090090000263 oder auch Matlock - ermitteln Sie (Teil 1)

  • Ersteller Ersteller Anonymous
  • Erstellt am Erstellt am
Status
Für weitere Antworten geschlossen.
juanito schrieb:
Hi,

Opfer schrieb:
Per Javascript wird der Dialer von einer Seite geladen und als wmplayer.exe im Windows Media Player verzeichniss gespeichrt.
Dann wird ein Link aufgerufen der eine Videodatei abspielen soll. Logischerweisse wird dazu dann eben dieser wmplayer.exe gestartet und Tata - der Dialer aktiviert sich ^^
Zum Vergrößern anklicken....

ich habe am Tag meiner Einwahl später einen Packet capture mit meinem Firewall gemacht (ich habe das Log noch nicht analysiert) aber in dem Log taucht eindeutig "web.exe" auf. Wenn alles in der wmplayer.exe drinnen ist, wäre das gar nicht nötig
Dies hieße aber auch der Dialer kommt auf unterschiedliche Arten auf den Rechner...

Kannst Du mir Deine wmplaye.exe zuschicken?

Gruß
Zum Vergrößern anklicken....

Hehe, wenn es nur einen Weg gäbe, wäre es ja langweilig :) Ausserdem wäre ansonsten die Möglichkeit schnell gefixt. Dazu kommt, das höchstwahrscheinlich zuvor schon geprüft wird, über welche Möglichkeiten der Dialer auf den Rechner gespielt werden kann, und die beste Möglichkeit wird dann benutzt. Wegen der exe - schreib mir ne PM mit deiner Mail :)

@TSCoreNinja: http://upx.sourceforge.net/ oberster Link ;)

Gruss Opfer
 
Opfer schrieb:
Hehe, wenn es nur einen Weg gäbe, wäre es ja langweilig :)
Zum Vergrößern anklicken....
Noch besser: jeder Dialer, der durchkommt, trennt die bestehende Verbindung und baut eine neue Verbindung auf.
Wenn's "gut" läuft, sind das EUR 150 innerhalb einer Minute ...
 
Re: Easy Billing AG und ExDialer

hallo,
ja, mir ist mit der besagten nummer 090090000423 gleiches passiert, hab einspruch bei der telekom gemacht..........aber die behauptet alles sei legal und kontrolliert...........
gruss
peter
 
Hi,

hab mein packet capture mal genauer angesehen. Bevor die Internetverbindung getrennt wird, d.h. ab dann wäre web.exe dran wird bei mir ein file namens access.exe downgeloaded.

Das interessante daran ist, irgendwann tauchen dann Sachen auf wie


META-INF/MANIFEST.MFPK    Tf$/íE¶$ ÓN
Æ Counter.classPK    Tf$/ýl €  ·% VerifierBug.classPK    Tf$/™õ@üÁ ð ( Gummy.classPK    Uf$/‚AgTÇ ï ) Beyond.classPK   ˆ/ù¦m~ H
€, Worker.classPK   ¸‰:0ç›?= X 
¤¯3 web.exeUT ¼<@Ux PK

ist zwar nur ein Notepad Abzug ... aber das VerifierBug.class deuten laut Internet auf einen Trojaner namens Exploit-Byte-Verify hin

Hat sowas ähnliches schon jemand entdeckt...

Gruß
Juanito
 
TSCoreNinja schrieb:
-Mein Dialer behauptet, er sei der letzterer vom Hashwert. Ist er aber nicht. Genauer gesagt gibt es nicht nur einen, sondern zwei Dialer, ein kostenloses Extra, der Benutzer sollte dies schaetzen, sonst erhaelt man im Preis der Einwahl ja immer nur einen. Erst eine Datei access.exe, die eine gepackte Datensektion hat, aus der die zweite erstellt wird, und mit Kommandozeilenparametern aufgerufen wird, dann eine Datei mit zufaellig erzeugtem Namen. Beide haben andere Hashwerte.
Zum Vergrößern anklicken....
Interessant. Diese Methode scheint momentan groß in Mode zu sein, siehe hier (bitte etwas Vorsicht walten lassen). Wieder ein Fall für die zuständigen staatlichen Stellen.
 
Ich muss mich mal kurz revidieren: In der mplayer.exe sind nicht vier, sondern sechs exe Dateien versteckt gewesen :o
Das Schema ist immer das gleiche: Zuerst kommt eine (entpackt) 5824 Byte grosse Datei (eventuell eine Art Loader) dann folgt der eigentliche Dialer (entpackt 35136 Bytes). Das ganze halt 3 mal. Angegeben wird der Dialer mit V2.0.0.3 - Leider kann ich momentan den Hashwert nicht checken da die RegTP Seite nicht geht. Mich wundert allerdings ein bissel warum das ganze 3 Mal in der mplayer.exe ist...hmm....*kopfkratz* Naja...schaun wir mal weiter :)

Gruss
Opfer
 
respekt an alle, die der Sache näher kommen. Sollte es euch gelingen, den Trick von Easy Billing zu knacken, wie wäre es eine Belohnung von allen Betroffenen an Euch. Lieber paar Euro an klüge Köpfe als an Abzocker.
Ich finde es gerecht, oder!
 
Why not?

Falls tatsächlich jemand von uns gefilmt werden sollte, greift jener ja im Wesentlichen auf Infos aus diesem Forum zurück, also wär so was nur fair!?!
(':bussi:')

Schöne Grüße an alle Unfrustrierten und -entwegten!
Ernst-Helmut

hrachka schrieb:
respekt an alle, die der Sache näher kommen. Sollte es euch gelingen, den Trick von Easy Billing zu knacken, wie wäre es eine Belohnung von allen Betroffenen an Euch. Lieber paar Euro an klüge Köpfe als an Abzocker.
Ich finde es gerecht, oder!
Zum Vergrößern anklicken....
 
Dialer Easybillig

habe mich an regtp gewendet. Habe den Namen des Verantwortlichen der Seite erfahren.

.....
Hauptstr. 4
24852 Eggebek

Bei mir waren es 10sec. für 25euro. Ich habew die Rechnung sofort stornieren lassen, danach die Differenz ohne Dialer überwiesen.

Der Herr ....... ist nicht einmal mit einem Telefonanschluß regestriert.
Ich werde Anzeige gegen den Herrn erstatten, da diese Methode schon
an Hausfriedensbruch grenzt.
Ich habe weder was eingegeben(ja) noch etwas mit Hinweis angeklickt.
Dies sind auch Leute die ohne Skrubel ..... programmieren und verbreiten.
Ich hätte große Lust den Herrn zu besuchen und ihm meine Meinung ins Gesicht zu ......


aus rechtlichen Gründen editiert , siehe Nutzungsregeln tf/moderator
 
Dialer Web.exe

Hallo, kann mir jemand "web.exe"-Dialer zur Rufnummer 090090000263 zur Verfügung stellen. Möchte damit gegenüber der RegTP die Verstösse gegen die Vfg54/2003 dokumentieren. Schickt mir bitte eine PN, damit ich euch meine E-Mail-Adresse schicken kann.

Besten Dank schonmal ...

:thumb: :thumb: :thumb: :thumb: :thumb: :thumb:
 
Hurra gewonnen !!

Hallo Geschädigte da draussen !
Ich kann euch Mut machen !! Habe soeben von der Telekom die Info erhalten, dass mein Einspruch über den Dialerbetrag (77 € netto ) stattgegeben wurde !! :bussi:
Als Begründung wurde genannt, dass der Hashwert auf meinem PC nicht mit den drei registrierten Hahwerten des Dialer (Relax_B) übereinstimmen, und demnach der Dialer rechtswidrig ist. :wink:

Also Leute, die Rätsels Lösung ist der Hashwert, damit kriegt ihr den Dialer am Arsch ! :wink: (sorry)
 
Hallo,

ich hatte mal die "offizielle Version" des Dialer downgeloaded. Als die Dialog Box kam, hatte ich damals auf speichern geklickt.

Als ich diesen Dialer jetzt nochmal angesehen habe, mußte ich feststellen, daß er nicht bei der RegTP registriert ist. Ebenfalls enthält er wie unten beschrieben das eigentliche .exe file in sich. Das -web=yes taucht aber in meiner Version nciht auf.
Die Zeile sieht so aus:
-cid=DE
-ph=0E00000073372E3BDCC33902C5E397E23956C096
-usr=.... was -usr Angabe soll verstehe ich aber nicht... -nospk=true
-url=http://.../galleries/

TSCoreNinja schrieb:
@Alle Matlock Geschaedigten:
-Mein Dialer behauptet, er sei der letzterer vom Hashwert. Ist er aber nicht. Genauer gesagt gibt es nicht nur einen, sondern zwei Dialer, ein kostenloses Extra, der Benutzer sollte dies schaetzen, sonst erhaelt man im Preis der Einwahl ja immer nur einen. Erst eine Datei access.exe, die eine gepackte Datensektion hat, aus der die zweite erstellt wird, und mit Kommandozeilenparametern aufgerufen wird, dann eine Datei mit zufaellig erzeugtem Namen. Beide haben andere Hashwerte.

-die Kommandozeilenparameter zum Starten der zweiten exe Datei sind gemaess Blick in meine Kristalkugel zweifach vorhanden, welche verwendet werden, weiss ich nicht sicher.
1. Satz
-cid=DE
-ph=0E0000003BEDB750CEF0B678C360CE3734492DB2
-usr=XXXXXXXXXXX (wg evt sensitiver Daten weggekuerzt)
-nospk=true
-url=http://........-/galleries/
2. Satz
-cid=DE
-ph=0E0000003BEDB750CEF0B678C360CE3734492DB2
-usr=XXXXXXXXXXX (wg evt sensitiver Daten weggekuerzt)
-web=yes
-nospk=true
-url=http://.....xxx-/galleries/
Zum Vergrößern anklicken....

Der Dailer wählt im übrigen die Nr. 264 an.

Gruß
 
Zwischenfrage

@mods und @alle hier

Zwischenfrage eines Unbeteiligten: Braucht jetzt jeder im Einzelfall die Beweise für seinen Einzelfall? Dann könnte ein Extra-Thread evtl. helfen, in dem erklärt wird, wonach zu suchen ist.

zB auch für Strafverfolger, die einen PC kriegen im Rahmen einer Strafanzeige.

(Gleicher Beitrag könnte auch bei der Hanseatischen stehen)
 
Re: Zwischenfrage

cj schrieb:
@mods und @alle hier

Zwischenfrage eines Unbeteiligten: Braucht jetzt jeder im Einzelfall die Beweise für seinen Einzelfall? Dann könnte ein Extra-Thread evtl. helfen, in dem erklärt wird, wonach zu suchen ist.

zB auch für Strafverfolger, die einen PC kriegen im Rahmen einer Strafanzeige.

(Gleicher Beitrag könnte auch bei der Hanseatischen stehen)
Zum Vergrößern anklicken....

bei aller Liebe aber dies ist ein Forum , wir haben so schon genug zu tun (unter anderem Brötchen verdienen,
auf das Forum aufpassen usw. )
Es steht jedem frei sich selbst an mit einer solchen Aufgabe zu befassen , nur zu erwarten , hier alles
auf dem Tablett serviert zu bekommen, ist ein bißchen zu hoch gegriffen.
Dies ist eine private nicht-kommerzielle Initiative und keine öffentlich-rechtliche Einrichtung

Außerdem gibt es hier auch eine Suchfunktion, und die wichtigsten Infos sind bereits gesammelt worden.

tf
 
Re: Hurra gewonnen !!

Gast NR. Tausend schrieb:
Hallo Geschädigte da draussen !
Ich kann euch Mut machen !! Habe soeben von der Telekom die Info erhalten, dass mein Einspruch über den Dialerbetrag (77 € netto ) stattgegeben wurde !! :bussi:
Als Begründung wurde genannt, dass der Hashwert auf meinem PC nicht mit den drei registrierten Hahwerten des Dialer (Relax_B) übereinstimmen, und demnach der Dialer rechtswidrig ist. :wink:

Also Leute, die Rätsels Lösung ist der Hashwert, damit kriegt ihr den Dialer am Arsch ! :wink: (sorry)
Zum Vergrößern anklicken....

@gast hast du der telekom einen brief geschrieben, und sie auf den hash-wertaufmerksam gemacht. oder kam es von der telekom aus. hab gestern nämlich einen brief geschrieben, und mich auf den falschen hash-wert bezogen.
das mit dem hash-wert ist auf jeden fall eine heisse spur.
mit dem anderen kram kenn ich mich leider nicht aus. aber macht weiter so. das hört sich sehr interessant an.

gruss
 
Matlock-Murks

Gast NR. Tausend schrieb:
Also Leute, die Rätsels Lösung ist der Hashwert, damit kriegt ihr den Dialer am Arsch ! :wink: (sorry)
Zum Vergrößern anklicken....
Ich weiß nicht, ob es bei der T-Com weiterhilft, aber:
- anscheinend zeigen alle Matlock-Dialer den Hashwert des am 4.2.03 unter der jeweiligen Telefonnummer registrierten Dialers an (auch, wenn der Dialer an einem anderen Tag registriert wurde) => falscher Hashwert verstößt gegen Mindestanforderungen
- anscheinend wurden alle am 4.2.03 registrierten Dialer unter einer falschen Versionsnummer eingetragen ==> falche Versionsnummer verstößt gegen Mindestanforderungen

Fazit: alle Dialer zeigen zumindest eine falche Version oder einen falschen Hashwert - selbst dann, wenn sie registriert sind.

Ich werde mal ausprobieren, was die Telekomiker dazu sagen ...
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben