090090000263 oder auch Matlock - ermitteln Sie (Teil 1)

[Mr.Scrut]

Mr.Scrut

Jetzt versteh ich die Welt nicht mehr. Nachdem ich alle Threads zu diesem Thema gelesen habe, und mir auch aufgefallen ist, dass es eine web.exe geben muss, habe ich doch nie bei mir selbst nach geschaut. Aus welchen Gründen auch immer existiert diese Datei bei mir jedoch noch (auf C:\), sie hat sich also nicht gelöscht!!!
Das Datum (05.01.) und die Uhrzeit stimmen ebenfalls mit dem Datum (Uhrzeit überein), an dem die Verbindung stattfand. Nach Sicherung der Datei wollte ich die Wirkungsweise ausprobieren (natürlich vorher Stecker gezogen) und nun wird doch tatsächlich alles so angezeigt, wie es der RegTP Datenbankeintrag vom 17.12. zeigt. Ich habe aber definitiv am 05.01. niemals JA eingegeben, es lief wie von vielen beschrieben automatisch ohne meinen Einfluss. Nach Schliessen des Fensters hat sich diesmal die Datei automatisch gelöscht.
Im Forum habe ich auch gelesen, dass manche Dialer beim ersten Mal völlig automatisiert zuschlagen.
Wie soll ich jetzt aber nachweisen, dass ich nicht damals auch JA eingegeben und bestätigt habe, wenn ich diese Datei an RegTP weiterleite? Offensichtlich gibt es auch einen Hash-Wert usw.
Wäre dankbar für Hinweise.

PS.: Ich bin gerne bereit, die gezippte Datei zur Untersuchung an interessierte Leute weiterzugeben.

 

[blumenwiese23]

telekom

@der jurist
hab der telekom gestern geschrieben: sie sollen den unstrittigen betrag abbuchen und die verbindungen (easybilling) nicht abbuchen. dann hab ich heut angerufen und gesagt, sie sollen mir schriftlich eine bestätigung schicken, in der drin steht, dass sie nur den unstrittigen betrag abbuchen sollen. die meinten auch, das schreiben ist bei ihnen eingegangen und sie leiten meine telefonischen forderungen weiter. ich hab leider im ersten brief vergessen, um eine schriftliche bestätigung zu bitten.
du meinst, ich sollte nochmal was hinschicken. oder?? dort sollte drin stehen, was sie abbuchen dürfen und was nicht plus eine forderung nach einer schriftliche bestätigung, dass sie das dann auch so machen. oder??
bin etwas durch den wind. 160 euro ist zu viel. morgen werde ich auch einen brief an die regTP schicken.

 

[Der Jurist]

Re: Mr.Scrut

@ Mr.Scrut

... Ich habe aber definitiv am 05.01. niemals JA eingegeben, es lief wie von vielen beschrieben automatisch ohne meinen Einfluss. Nach Schliessen des Fensters hat sich diesmal die Datei automatisch gelöscht.
Im Forum habe ich auch gelesen, dass manche Dialer beim ersten Mal völlig automatisiert zuschlagen.
Wie soll ich jetzt aber nachweisen, dass ich nicht damals auch JA eingegeben und bestätigt habe. ....

Erst mal hier lesen. http://forum.computerbetrug.de/viewtopic.php?t=2545

Der Dialer-Anbierter bzw. sein Netzknecht müsen Dir beweisen, dass Du mit Wissen und Wollen "Ok" bzw. "Ja" eingetippt hast.

So sehen es wenigstens sehr viel Amtsgerichte vgl www.dialerundrecht.de

 

[Der Jurist]

@ blumenwiese23

Warte erstmal ein paar Tage, ob die Telekom das alles bestätigt, allerdings nicht zu lange.

Erstmal verpusten.

 

[Opfer]

Im Schreiben bitten den CDR - Call Data Record - herauszugeben, notfalls von Easybilling beschaffen.

Bei E. gibt es einen Datensatz, der Deine vollständige Nummer enthält und die übrigen auch.

Also ich soll die Dame bei der Telekom bitten, mir diesen CDR zu übermitteln ? Hab ich das richtig verstanden ? Weil, dann muss ich der nochmal ein Fax hinterher schicken, bzw. morgen früh anrufen.

Gruss
Opfer

 

[Anonymous]

Wirkungsweise:

--------------------------------------------------------------------------------
Reg.-Nr.: 90090000264-734884 vom : Dec 9 2003 10:20AM
Adressierungsmerkmal :
Hash - Wert :542c9e18fc359a0cb2353808420e94a9
Dateiname : Dialer_090090000264.exe
Dialer - Version : 2.0.0.205
Inhalteanbieter : Matlock Business Corp. Jasmine Court. 35A Regent Street. P.O. Box 1777. Belize City. Belize
Beschreibung:

Kunde kommt auf Webseite und muss die AGBs sowie die Preisauszeichnung bestaetigen. danach wird je nach Kundenrechner entweder per Script oder Applet eine web.exe herunter geladen. diese unterbricht die bestehende Verbindung und baut zu der kostenpflichtigen Rufnummer eine Verbindung auf. Wenn diese beendet wird. oder der Browser geschlossen wird. wird diese wieder getrennt und die web.exe wird vom Kundenrechner geloescht. Der Kunde kann dann ganz normal mit seiner normalen I ....

Das ist die Beschreibung, die EasyBilling als Vertretungsberchtigter in die Dialerdatenbank reingehackt hat - wie schon Counselor angemerkt hat, ein selbstlöschender Dialer, der dort nichts zu suchen hat! Siehe z. B. die Hashwertanzeige - das ist dann ja nur noch Käse, wenn der Hashwert nachtäglich garnicht mehr überpüft werden kann, eben weil sich Dialer von Haus aus selbst eleminiert.

so, mich hat es auch erwischt. sechs verbindungen a 25 euro. ich habe die nummer 090090000264.

Wann war eigentlich Deine Einwahl?

 

[Der Jurist]

Im Schreiben bitten den CDR - Call Data Record - herauszugeben, notfalls von Easybilling beschaffen.

Bei E. gibt es einen Datensatz, der Deine vollständige Nummer enthält und die übrigen auch.

Also ich soll die Dame bei der Telekom bitten, mir diesen CDR zu übermitteln ? Hab ich das richtig verstanden ? Weil, dann muss ich der nochmal ein Fax hinterher schicken, bzw. morgen früh anrufen.

Gruss
Opfer

Ja und Fax hinterherschicken mit einem Sendebericht wie oben beschrieben. Ich vermute, die rücken die Daten nicht heraus. Aber dann kann man dies dann später als Einrede im Prozess sehr gut benutzen.
"Hat bisheute noch nicht nachgewiesen, dass ... obwohl ich damit einverstanden war, den Nachweis durch Vorlage des CDR in vereinfachter Weise zu führen"

 

[blumenwiese23]

datum

@anna
meine einwahlen waren am 11.01, 15.01 und 18.01. immer +/- eine minute. das ist für mich vorsätzlicher betrug. vorallem erfüllen easy billing fast keine regeln wie z.B. transparenz, bestätigung durch ausfüllen eines feldes mit ok, usw, die von der regTP gemacht worden sind. man muss denen doch an den karren fahren können!!? als student mit wenig geld bestätige ich doch nicht 6mal, wenn mich die minute 25 euro kostet.
easy billing hätte mich ja auch länger drin lassen könne wie eine minute.
außerdem ist es schon sehr seltsam: wenn ich immer nur eine minute drin war mit einem analogen modem. da brauch ich doch schon fast eine minute um rein zu kommen. und dann gleich wieder raus??? und das sechs mal?!!!
gruss
schicke heute noch brief an die regTP und einen weiteren brief an die telekom (hab das blanko-formular genommen) per einschreiben.

 

[Anonymous]

Re: datum

...schicke heute noch brief an die regTP...

Nimm dabei doch Bezug auf den dort bereits anhängigen Vorgang: A000 531. Das würde unterstreichen, dass es sich bei "Deiner" Beschwerde nicht um eine Eintagsfliege handelt sondern das Problem zahlreiche Nutzer betroffen hat.

 

[Tomdooly]

@alle

Teleos hat sich gemeldet, mein Anschluß wird nicht gesperrt wegen der 75 Euro Klausel.
Aber, sie behaupten ich soll die Beweise, dass es sich um einen illegalen Dailer handelt erbringen.
Das Prüfprotokoll nach § 16 TKV hat ergeben, dass alles i.O. ist und es sich um eine 0190-Nummer handelt. Somit wären sie aus dem Schneider.

Der Dailer ist bei der RegTP gelistet, wie kann ich jetzt beweise, dass er illegal ist? Was soll ich schreiben?

 

[Anonymous]

090090000264

Hallo, bin auch ein geschädigter, habe für 29 sec die Verbindung eingefangen, an die RegTP und an die Telekom geschrieben, man müßte.........
Bin mal gespannt was daraus wird. Ich werde rechtliche Schritte gegen die Jungs einleiten, falls nicht die RegTP rückwirkend den Dialer sperrt.

Rechtlich bedenkliche Äußerungen gelöscht tf/Moderator

 

[Anonymous]

Hallo zusammen,

Ich habe das selbe Problem mit dem Dialer. Nachdem ich der Telekom ein Fax geschickt habe, haben die mir nur die tatsächlichen Kosten abgebucht . Nun kam allerdings gestern ein Brief von der Telekom in dem steht das es sich bei dem Dienst von Easybilling um kein unseriöses Angebot handelt, und ich die 29,95 € (1 Einwahl 3sec) bezahlen soll.

Nun meine Frage: hat sich Easybilling schon bei irgend jemand gemeldet um das Geld zu bekommen?
überweisen werd ich die Kohle jedenfalls nicht...

 

[Anonymous]

Zahlen?

Der Dailer ist bei der RegTP gelistet, wie kann ich jetzt beweise, dass er illegal ist? Was soll ich schreiben?

Aber doch wohl erst nach dem Einwahlzeitpunkt! Damit keine Zahlungspflicht. Wenn das die Telefongesellschaft weiß und trotzdem mit Sperrung droht, wäre das rechtswidrig und ein empfindliches Übel, und weil Zahlen dem eigenen Vermögen einen Nachteil zufügt, könnte man das als versuchte Erpressung auslegen...

 

[Mr.Scrut]

Beweissicherung

@ alle Geschädigten

Ich habe festgestellt, dass die web.exe in dem lokalen temp-Verzeichnis des User-Profiles (bei XP und 2000: C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Temp) eine batch-Datei anlegt, die wahrscheinlich das Löschen übernimmt. Bei mir hatte sie den Namen: lcbj.bat mit folgendem Inhalt:

@echo off
:start
echo > %1
del %1
if exist %1 goto start
del %0

Ich nehme an, dass sich die Datei im Normalfall auch löscht. Vielleicht gibt es ja Leute, die diese Datei ebenfalls retten können. Sie wird auf jeden Fall von der web.exe erstellt. Ich habe diese entpackt und mit einem Hex-Editor betrachtet und eben diese batch-Befehle innerhalb der web.exe entdeckt.
Somit habt ihr eventuell die Möglichkeit, Beweise zu sichern. Die batch-Datei hat aber nicht immer denselben Namen. Ich hatte beim Testen drei verschiedene Versionen immer im Muster ****.bat (vier Buchstaben). Der Inhalt war dserselbe.

Mr.Scrut

 

[Anonymous]

Nun meine Frage: hat sich Easybilling schon bei irgend jemand gemeldet um das Geld zu bekommen?
überweisen werd ich die Kohle jedenfalls nicht...

warum dort melden? das ist ein serviceprovider. meld dich bei DTAG oder wer treibt bei dri das geld ein?

 

[Der Jurist]

@alle

Teleos hat sich gemeldet, mein Anschluß wird nicht gesperrt wegen der 75 Euro Klausel.
Aber, sie behaupten ich soll die Beweise, dass es sich um einen illegalen Dailer handelt erbringen.
Das Prüfprotokoll nach § 16 TKV hat ergeben, dass alles i.O. ist und es sich um eine 0190-Nummer handelt. Somit wären sie aus dem Schneider.

Der Dailer ist bei der RegTP gelistet, wie kann ich jetzt beweise, dass er illegal ist? Was soll ich schreiben?

1. Bitte um Übersendung des Prüfprotokolls.

2. Hier lesen: Beweislastumkehr

 

[TSCoreNinja]

Re: Beweissicherung

@ alle Geschädigten
Ich habe festgestellt, dass die web.exe in dem lokalen temp-Verzeichnis des User-Profiles (bei XP und 2000: C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Temp) eine batch-Datei anlegt, die wahrscheinlich das Löschen übernimmt. Bei mir hatte sie den Namen: lcbj.bat mit folgendem Inhalt:

Bestaetigung, Erklaerung und Ergaenzung:
@echo off # nichts in einem Terminalfenster anzeigen
:start #Label fuer goto start Anweisung
echo > %1 # Ueberschreibe Datei mit Namen %1 (1. Argument)
del %1 #Loesche sie
if exist %1 goto start #wenn noch vorhanden, nach start
del %0 #loesche bat Datei

Wird von web.exe mit zufaelligem Dateinamen
(Win API Call KERNEL32.GetTickCount) erzeugt, und mit dem Namen der
wcmd lcbj.bat c:\pfadnachwebexe\web.exe aufgerufen. Solange Web.exe ausgefuehrt wird, scheitert das Loeschen, weil benutzt, wenn Web.exe terminiert, ist sie weg. Ueberschreiben vermutlich, um ein "undelete" zu erschweren.

Ferner verwendet die Datei verschiedene Kommandozeilenargumente. Experimentierfreudige Genossen sollten sich die Ergebnisse mal bei ausgezogner Telefonschnur anschauen

Win API Call KERNEL32.GetCommandLineA , dann wird auf folgende Strings getestet:

-pwd (Passwort?)
-usr (User Name?)
-web (schaltet Einwahldialog aus? :evil
-nospk (schaltet Modemlautsprecher aus?)
-fburl (?)
-url (Webseite des Maehrwerts)
-cid (Country ID?)



Gruesse,
TSCoreNinja

PS: Um diese Strings zu finden, muss die Datei (wie die meisten Dialer) mit upx entpackt werden (Programm hierfuer z.B. http://upx.sourceforge.net/)

 

[Anonymous]

hi leute mich hat es nun auch erwischt, genau am 31.12.03 , habe heute meinen wieder spruch bei der telekom abgegeben. zum glück wird nicht abgebucht. bin mal gespannt was daraus wird.

ps: habe auch einen ansprechpartner von der telekom bekommen von easybilling mit telefonnummer
Doppelposting gelöscht

 

[Anonymous]

hallo, mich hat es eventuell auch heute erwischt, die telekom-verbindung wurde getrennt und eine andere verbindung hat sich aufgebaut, relax_c hiess sie. habe dummerweise nicht viel ahnung von computern, und weiss deswegen nicht, wo ich ein verbindungsprotokoll finden kann. ich habe eine tdsl flatrate, und benutze für die einwahl die t-online software.

kann jemand helfen??

 

[Chips]

0900-Dialer

Ich bin auch am 21.01.04 erwischt worden.Der Dialer hat die Nummer 090090000426 und hat genau wie bei fast allen anderen für 11sec 25,8190€ Netto abbuchen lassen.Über die Telekom habe ich folgende Adresse erhalten:Frank Tueting,24852 Eggebek,EasyBilling AG,Haupstr.4,Tel.:04609/953883.
Bei der Telekom habe ich Einspruch eingelegt und bei Reg TP habe ich auch ein Schreiben gefaxt.
Ich denke das sollte jeder tun,da man nur gemeinsam etwas dagegen tun kann.Wenn jeder das selbe Problem hat,müssen die ja irgendwann mal hellhörig werden.