09005 Dialer

A

Anonymous

Hallo Zusammen, nachdem ich heute meine Telefonrechnung aufmachte entdeckte ich Positionen der firma

ID Net GmbH
Willy-Brandt-Allee 20
53113 Bonn

Es waren 9 Positionen der nummer 00499005101415 jeweils mit 4,30€ berechnet.

Durch eine ICQ Nachricht wurde eine Anwendung geöffnet und danach wählte sich der Dialer trotz dem Programm 0190Warner mehrere male ein. Nachdem ich einen Hijackthis log auswertete, löschte ich den Prozess countrydial.exe. Seitdem habe ich keine Probleme mehr.

nun ist meine Frage, ob es mehreren so gegangen ist und wie ich mich nun verhalten soll?

Vielen dank im vorraus

Sorgi
 
Ich habe mich geirrt, der prozess hies paytime.exe
diesen habe ich auch aus den Autostart Einträgen bei 0190 Warner entfernt
 
paytime.exe versucht countrydial.exe zu starten, "falls vorhanden"

http://www.sophos.com.au/virusinfo/analyses/trojpaymitec.html

(auf "advanced" klicken, deutsch fand ich edas:
http://www.sophos.de/virusinfo/analyses/trojdloaderri.html

Sobald Troj/Dloader-RI installiert ist, werden Dateien in folgende Speicherorte heruntergeladen:
<Windows-Ordner>\kl.exe
<Windows-Systemordner>\countrydial.exe
<Windows-Systemordner>\paytime.exe
<Windows-Systemordner>\tibs.exe
<Windows-Ordner>\uniq
Zum Vergrößern anklicken....

@Techies
Könnte es sein, dass dieser Trojaner einen TIBS-Dialer startet? .

Wie kamst Du genau an diese Datei? Offenbar lief das nicht regelkonform ab...

Daher empfehle ich:
ERSTE HILFE
http://forum.computerbetrug.de/viewtopic.php?t=4161
 
@Aka-Aka Durch ne Nachricht im ICQ hat mein bruder ein angebliches Bild geöffnet, dass sich dann als Anwendung entpuppte. Desweiteren öffnete sich dann immer als startseite die Datei secure32.hmtl . hat man sich jetzt mit der normalen T-online Software eingewählt konnte man ca. 10-15 Minuten normal surfen doch dann baute automatisch eine Anwendung eine Verbindung auf, und das im abstabd von Sekunden. Jede Einwahl wurde auf der Auflistung mit 4,30 berechnet. Nachdem im Taskmanager der prozess paytime.exe gelöscht wurde, konnte man die Startseite auch wieder ändern. Dieser Prozess baute sich daraufhin nie wieder auf obwohl er immer noch bei den Autostarteinträgen war.

Soll ich jetzt ersteinmal nur den regulären Betrag der durch die telekom entstand Telekom überweisen und einen Widerruf schicken?(wenn ja an welche Adresse??)

Vielen DAnk für eure Antworten
 
Bin ich jetzt vielleicht im ganz falschen Film? :eek: Ich dachte Dialer dürfen nur noch unter 09009 eingesetzt werden?!

Wäre dann doch sowieso nicht konform, oder?

Gruß
Gluko
 
Gluko schrieb:
Bin ich jetzt vielleicht im ganz falschen Film? :eek: Ich dachte Dialer dürfen nur noch unter 09009 eingesetzt werden?!

Wäre dann doch sowieso nicht konform, oder?
Zum Vergrößern anklicken....
schon, aber im Prinzip läge hier eine ähnliche Situation wie bei Auslandsdialern vor, sind verboten
werden trotzdem illegalerweise eingesetzt.

http://www.dialerschutz.de/nummern-und-tarife-mehrwertdienste.php
(0)900-5: sonstige Dienste (z.B. Erotik)

Sprachdienstemehrwertnummern mit Dialern unterjubeln? (Wenn es denn stimmt)
Nicht undenkbar, machbar auf jeden Fall, erwarten tu ich so was schon lange

cp
 
Frage: Auch wenn ich jetzt bereits paytime.exe aus der Regsistry gelöscht habe, kann dann die Polizei noch was mit meinem rechner anfangen?
 
Ich besitze das Programm bereits und habe einmal ein log erstellt. Wenn ich jetzt aber nochma einen aktuellen erstellen will, lässt sich Hijackthis nicht mehr öffnen. Weis jemand vielleicht woran das liegt?
Im anhang ist der log, den ich vor dem Entfernen von paytime.exe erstellt hab
 

Anhänge

  • hijackthis_131.log
    9,1 KB · Aufrufe: 272
@Sorgi,

Dein PC ist sehr krank:
O10 - Hijacked Internet access by New.Net
Zum Vergrößern anklicken....
NameServer = 192.168.121.252,192.168.121.253
Zum Vergrößern anklicken....
Erst einmal geht es aber um Beweis- und Spurensicherung.

Den Dialer einfach zu löschen, verringert die weitere Gefährdung, verwischt aber Spuren. Besser wäre eine Sicherung des Dialers oder noch besser der kompletten Festplatte gewesen.

Man könnte eventuell noch was finden. Gibt es bei Festplatten-weiter Suche noch eine Datei "EPlugin_DE2.cab"? Wenn ja, dann hätte ich die gerne per PN.

Dietmar Vill
 
Die EPlugin_DE2.cab ist lustig, Mr "its their phone bill, its your Money" von real-euros.c.. laesst gruessen, der sich mit Matlock's LA Niederlassung den Briefkasten geteilt hat. Allerdings meines Wissens eine Weile nicht mehr aktiv, ich schätze mal, deshalb auch nicht fuer die 0905 verantwortlich.

Der Forumsthread von Bleepingcomputer führt auch zu einem alten Dialerbekannten, der Global Acces SL, zumindest laut Angabe auf dem engländischen Einwahldialog ( 09090292820 ). Beim deutschen Dialer haben sie sich diesen Dialog gespart, und wählen direkt 01011-00236715673
(Othello CBC Vorwahl, dann Central African Republic, http://wtng.info sagt eine Handynummer).

Alte Freunde, aber keine heisse Spur. Irgend eine Idee, woher die paytime.exe stammt?
 
Zurück
Oben