot
Dann Ad Aware im neuesten Update drüberlaufen lassen. Dort ist der Dialer bekannt. 
Findet meist noch etliche verdächtige Sachen!
Löschen!
Seit dem hab ich Ruhe... tja und für die Zukunft empfehle ich Dialerschutzsoftware und ne gute Firewall u/o Virenscanner auch wenn die Teile Geld kosten.

Also vielen Dank für Eure (unbewusste) Hilfe!!!

Gruß
Thomas


----------



## technofreak (26 Oktober 2004)

*Re: Endlich weg!!*



			
				Sabottka schrieb:
			
		

> ... tja und für die Zukunft empfehle ich Dialerschutzsoftware und ne gute Firewall u/o Virenscanner auch wenn die Teile Geld kosten.



Firewall/Virenscanner hilft gegen Dialer höchstens indirekt bzw garnicht , Dialerschutzsoftware birgt immer ein Restrisiko 

Sicher sind nur diese Lösungen:
http://forum.computerbetrug.de/viewtopic.php?t=2543

tf


----------



## Anonymous (27 Oktober 2004)

*Check Exe & Co*

Was es im Netz nicht alles gibt... mein Problem wurde hier ja schon haarklein beschrieben. Ist diese letzte Veröffentlichung zur Problemlösung nun der Weisheit letzter Schluss?! Dann fahre ich gleich an den Heimat PC und mache mich ans Werk. 1000 DanK!

_Dank dieses Forums hier habe ich ihn seit gestern vom System erfolgreich entfernt. 

Im Safemodus Windows starten, in der Registry die msexploren.exe und die winamgagent.exe suchen und löschen. Auch die check.exe und die ähnlich o. schon erwähnten Dateien werden da meist gefunden.
Reboot
Dann Ad Aware im neuesten Update drüberlaufen lassen._


----------



## Anonymous (1 Dezember 2004)

*mcn tele.com, Bad Homburg - Sound Advertising Ltd., London*

Hallo,

die mcn tele.com AG versucht bei mir auch über die Telekom Beträge von EUR 347,00 und EUR 65,00 abzurechnen. Ich habe nur den Betrag ohne mcn überwiesen und eine Einzelverbindungsübersicht angefordert. Es handelt sich um mehrere Verbindungen nach 006753237XXX (Papua Neuguinea). Der Vertragspartner von mcn ist auch die Sound Advertising LTD in London.

Ich habe die Telefongesellschaft Papua Neuguieneas (Telikom PNG Ltd.) angeschieben und habe heute folgende Rückantwort erhalten:

"I have checked the telephone numbers submitted by you and they are not connected to any customer here in Papua New Guinea. For your information, telephone numbers starting from (675) 323 7000 have not been allocated to any Telikom customer yet. If you still require further information, please do not hesitate to email me back."

Soweit ich weiss ist die Telikom der einzige Netzbetreiber vor Ort...!!!

Eine Kopie der e-mail schicke ich Euch gerne zu. Schreibt einfach an


----------



## haudraufundschluss (1 Dezember 2004)

*Re: mcn tele.com, Bad Homburg - Sound Advertising Ltd., Lond*



			
				Sandy schrieb:
			
		

> Soweit ich weiss ist die Telikom der einzige Netzbetreiber vor Ort...!!!



Das spielt auch keine Rolle mehr, wenn die Nummer dort überhaupt nicht vergeben wurde. Dann versucht jemand für Leistungen zu kassieren, die überhaupt nicht erbracht wurden. Und dann muss jemand die Nummer intern so geroutet haben, dass dennoch eine Gegenstelle abnehmen kann. Hört sich sehr interessant an. Sicher auch für Strafverfolgungsbehörden.


----------



## Antidialer (1 Dezember 2004)

*Re: Endlich weg!!*



			
				Sabottka schrieb:
			
		

> Dann Ad Aware im neuesten Update drüberlaufen lassen. Dort ist der Dialer bekannt.
> Findet meist noch etliche verdächtige Sachen!
> Löschen!
> Seit dem hab ich Ruhe... tja und für die Zukunft empfehle ich Dialerschutzsoftware und ne gute Firewall u/o Virenscanner auch wenn die Teile Geld kosten.



Nie vergessen, den oder die Dialer vorher zu sichern! Im Falle einer gerichtlichen Auseinandersetzung vernichtet ihr ansonsten eure Beweisgrundlage.

Virenscanner und Firewall gibt es auch Kostenlos (Antivir, Zonealarm), dennoch brauchen diese Produkte keinen Vergleich zu komerzellen Programmen zu scheuen. 

Wirklich sicher sind allerdings ausschließlich Hardwarelösungen.


----------



## Smigel (1 Dezember 2004)

Sandy bitte melde dich mal im Forum an und schreib mir eine PN.


----------



## Der Jurist (1 Dezember 2004)

@ Sandy


Für alle Fälle erstmal:
Werfe einen Blick in unseren Erste-Hilfe-Kasten. Einfach die blaue Schrift anklicken.

Deinen Widerspruch, falls Du ihn noch nicht eingelegt hast, mit der Information aus der Südsee begründen oder  mit der Information ergänzen.
Den Widerspruch an Telekom und MCI und zur Information an die RegTP.


----------



## Sandy (1 Dezember 2004)

Ich weiss noch nicht genau wie ich weiter vorgehen soll, sprich Strafanzeige stellen etc.

Auf jeden Fall habe ich die mcn um technische Überprüfung nach §16 Abs. 3 TKV und um Zusendung der Original-Abtretungsurkunde gebeten. Das Forum hat mir dabei wirklich sehr weitergeholfen....

DANKE AN ALLE !!!!


----------



## Der Jurist (1 Dezember 2004)

@ Sandy

Teile mcn und Telekom (Abschrift an RegTP) mit, dass es die Nummer in der Südsee nicht gibt (Anlage Auskunft) und somit könne eine Verbindung nicht zu Stande gekommen sein, da man eine nicht vorhandene Nummer nicht anwählen könne.

(Die Nummer gibt es irgendwo, aber nicht auf Nauru.)


----------



## Insider (1 Dezember 2004)

haudraufundschluss schrieb:
			
		

> Hört sich sehr interessant an. Sicher auch für Strafverfolgungsbehörden.





			
				Sandy schrieb:
			
		

> Ich weiss noch nicht genau wie ich weiter vorgehen soll, sprich Strafanzeige stellen?



Interessant schon, aber es hat sich eindeutig ein ganz neuer "Meldeweg" favorisiert:

- Beschwerde und Widerspruch gegen die Rechungsposition an die T-Com
- Mitteilung an das BSI, siehe auch > hier <!
Die Strafverfolgungsbehörden werden über diese zwei Stellen gesammelt informiert, Anzeigen liegen längst vor, so dass weitere vernachlässigt werden können. Den Schaden selbst übernimmt bei einschlägigen Nummern bzw. bei Bekanntwerden einer neue Nummer die T-Com - der Endkunde wird i. d. R. aus Kulanz entlastet.


----------



## Smigel (1 Dezember 2004)

Insider schrieb:
			
		

> Den Schaden selbst übernimmt bei einschlägigen Nummern bzw. bei Bekanntwerden einer neue Nummer die T-Com - der Endkunde wird i. d. R. aus Kulanz entlastet.



Das wird hier nicht so einfach gehen.



			
				Sandy schrieb:
			
		

> Hallo,
> 
> die mcn tele.com AG versucht bei mir auch über die Telekom Beträge von EUR 347,00 und EUR 65,00 abzurechnen.



Wenn die Telekom auf die Positionen verzichtet wird MCN garantiert versuchen sie selber einzutreiben. Damit ist aber auch fast klar in welchem Netz die Nummer aufschlägt.


----------



## Qoppa (2 Dezember 2004)

Smigel schrieb:
			
		

> .... wird MCN garantiert versuchen sie selber einzutreiben. Damit ist aber auch fast klar in welchem Netz die Nummer aufschlägt.


... und ebenso fast klar, gegen wen sich eine Strafanzeige (vorerst) richten sollte


----------

