Hilfe. Dialer wählte sich ein !

TSCoreNinja schrieb:
Code: 
....
Senden: ATDT###########<cr>
Empfangen: ATDT00236711102<cr>
Zum Vergrößern anklicken....
unter den "auffälligen" Nummern ist die beim BSI noch nicht in Erscheinung getreten
http://www.bsi.bund.de/dialer/warnung/auslandsrufnummer.htm
00-232- Sierra Leone
00-239- Sao Tome und Principe
00-245- Guinea Bissau
00-246- Diego Garcia (Tschagosinseln)
00-269- Komoren
Zum Vergrößern anklicken....
Internationale Vorwahlen:
Land Vorwahl
Zentralafrika 00236
Zum Vergrößern anklicken....
Fragt sich wie immer, wie die Knaben an die Kohle kommen, wenn da nicht jemand
"Vermittler" spielt...

cp

PS: Fragt sich auch für welche "Zielgruppe" das gedacht ist , 01805 ist nur für Deutschland "zuständig"
und exotische Auslandsnummern werden von der T-Kom auf ungewöhnliche Einwahlhäufigkeit
überwacht
 
Reducal schrieb:
davon ausgehen kann, dass sie Crosskirk´s neues Gesicht am Markt vertreten!
@ Aka, beziehe diese Überlegungen ruhig in Deine Recherchen mit ein, mir bringen die Informationen eines anderen Vertrieblers nichts.
Zum Vergrößern anklicken....
Hallo Reducal.
ich fand noch etwas lustiges... Die paybycall-Nummer von gamesplaygr*.com ist für Österreich die
(0)930 826890

Dahinter verbirgt sich laut RTR folgende Konstellation:
Inhaber: UTA Telekom
Dienstanbieter:
Aktuell ab 29.10.2004 BEL - CALL Limited, GIB, Gibraltar, Suite 2B, Centre Plaza, Main Stre[eet]
Die Belcall taucht in deutschen Foren so gut wie nie auf. Ist aber eine sehr sehr interessante Firma.
Nicht allein deshalb, weil sie mit dem Vermerk "origin unknown" in einer der ausführlicheren Analysen des "Online-Dialers" auftauchen...
--> http://www.doxdesk.com/parasite/OnlineDialer.html

Ich erlaube mir hier mal ein längeres quote, weil ich das für sehr interessant halte (allerdings mit der Einschränkung, dass bei doxdesk so manches steht)
Description: An ActiveX drive-by-installer used primarily to load premium-rate phone diallers.
Variants
OnlineDialer/MaConnect: filename MaConnect.dll; object name ‘Loader class’; signed by ‘AGUILA ESTATES SL’; typically downloaded from online-dial**.com.

OnlineDialer/eConnect: filename eConnect.dll; object name ‘eConn class’; signed by ‘liberECO payment solutions GmbH & Co. KG’; typically downloaded from libereco.net.
OnlineDialer/IEDialer: filename IEDialer.dll; object name ‘IELoaderCtl class’; signed by ‘liberECO payment solutions GmbH & Co. KG’; typically downloaded from libereco.net. (muss ja wohl seriös sein, die Firma ist Partner des Vereins IDI, in dem auch CB/DS u.a. Mitglied sind)

OnlineDialer/VLoading: filename VLoading.dll; object name ‘Download class’; signed by ‘EBS electronic billing systems AG’ or ‘Borkum 317. VV GmbH’; typically downloaded from 0190-dial**.com. (die EBS heisst ja heute anders und kassiert meines Wissens aber immer noch Lizenzgebühren für Crosskirk SL..., die "Borkum 317." ist der Herr Tim* R* aus Braunschweig, ist der noch verantwortlich für Quizionär u.a.?

OnlineDialer/SunInfo: filename SunInfoConnect.dll; object name ‘snConnect class’; signed by ‘Sun Infomedia S.L.’; typically downloaded from 4netmed**om or bcn*com. deutsche Medien wie das ZDF nennen die Chefs der Firmen schon einmal "Paten des Dialerbetrugs"...

OnlineDialer/BelCall: filename BelCallConnect.dll, unknown origin.
Zum Vergrößern anklicken....

Naja, unknown?
Die Bel Call hat zwar nur noch eine geparkte domain - aber ich habe die alte noch irgendwo in meinem Archiv rumliegen. Und web.archive.org gibt es ja auch ;)
Ob nach der Geburt des Söhnchens bei S*B* die Babypause www.noconline.org/NOCworld/displayitem.asp%3Fitem%3Dcurrent%26displayid%3D435+%22saki+belitsas%22&hl=en]vorbei ist?[/url]
Ob es die guten Kontakte zu deutschen Carriern noch gibt? (früher zu QSC, später zur in-telegence?
Welcher Art wohl die Geschäfte mit dem carrier "concert" waren (ich hatte hier den falschen Archic#vlink drin, auch oben bei qsc/in-telegence: bei Gelegenheit folgt der richtige link). "Concert" ist ein Carrier, den hier keiner kennt - aber der in einem australischen Fall eine Rolle gespielt haben soll? Bei der Optus/Gilsan-Vanuatu-Story soll eine "CONCERT" aufgetaucht sein. Es gibt hier Leute im Forum, die das besser parat haben als ich...

ach, jetzt hab ich bei doxdesk noch eine Firma vergessen...
OnlineDialer/Ole: filename Ole32ws.dll; object name ‘Moniker32 class’; signed by ‘HALDEX Ltd.’; typically downloaded from start.online-dial**.com or 63.219.181.*. Loads the RichFind parasite instead of a dialler.
Zum Vergrößern anklicken....
(wenn man nach der IP googlet,kann man sogar noch od-stdn-Dialer downloaden)

OnlineDialer/Ole is typically distributed in a file called ‘cax.cab’; it is, however, quite different code to the DialerMaker/Cax parasite, also distributed in a file of this name. However both diallers exhibit the same behaviour and security problems, and the OnlineDialer-related site dl.dialerssolutio*.c** [Ben Macdui SL! siehe u.a.hier] has also installed DialerMaker/Cax.
Zum Vergrößern anklicken....
die cax.cab - damüssten Dir andere die neuesten Details geben. Aber die tun das ja... Und S*B* liest ja hier nicht mit, denke ich...
 
Wie konnte der Dialer,wie in meinem fall,überhaupt eine Netzwerkverbindung erstellen (mit dem Adapter WAN Miniport (ATW) ) - handelt sich dann schließlich um eine Breitbandverbindung - und sich über diese einwählen ?
Das konnten doch bisherige Dialer über DSL garnicht.
Habe nur,wie schon erwähnt,nur das DSL Modem,Splitter angeschlossen.

Ja,ich weiß,ich sollte abwarten - bleibt mir ja auch nichts anderes übrig :)

Ich finde jedenfalls bisher keinen vergleichbaren Fall auf deutschen Seiten.
 
Investiere die Zeit lieber in eine Analyse, woher der Dialer gekommen (sein kann), wo die Datei hin ist, usw.
Hast Du nun schon ein hijackthislog erstellt?
www.hijackthis.de

Hast Du Viren- und Spywarescanner eingesetzt? Oder ist der Dialer längst identifiziert - und ich habe es überlesen?
 
Das ist genau das,was mich erwischt hat. Allerdings kann ich mich nicht erinnern,daß auf porographischen Seiten bekommen zu haben (weil ich diese garnicht besuche - nein,ich würde dazu stehen - aber das was mir Freunde über solche Seiten erzählten und das Risiko,war es eben nicht wert).

Dialer.Asdplug
 
Der link zu dialer-asdplug, den Du da gesetzt hast, hat mich kurzzeitig verwirrt... Ich dachte ja, deine Dialerdateien wären xfullgames.exe und fullgames.exe - aber unter diesem link einer kanadischen Firma steht mehr:
h**p://labs.paretologic.com/spyware.aspx?remove=Dialer.ASDPLUG

Remove these files
Dialer.ASDPLUG file <windows system directory>\france.exe [die Datei steht auch bei symantec, es folgt eine Liste weiterer Dateinamen... unter anderem...]
Dialer.ASDPLUG file <windows system directory>\fullgames.exe
Zum Vergrößern anklicken....

und das ist genau die datei, die die "codebase" des active-x-Elements darstellt - die eben mir das SIXA hingezaubert hatte...

Kuck mal in c:\windows\downloaded program files
ich habe da eine seltsame Datei (irgendwas in {geschweiften Klammern}) - und da steht der Download zur fullgames.exe drin. Hast Du auch so was? Was steht da?
(rechtsklick, Eigenschaften, codebasis: wenn Du's markierst, kannst du's ganz erkennen und kopieren, dann bitte PN)

ich experimentiere gleich noch ein wenig...
 
Sirathon schrieb:
Das ist genau das,was mich erwischt hat. Allerdings kann ich mich nicht erinnern,daß auf porographischen Seiten bekommen zu haben (weil ich diese garnicht besuche - nein,ich würde dazu stehen - aber das was mir Freunde über solche Seiten erzählten und das Risiko,war es eben nicht wert).
Zum Vergrößern anklicken....

Es muss ja keine Pornoseite gewesen sein. Oder du wurdest durch einen Google-Spammer irgendwo hingeleitet, wo du nicht hinwolltest. Kurz Seite gesehen (mit oder ohne Pop-up-Gewitter), alles gleich weggeklickt. Trotzdem hatte dein Viech genug Zeit, sich einzunisten.

Gruß
Wembley
 
Nee... keine Pornoseite, aber z.B. Gamesdownloads...
Aber irgendeine Erinnerung wäre schon hilfreich...
und (ich erwähne es im Leierstil) www.hijackthis.de

@cp
wohin das wählt, wüsste man wohl schon, wenn man in einem hijackthis-File evtl. den Downloadort sehen könnte.
(fullgames.exe kriegt man auch auf Seiten von
Andloadsmore Ltd, R*C*, Apartado de Correo 262, Macher, Espana
wenn man die IP von membersplayg* von **.***.**.51-61 ankuckt, sieht man ein paar Seiten des Herrn R*C* und seiner Freunde aus Tortola und Macher...

Aber @sira:
ist es das - oder nicht?
http://forum.computerbetrug.de/viewtopic.php?p=110908#110908

////////////off topic? ////////////
zu einer Verbindung "The Internet", wie in sira's screenshot
http://forum.computerbetrug.de/download.php?id=3656
fand ich auf die Schnelle nur diesen sehr alten Beitrag hier
http://www.trojaner-board.de/showthread.php?t=1939
 

Anhänge

  • fullgames_dialer.jpg
    fullgames_dialer.jpg
    111 KB · Aufrufe: 201
Also falls das Mr R*C* und seine britischen Freunde sind, diese um den Mr Bo** Dialoff vielleicht, und jemand will denen was ausrichten, jemand aus der Branche, meine ich, vielleicht bei der INTERNE*T im August, dann überbringe dieser bitte folgenden Gruß:
FU** OFF!
(wer damit etwas anfangen kann... Ein gewisser B* aus den contacts der global*charge.com hat zufällig den gleichen Namen und die gleiche icq-Nummer wie ein gewisser B* von einer Firma dialo**. Die global*charge steht mitten in den IPs des R*C* (Macher, ES / Tortola, BVI) in einer Referenzliste einer UK-Softwarefirma)
 
Kann mir dann vielleicht einmal kurz erklären was ich genau auf der Seite www.hijackthis.de machen soll ?
Glaube auch,daß er sich in der Windows/System32 eingenistet hat.

Also wird man dann ja sehen.
Erklärt es kurz und ich werde dann bestimmt heute abend endlich dazu kommen.
 
hier hijackthis downloaden
h**p://80.237.140.193/downloads/hijackthis_199.zip

die zip-Datei speichern, entpacken, die hijackthis.exe ausführen...

auf "do a system scan and save a logfile"
(es bietet sich an, möglichst keine unnötigen Programme laufen zu lassen, damit es übersichtlicher wird)

Dann scant hijackthis und öffnet ein logfile "hijackthis.log".

Dieses speicherst Du ab als hijackthis.txt und hängst es hier als attachment (Anhang) an.
abschicken, fertig!

wenn wir Glück haben, hast Du dann so einen Eintrag wie diesen dabei:
O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.games****ground.com/output/100067/de/fullgames/fullgames.exe
Zum Vergrößern anklicken....
(eher nicht, fürchte ich... aber diesen sixa-Dialer gibt es in verschiedenen Varianten, wobei der dateiname einen Hinweis auf den Downloadort gibt. Aus der weiter oben genannten Liste konnte ich bisher aber erst einige wenige mit Downloadort zuordnen. Dieses zeitaufwendige Projekt habe ich wieder einstellen müssen... wer noch 'nen link will, PN!)

Profi-Variante:
sollten in deinem hijackthis-log Dinge aufauchen wie Dein Name (z.B., weil dein PC so heisst wie Du) oder ähnliches - bitte editieren.

Insider-Frage: weiss jemand, wie der (angeblich türkische?) webmaster im Questnetfall hieß?Oder gab es dazu eine Adresse?
Hat jemand aktuelle Infos zur Dialoff?
Bitte PN...
 
Habe eben mit G Data einen Virusscan durchgezogen.
Die Fehlermeldungen was System32.dll betrifft sind jetzt weg.
Der Dialer unter Quarantäne (also ich hatte ziemlich viele infizierte Dateien) (weiß also nicht welcher der Dialer ist der zur Netzwerkverbindung Sixa gehörte).
Habe es im abgesicherten Modus ausgeführt.
Ist hijackthis jetzt noch nötig bzw. bringt es etwas ?
 
Zurück
Oben