090090000263 oder auch Matlock - ermitteln Sie (Teil 2)

TSCoreNinja

Mitglied
Wie kommt meine web.exe auf meinen Rechner

Matlock arbeitet hier nach dem Motto: viel hilft viel!

1. Es wird ein Java Applet ausgefuehrt aus Counters.jar, und
Microsoft Security Bulletin MS03-0 ausgenutzt.

2. ueber eine Hypertext Application hta. Wobei das Problem scheinbar komplex ist. Es gab in 2001 einen Exploit von htas, der eigentlich behoben sein sollte. Dazu gibt es sogar Tools, einen Exploit zu generieren, siehe http://www.nsclean.com/psc-exe2.html . Allerdings sollte dieses Problem behoben sein, da nur noch hta Dateien aus der My Computer Security Zone ausgefuehrt werden sollten. Dies ist scheinbar zu umgehen, sihe http://www.nsclean.com/psc-htas.html und http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx .

3. Das Einparken des Dialers in wmplayer.exe, im Prinzip durch
Heises Security Seite beschrieben.

X. es gibt noch eine ganze Reihe von Code, den ich nicht analysiert habe, das Ganze geht ueber eine URL mit Endung get.php?ID=X mit X=1-15. Davon sind 5 durch die hier beschriebenen Exploits verwendet.

Wer eingeladen ist, tritt doch auch nicht die Tuer ein, wenn er kommt? Darf ein Dialeranbieter so etwas machen, selbst nachdem man (und auch das nur teils) dem Bezug einer Software zugestimmt hat? Erklaert das auch, warum oft Mehrfacheinwahlen stattfanden (eine Web.exe unterbricht die andere)?

Gruesse,
TSCoreNinja
 

TSCoreNinja

Mitglied
Ermittlungsergebnisse

Nachdem mein Hauptposting hierzu im Linkforum liegt, hier eine knappe Zusammenfassung. Matlock hat scheinbar eine Filiale in Los Angels, jedenfalls ist deren Hauptseite hxxp://www.matlock-bc.com dort laut WhoIs Eintrag registriert. Interessant ist, dass es eine Firma "Inet Solutions, LLC" gibt, die neben etlichen anderen Erotikdomains eine Domain stockingsline.com unterhaelt, die einen identische Adresse fuer den WhoIs Eintrag mit Matlock aufweisst. Ist vielleicht eine gewagte Annahme, dass dies nicht zufaellig ist, aber ich zumindest teile meine Postbox ungern mit Fremden. Obwohl diese Firma angeblich in Pittborrow sitzt, gibts in der Adresse wieder eine Postbox, und sind die Ansprechpartner ueber Mailadressen bei ctel.ru zu erreichen. Interssant ist, dass diese Firma ferner das Partnerprogramm Uni Cash enthaelt, welches in Moskau ansaessig ist und ein Buero in Prag hat. Es gibt neben Uni-cash noch uni-us.net sowie uni-dialer.com, ohne WhoIs Match, TraceRoute verschwindet beim Provider above.net in dem internen Netz (zeigt nur noch *** als Hosts). Weiss irgendjemand etwas ueber diese Firmen? Insbesondere Kontakte nach Deutschland waeren interessant.
Gruesse,
TSCoreNinja
 

TSCoreNinja

Mitglied
Matlock Seiten

Ups, interessant, Matlock Seiten erwachen am Wochenende aus der Versenkung! Viele Links, die ich fuer tot hielt, gehen nun wieder ;)
Interessanterweise vor allem solche ohne gesetzeskonformen Einwahldialog.
Gruesse,
TSCoreNinja
 

tini0402

Frisch registriert
matlock 428

@ all:

Hatte ebenfalls einen Dialer von Matlock, Endziffer 428, auf meinem PC (Windows 2000). :cry: Kann mir jemand den Hashwert mitteilen und eventuell sagen, wo ich noch Reste an Beweismaterial finden kann?

Danke!

Gruß tini0402
 

TSCoreNinja

Mitglied
Matlock liest mit

Hi all,
Matlock Verantwortliche lesen scheinbar mit:
Matlock Registrierer:
Ich dachte, Matlock wuerde immer nur Erotik&Pornoseiten bedienen. Weit gefehlt. 090090000900 ist auch auf Matlock zugelassen. Mir aufgefallen, weil die eine [com]erzielle [chat-und-flirt] Seite im [www] betreiben, mit Matlock Dialer. Registrierungsverpflichteter:
AKU - Agentur für Kommunikation
und Unterhaltung GmbH
Langacker 19
24852 Langstedt
Liegt nahe bei Eggbert. Nicht nur geographisch. Der Name des Vertretungsberechtigten ist naemlich identisch mit einem Vorstandsmitglied der Easybilling AG.

Kennt jemand diese Firmen? Gibt es noch sonstige Matlock Seiten? (Sollte mal ein Script zu Abfrage sequentiellen Abfrage der RegTP Dialerdatenbank zusammenhacken). Kennt ueberhaupt jemand eine annaehrnd rechtskonforme Matlock Seite (bitte mir per PN den Link schicken)?
Seite liefert jetzt einen 404! Heute morgen noch angeschaut. BTW, mir ist ein Irrtum unterlaufen, als ich bezgl der Seite sagte, dies sei eine alte Seite. Nummer ist erst im Februar registriert worden. Ob das wohl ein neues Matlock Projekt war?

Gruesse,
TSCoreNinja
 
A

Anonymous

Nett...

Das macht vielleicht der Jens...

gmbh aus langstett schrieb:
Hallo,

wir sind auf der Suche nach einem neuen Dialer. Er sollte dabei nicht allzu groß sein, was die KB Zahl betrifft und den Anforderungen der FST entsprechen. Also auch nicht dauerhaft im DFÜ-Netzwerk zu finden sein. Am besten eine exe-Datei, die man auf dem Desktop abspeichern kann und eine temporäre DFÜ Verbindung aufbaut. Mit dem löschen der exe soll dann auch wirklich alles vorbei sein :))

Die Software sollte auf allen WIN-Versionen laufen.

Freue mich auf ein Angebot bzgl. Lizensierung und/oder Source.

Fragen und Angebote bitte per Mail an [email protected]***.de

Danke und Gruß Jens


diese Firma kommt auch aus Langacker, Langstedt - aber die Nummern stimmen nicht...
 
A

Anonymous

Heiko schrieb:
Bitte hier weiterdiskutieren...

Hallo Heiko,

kannst du bitte im ersten Beitrag zu diesem Thread einen Link zum ersten Teil einfügen? Damit wird der Zugriff hierauf erleichtert, da dieser ja im Laufe der Zeit immer weiter nach hinten wandert. Besten Dank schonmal ....
 

eb-victim

Frisch registriert
Re: Wie kommt meine web.exe auf meinen Rechner

TSCoreNinja schrieb:
Erklaert das auch, warum oft Mehrfacheinwahlen stattfanden (eine Web.exe unterbricht die andere
Soweit ich den Matlock-Code verstanden habe, werden die Dialer nacheinander aktiv (gesteuert über ein Mutex).
Jeder Dialer unterbricht die bestehende Verbindung und baut eine neue auf.
 

Heiko

root
Teammitglied
Anonymous schrieb:
kannst du bitte im ersten Beitrag zu diesem Thread einen Link zum ersten Teil einfügen? Damit wird der Zugriff hierauf erleichtert, da dieser ja im Laufe der Zeit immer weiter nach hinten wandert. Besten Dank schonmal ....
Zwei Doofe, ein Gedanke ;)

Wollte ich eh grade machen. Done.
 
A

Anonymous

Telekom sendet Gutschrift (...264) !

Hallo Mitopfer !
Ich hatte gerade eben das freudige Erlebnis, eine Gutschrift der Telekom
öffnen zu dürfen.
Aufgrund der Tatsache, das für die Endnummer 264 die Dialer Versionen (web.exe 2.0.0.4 und 3.0.0.4) mit nicht passendem Hashwert registriert wurden, hat die Telekom meinen Einspruch akzeptiert.
Die bei mir gefundene Web.exe hatte die Version 2.0.0.4, aber den Hashwert der später registrierten Version 3.0.0.4.

Das sollte für alle gelten, deren PRS Erlebnis vor dem 4.2 liegt.

Viel Glück !
 

Ernst-Helmut

Frisch registriert
Re: Telekom sendet Gutschrift (...264) !

Hi Gast!

Magst du dich nicht einfach im Forum anmelden, damit man dich direkt ansprechen kann???
Meine Einwahlnummer endete mit ...423, aber jener unglückselige Termin lag vor dem 4.2. (am 21. Januar), so sollte mein Fall gleichgelagert sein?

Ernst-Helmut
Anonymous schrieb:
Hallo Mitopfer !
Ich hatte gerade eben das freudige Erlebnis, eine Gutschrift der Telekom
öffnen zu dürfen.
Aufgrund der Tatsache, das für die Endnummer 264 die Dialer Versionen (web.exe 2.0.0.4 und 3.0.0.4) mit nicht passendem Hashwert registriert wurden, hat die Telekom meinen Einspruch akzeptiert.
Die bei mir gefundene Web.exe hatte die Version 2.0.0.4, aber den Hashwert der später registrierten Version 3.0.0.4.

Das sollte für alle gelten, deren PRS Erlebnis vor dem 4.2 liegt.

Viel Glück !
 

Ernst-Helmut

Frisch registriert
Bestandsaufnahme&Termine; 8 Wochen Einspruchsfrist

Huhu Ihr alle:

Wie wärs mit einer zusammenfassenden Bestandsaufnahme?

z.B.:

Anzahl Betroffene
Höhe der durch Matlock abgezockten Beträge
Erfahrungen mit Rückforderungen, Zahlungsverweigerungen, etc.
Kontakte zu RegTP, DTAG, Matlock, Belize, ...
Stand der Ermittlungen bei Einspruchsverfahren
Staatsanwaltschaft, Polizei, Gerichte, ...
Verbraucherzentrale?
Renate Künast, Verbraucher(schutz)ministerium?
...



Habe letzte Woche mit Telekom telefoniert, lt. Aussage eines DTAG-Mitarbeiters habe ich beste Chancen, meine 29,95 € behalten zu dürfen (ich habe diesen Betrag über meine Bank zurückgefordert, habe 1 Einzugsermächtigung für die Telefonrg.), allerdings hatte mein Gesprächspartner keine konkreten Infos über unsere Geschichte.

Daraufhin sprach ich mit einer Mitarbeiterin aus dem Back-Office, die jedoch sehr ablehnend war (alles mit der Einwahl wäre rechtens, ich sollte doch bloß net mit dem jüngsten BGH-Urteil kommen, was ich gar nicht ihr gegenüber erwähnt hatte). Als Ergebnis "einigten" wir uns darauf, dass ich kein Problem mit einem ordentlichen Rechtsverfahren habe, im Gespräch mit dieser Dame war jedenfalls absolut kein Klärungswille zu erkennen.

Für 1 Einspruch benötigt die DTAG 1 post-schriftliches Schreiben, incl. Details wie "Diensteanbieter", Einwahlnr., Datum, ...
Ich denke, der Einzelverbindungsnachweis, so man ihn glücklicherweise hat, ist hierfür völlig ausreichend, oder???

Bitte Termine beachten: für 1 schriftlichen Einwand räumt uns die DTAG 8 Wochen ab Rechnungsdatum ein!!!

Ernst-Helmut
 

BenTigger

Master of Desaster ;-)
Teammitglied
Re: Bestandsaufnahme&Termine; 8 Wochen Einspruchsfrist

Ernst-Helmut schrieb:
Huhu Ihr alle:

Wie wärs mit einer zusammenfassenden Bestandsaufnahme?

z.B.:

Anzahl Betroffene
Höhe der durch Matlock abgezockten Beträge

usw......

Hallo Ernst-Helmut,

Das wäre sicher interessant. Sende die zusammengefasste Bestandsaufnahme doch mal via PN an einen der Moderatoren und wenn das dann rechtlich nicht zu beanstanden ist, wird das gerne veröffentlicht.
 

KalleM

Frisch registriert
Alles hat ein Ende....

Hallo,

gemeinsam durch eine Vielzahl von Beschwerde bei der RegTP, den vielen Hinweisen auf die Rechtsverstösse durch den Dialer haben wir dem Mißbrauch des Dialers ein Ende setzen können. Es gibt zum Glück doch noch Instanzen, die dem Mißbrauch beschränken und für Gerechtigkeit sorgen. Also Info's sammeln und die T-Com endgültig von der Unrechtmäßigkeit der Forderungen überzeigen....

Siehe:
http://forum.computerbetrug.de/viewtopic.php?t=4611

:lol: :lol: :lol: :lol: :lol: :rofl: :rofl: :rofl: :rofl: :rofl:
 

blumenwiese23

Frisch registriert
ja aber,

was ist mit den nummern vor 090090000229??? :-?
in dem posting steht drin, es werden nur dialer mit den nummern ab 090090000229 rückwirkend die registrierung entzogen.


gruss
 

KalleM

Frisch registriert
Re: ja aber,

blumenwiese23 schrieb:
was ist mit den nummern vor 090090000229??? :-?
in dem posting steht drin, es werden nur dialer mit den nummern ab 090090000229 rückwirkend die registrierung entzogen.

Welche Nummer meinst du denn?

Die nächste Nummer in der DB mit der ...204 gehört:
motiv action AG Jürg Buerli Baarerstr. 2 6300 Zug SCHWEIZ

Die Nummern 204...229 gibt es in der Datenbank gar nicht...
 

blumenwiese23

Frisch registriert
oh pardon, ich hab mich vertan 8) . stimmt schon. dann stell ich schon mal den aldi-schampus in den kühlschrank!!!!

gruss

wann wird die sache den offiziell?? bei der regtp steht noch nichts da.
 
Oben