Hallo,

bei mir wurde ein Dialer 4 mal aktiv, bevor ich Verdacht schöpfte. Er kappte meine DSL-Verbindung und nutzte im Hintergrund mein Fax-Modem zum stummen und unsichtbaren Kontaktieren einer 09009er Nummer. Als ich dann wegen des schleppenden Surfverhaltens stutzig wurde und im Telefonhörer die bestehende Verbindung hörte, waren bereits ca. 100 Euro Kosten entstanden, wie die spätere Telefonrechnung zeigte.

Bei der sofort kontaktierten Telekom sagte man mir, ich müsse die Telefonrechnung abwarten. Bis dahin könne ich höchstens den Dialer als Beweis sichern. Es sei meine Aufgabe zu beweisen, dass die Einwahl nicht durch einen legalen Dialer des Betreibers erfolgt ist, sondern durch eine illegale, im Hintergrund arbeitende Version,
...im Nachhinein leichter gesagt als getan.

Ich habe inzwischen die 4 mal angewählte Nummer und einiges an sichergestellten Müll-Dateien. Eine Volltext-Suche nach der Nummer auf der Festplatte brachte keinen Erfolg. Auch Spybot-S&D und Ad-aware haben keinen Dialer gefunden.

Meine Fragen:

1) Angenommen, es handelt sich nicht um einen selbstlöschenden Dialer, - wer weis, wie die anzuwählende Telefonnummer in einem Dialer-Programm kodiert ist? Gibt es eine Möglichkeit, aus der Klartext-Telefonnummer eine Zeichenkette zu errechnen, die im Dialer-Programm enthalten sein muss und nach der ich den Rechner durchsuchen lassen kann, um den Dialer zu finden?

2) Hat jemand einen oder mehrere Dialer, die er mir zu Testzwecken zur Verfügung stellen kann, um herauszufinden oder herausfinden zu lassen, wo und wie die Nummer in einem Dialer versteckt ist?

3) Muss ein Dialer eine *.exe-Datei sein? Oder gibt es den auch als *.dll-Datei, die über einen svchost.exe-Aufruf aktiv wird?

4) Gibt es weitere Möglichkeiten, wie ein Dialer aussehen und/oder aktiv werden kann?

5) Da die analoge Netzwerk-Einwahl damals und seitdem stumm erfolgt, andererseits mein Fax-Programm die Modem-Karte bei der Tonwahl aber immer noch zum Piepsen bringt:
Weis jemand, wo oder wie spezifisch die Netzwerk-Einwahl (von einem Dialer und vermutlich auch von Hand) stumm geschaltet werden kann (und vermutlich auch wieder laut)? Ich arbeite mit XP Home und IE 6, beide SP1.

6) Gibt es eine Mindest-Dateigröße, die ein Dialer-Programm haben muss, um seine Aufgabe erfüllen zu können? Bei der RegTP sagte man mir ca. 60 KB, aber das scheint mir ziemlich viel zu sein. Hat da jemand Erfahrung?

7) Hat jemand sonstige Tipps in diesem Zusammenhang, z.B.
- Adressen von Spezialisten außerhalb dieses Forums,
- detaillierte Online-Beschreibungen zu meinen obigen Fragen,
- andere Foren, die sich qualifiziert mit Dialern beschäftigen,
- Gerichtsurteile für die Opfer von selbstlöschenden Dialern oder ähnliches, das mir evt. helfen kann,
- ... ?

(Inzwischen habe ich die 190er und 0900er Nummern für meinen Anschluss sperren lassen und - um mitzukriegen, was auf meinem Rechner läuft, - das Programm Dialer Control installiert, so dass ich zumindest in Zukunft gerüstet bin.)

Danke erstmal...
neward

[ 19. April 2004, 21:13: Beitrag editiert von: neward ]

Hi neward.
Lad dir mal YAW herunter.
YAW!
Heuristik aktivieren, dann sollte der Dialer gefunden werden.
http://www.dialerschutz.de/
Schau dich dort mal um.
Fast untergegangen
http://www.trojaner-info.de/dialer/dialer.shtml

[ 20. April 2004, 03:42: Beitrag editiert von: Schalke ]

Dazu würde ich mich auch noch mal hier umschauen:

http://www.regtp.de/mwdgesetz/start/fs_12.html

Andreas

Hallo,

vielen Dank für eure Links + Tipps !

Im einzelnen:

Der Chip-Link zu YAW leitet inzwischen zum Nachfolgeprodukt "a²" um. Aber YAW 3.5 habe ich schließlich auch gefunden.
a² findet einen Dialer - in meinem Gefängnis für seltsame, deaktivierte Sachen.
Ad-aware findet 3 "Malware"s, die in der Spalte "Vendor" als Dialer bezeichnet werden - alle 3 in meinem Gefängnis für seltsame, deaktivierte Sachen.
YAW scannt ca. 1/4 Stunde lang, aber der Scan endet ohne irgendeine Art von Report. Habe ich da was falsch gemacht oder übersehen ?

Von den 4 gefundenen Files sind 3 *.DLLs und 1 *.EXE.
Weis jemand, wie man svchost.exe (oder ein anderes geeignetes Programm?) dazu bringen kann, einen *.DLL-Dialer ans Laufen zu kriegen?

Die Links zu dialerschutz.de, dialer.shtml und regtp.de bieten erfreulich viele Tipps zu meiner obigen Eingangsfrage nach 7)...sonstigen Tipps.
Leider habe ich dort bisher nichts gefunden zu meinen obigen Fragen 1) bis 6).
Weis dazu vielleicht jemand etwas?