090090000880 -> kennt die jemand???

[ig63]

Hallo zusammen, ich hatte vorhin einen Anruf von einem Bekannten und er erzählte mir folgendes. Mit Telekomabrechnung vom Januar 2009 wurden ihm zweimal (einmal früh und einmal abends) je 8,14 € ohne Mwst berechnet. Laut Abrechnung soll er die 090090000880 angerufen haben. Er widersprach dem bei der Telekom und rief die Bundesnetzagentur an, dort meinte man diese Nummer gehöre einer Werbeagentur Gutsche. Weiterhin meinte man bei der Netzagentur das wenn er nicht selbst dort angerufen hat dies nur sein Computer getan haben könnte. Nun habe ich einen Dialer im Verdacht aber so richtig will mir das nicht einleuchten denn der Anruf soll über eine Nummer getätigt worden sein welche nur dem Telefon im Büro zugeordnet wurde. Ich muss dazu sagen dieses Haus besitzt einen DSL-Anschluß der Telekom plus ISDN. Die Telefone sind über eine ISDN-Telefonanlage mit dem Splitter verbunden und der Computer über ein Lan-Kabel mit dem Speedport der Telekom. Der Speedport ist aber nur über ein Netzwerkkabel mit dem Splitter verbunden, ein Telefonkabel ist nicht angeschlossen. Kann rein hypothetisch gesehen ein eventueller Dialer mit dieser Konfiguration trotzdem eine solche Nummer rufen? Meiner Meinung nach höchstens über VoIP oder? Dies ist aber drt nicht eingerichtet.
Hat vielleicht schon jemand Erfahrung mit dieser Nummer?
Ich habe ihm geraten seinen Computer erst einmal auf Viren, Spyware, Dialerund Co. zu untersuchen.

Danke freundlichst
Ingo

 

[Unregistriert]

AW: 090090000880 -> kennt die jemand???

Schau doch mal bei der Bnetza vorbei.
Die Rufnummer gehört zu einem Dialer.

Link BNetzA
Registrierungs-Details der Dialer


mfg

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Na Super, Danke. Also nichts mit selbständiger Einwahl. Habe mir die Seite einmal angeschaut, steht ja auch da das es ein Dialer ist. Nur habe ich nichts über die Kosten gefunden. Ich denke die Freundin meines Bekannten war auf dieser Seite, die ist so ein wenig esoterisch angehaucht.

Danke nochmals

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Habe mir die Seite einmal angeschaut

Das schließt eine Einwahl unter Missachtung bestehender Regelungen nicht aus. Wir haben hier schon alles erlebt - selbst die automatisierte OK-Eingabe per Trickserei... Meinst Du mit "Seite" das, was bei der BNetzA steht? (ich kann das derzeit nicht abrufen, bitte PN)

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Ja die meine ich auch, dort ist aber auch die www-Adresse ( Home )
angegeben. Dort kann man dann diesen Dialer laden.

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

ich meinte, mir das über PN zu schicken

Von der alten Garde her könnten sich evtl. manche an eine Geschichte aus dem März 2006 erinnern. Soweit ich mich erinnere, endete die für den Betroffenen glimpflich...
http://forum.computerbetrug.de/221953-post26.html

Ich kriege aber den Zusammenhang zu G* [ooops] nicht mehr hin, da muß ich erst heute abend ein wenig im Archiv kramen...

http://www.unerklaerlichenw***.de/yoga/
Zitat von :
Meine Beratung leiste ich von Montag bis Freitag zwischen 10 -23 Uhr.

Nach dem Dialer Download stellt der Dialer eine direkte Verbindung zum Astro-Server her, da können Sie meine e-Mailadresse erfahren. Sie senden mir dann Ihre Daten und Ihre Telefon- Nummer mit zwei von Ihnen angegebenen Terminen. Ich rufe Sie dann zur entsprechenden Zeit zurück und berate Sie. Sie können sich ganz sicher darauf verlassen, dass ich Sie zu der angegebenen Zeit anrufe. Mein Honorar beträgt angegeb.Kosten für eine Beratung und wird über Ihre Telefonrechnung abgerechnet und ist 100% sicher und seriös.

Sollten Sie Interesse haben, gehen Sie bitte mit dem Button weiter.

(Quelle: März 2006)

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

auf dieser Seite ist der Preis deutlich genannt...

function check() {
	if (document.form.ja.value.toLowerCase() == 'ja') {
		//http://www.unerklaerlichenwelten.de/esoterik/html/
		// Tauschen Sie horoskop.exe gegebenfalls
		// gegen den Namen einer anderen exe-Datei aus
		location.href='download.php?p=start-esoterik.exe';

unter
http://www.unerklaerlichenw***.de/esoterik/html/download.php
gibt es den Dialer dann auch ohne diesen ganzen Abfrageschnickschnack. Dann ist er auch etwas kleiner (Der "reguläre" (?) Dialer besteht aus esoterik.exe und einer ipcheck.exe). Das dürfte aber nur eine Spielerei sein. Leider kann ich mir das Dialerlein nicht genauer anschauen... Mal sehen, ob ich noch einen Hashwert-Tester finde. Ach ist das alles lange her - ich kann mich nicht mehr erinnern, wie man diese Dialerchen ankucken konnte

Ach, der ist echt süß:

*Connection == INVALID_CONNECTION_ID
C:\Dokumente und Einstellungen\b[....]\Eigene Dateien\c\Dialer\G[...]-5.0\connect.cpp
Connection != INVALID_CONNECTION_ID
Controller != INVAL_CONTROLLER
C:\Dokumente und Einstellungen\b[...]\Eigene Dateien\c\Dialer\G[...]-5.0\contr.cpp
esoterik-93-104-67-215
exe

PS: Wenn man den Weg regulär geht, erhält man eine Datei, die die eigene IP enthält (start-esoterik-xx-xxx-xx-xxx.exe). Dabei handelt es sich um ein sich selbst entpackendes Archiv, das den Dialer (34kb) und eine ipcheck.exe (20kb) enthält. Das Archiv ist knapp 100kB groß und war bei mir dann leider plötzlich weg

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Ja soweit habe ich mich garnicht getraut, habe mir das jetzt nochmals angeschaut. 10,00 € nur dafür das man auf die Seite mit der E-Mailadresse dieser Dame kommt, aller Achtung. Wenn es nicht so frech wäre könnte man über die Geschäftstüchtigkeit so mancher Damen und Herren nur staunen.

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Ich bin Chaosexperte, kein techniker... aber ich habe da noch so Erinnerungen... Da war doch mal was...
[UCE - Autodialer] Antwort von Lena - Antispam e.V.

Das war ja gar nicht so weit weg...

Hallo,

in den einzelverbindungen steht:

IN-telegence GmbH & Co. KG

22.10. [2004!] 21:36:18 00:04:59 090090000881 Service 0900 8,5490
23.10. 14:15:42 00:04:59 090090000881 Service 0900 8,5490
24.10. 18:50:16 00:05:00 090090000881 Service 0900 8,5776

(...)

Das waren damals Polen aus Langenfeld. Einige werden sich daran erinnern...

Na Super, Danke. Also nichts mit selbständiger Einwahl.

Würde der Betroffene behaupten, die Einwahl nicht wissentlich aktiv ausgelöst zu haben, würde ich an dieser Aussage erst einmal nicht zweifeln, ohne behaupten zu wollen, beweisen zu können, dass es so war... Einfacher formuliert: Bitte unbedingt weitere klärende Informationen einholen. Dass jemand 2009 versucht, mit Dialern zu tricksen, erscheint mir sehr sehr unwahrscheinlich... Da würde ich eher vermuten, dass jemand bewusst die Dienstleistung genutzt hat, ohne zu wissen, wie das dann abgerechnet wird (und daher ohne sich erklären zu können, wie der Telefonrechnungsbetrag zustande kommt)

 

[Unregistriert]

AW: 090090000880 -> kennt die jemand???

Ja soweit habe ich mich garnicht getraut, habe mir das jetzt nochmals angeschaut. 10,00 € nur dafür das man auf die Seite mit der E-Mailadresse dieser Dame kommt, aller Achtung. Wenn es nicht so frech wäre könnte man über die Geschäftstüchtigkeit so mancher Damen und Herren nur staunen.

Hast du mal deinem PC überprüft ob dort die Dialer-Datei (esoterik.exe) vorhanden ist?
Wenn die Datei nicht auf der Festplatte ist, kann es sich auch nicht um den registrierten Dialer handeln.
Bitte sichere dann den Ordner
C:\Dokumente und Einstellungen\ ??????????\Lokale Einstellungen\Temp
auf einer CD. Überprüfe deine E-Mails, ob dort Mails mit Anhang vorhanden sind.
Diese Mails dann auch Sichern.

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Wie oben schon erwähnt, es handelt sich nicht um meinen PC bzw. um ein Problem meinerseits. Es wurde an mich herangetragen. Hatte meinem Bekannten gesagt er solle seinen PC überprüfen, hat er wohl auch getan aber nicht wirklich etwas gefunden. Wir haben uns für das WE verabredet, werde dann mal konkreter schauen.
Trotzdem vielen Dank allen. Jeder Tip hilft.

Ingo

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Hast du mal deinem PC überprüft ob dort die Dialer-Datei (esoterik.exe) vorhanden ist?
Wenn die Datei nicht auf der Festplatte ist, kann es sich auch nicht um den registrierten Dialer handeln.

Die Abwesenheit der Datei ist kein hinreichender Beweis dafür, dass sich der registrierte Dialer nicht eingewählt hat. Es gibt andererseits auch genügend Möglichkeiten, registrierte Dialer zu manipulieren.
Ich würde den Rechner möglichst bald komplett sichern (Image).

PS: Dass der Dialer auch ohne die Frage, ob man das will, bezogen werden kann, das kann jeder selbst probieren:
http://www.unerklaerlichenw***.de/esoterik/html/download.php
liefert esoterik-###-###-###-###.exe (wobei ###-###-###-### die IP ist, mit der man unterwegs ist)

Ich kann leider aus technischen Gründen nicht dokumentieren, was das Ausführen des Dialers bewirken würde

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

hmm

Ich erinnere an meine Aussage von oben:

Würde der Betroffene behaupten, die Einwahl nicht wissentlich aktiv ausgelöst zu haben, würde ich an dieser Aussage erst einmal nicht zweifeln, ohne behaupten zu wollen, beweisen zu können, dass es so war... Einfacher formuliert: Bitte unbedingt weitere klärende Informationen einholen. Dass jemand 2009 versucht, mit Dialern zu tricksen, erscheint mir sehr sehr unwahrscheinlich... Da würde ich eher vermuten, dass jemand bewusst die Dienstleistung genutzt hat, ohne zu wissen, wie das dann abgerechnet wird (und daher ohne sich erklären zu können, wie der Telefonrechnungsbetrag zustande kommt)

Was sagt denn der Betroffene dazu???

---


Registrierungsnummer: 90090000880-1756105

Registrierungsdatum: 25.11.2005
Adressierungsmerkmal: http://www.unerklaerlichenwelten.de/esoterik/
Rufnummer: 90090000880
Hash-Wert: 7C46303881D082299D21A511B61C33FB13E80DAB
Dateiname: esoterik.exe
Dialer-Version: 10004
Inhalteanbieter:
Frau G* G* Tel. 02841-9985** Endstraße 12 47445 Moers

Das ist der Hashwert der esoterik.exe, die man dort findet. Ich nehme an, dass der Dialer auch diese Nummer wählt. Einen Hinweis auf Manipulation gibt es auf den ersten Blick nicht. Daher bleibe ich dabei, dass die oben geschilderte Möglichkeit (jemand hat das Angebot genutzt, ohne zu wissen, wie es abgerechnet wird) die wahrscheinlichste Variante ist. Auf dem normalen Weg kommt man dabei an sehr deutlichen und gesetzlich ausreichenden Preisangaben vorbei.

 

[Sirius]

AW: 090090000880 -> kennt die jemand???

Der Esoterik-Dialer auf dieser Webseite hat einen anderen Hash-Wert als den bei der BNetzA angegeben.

Datei: start-esoterik-*-*-*-*.exe
Größe: 101191 Byte
Hash: 723091F2690077D5DFCD8844F3C1E931CAE37013

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Es gibt ja zwei Wege, zu "etwas" zu kommen:

unerklaerlichenwelten.de/esoterik/ --> "weiter"
unerklaerlichenwelten.de/esoterik/html/step2.html --> ok
unerklaerlichenwelten.de/esoterik/html/step3.html --> ok
unerklaerlichenwelten.de/esoterik/html/step4.html --> ja
[=location.href='download.php?p=start-esoterik.exe']

Diese start-esoterik-exe hat das Symbol eines Archivs (selbstentpackend)
Hashwert:
723091F2690077D5DFCD8844F3C1E931CAE37013

Ausführen der Datei startet ip-xheck.exe und dann kommt bei mir eine Fehlermeldung, dass keine Einwahl möglich ist. Wie auch - so ganz ohne Modem...

Dieses Archiv ist dann futsch, auf dem Desktop verbleibt esoterik.exe

Hashwert:
7C46303881D082299D21A511B61C33FB13E80DAB

??????



wenn dieses erste Teil wählt, ist das ein nicht registrierter Dialer, oder?


unerklaerlichenwelten.de/esoterik/html/download.php

liefert den Dialer mit passendem Hashwert ohne das Drumrum (und ohne jede Abfrage)

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Nun haben wir unser Treffen vorgezogen. Mein Bekannter und dessen Freundin sagen beide sie wären nicht auf dieser Seite bzw. deren Abkömlingen gewesen. Habe ihnen diese Seiten gezeigt, beide kennen sie nicht bzw. wären auch nicht dazu bereit gewesen diesen Dialer bewußt zu laden. Habe den PC untersucht aber keinen Dialer dieser Art gefunden. (Vielleicht schon gelöscht ?!?). Was ich fand war ein Dialer mit folgendem Registryeintrag HKEY_USERS\S-1-5-21-2014246382-649831091-1847478709-1006\Software\DC. Der Dialer hatte den Namen Wabgcom. Kann es möglich sein das dieser der Verursacher war oder hat der eine andere Funktion? Muß noch schauen was ich zu diesem finde.

Ingo

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Seltsam... Das führt in dieselbe Richtung

Mal den Spamordner/Mailordner angeschaut, ob in zeitlichem Zusammenhang zur Einwahl ein auffälliger Maileingang war?

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Nein im Spamordner bzw. Mailordner war nichts auffäliges was im zeitlichen Zusammenhang stehen könnte. Sie lehren diese auch regelmäßig wenn es nichts wichtiges ist.

Was den Wabgcom angeht, so habe ich noch nicht wirklich etwas dazu gefunden. Was ich fand war schon älter.

 

[Aka-Aka]

AW: 090090000880 -> kennt die jemand???

Älter ja, wie ich schon schrieb - aber passend! In dem Dialer steht ein Hiwneis auf eine wabgcom.de
wabgcom.de - Domain Dossier - owner and registrar information, whois and DNS records
= passend.

Nur: wie kommt der Dialer auf den Rechner, wenn ihn keiner installiert hat? Sehr merkwürdig... Dass jemand 2009 mit Dialern auf die Jagd geht, erscheint mir sehr unwahrscheinlich... Fragt doch mal die Familie G, wie der Dialer auf den Rechner kam

PS: Dass man den Rechner am besten imaged und nichts undokumentiert löscht, versteht sich von selbst, oder? Irgendwas sträubt sich in mir, Euch zu raten, den Rechner zur Polizei zu bringen und Anzeige zu erstatten. Erstens bringt das zivilrechtlich nichts und zweitens sieht bisher nichts danach aus, als ob da jemand was gedreht hätte.
Heb mal alles auf, was du so findest - das könnten sich Experten hier ansehen. Ich kann das auch, aber ich bin zu langsam und zu ahnungslos

PS: Mach dsoch mal spaßeshalber eine Festplattenkomplettsuche zum Suchbegriff "jpg.com"

Entweder mit Bordmitteln oder

Start - Ausführen eingeben: cmd
cd\
dir *jpg.com /a/s

aber warte, bis diese Methode jmd bestätigt, der Ahnung hat.

 

[ig63]

AW: 090090000880 -> kennt die jemand???

Ja ich habe sie auch gefragt ob sie eventuell etwas installiert hätten ohne wirklich zu wissen was es ist. Sie verneinen es zwar aber ich habe auch so den Verdacht das jemand es nicht mehr wissen will . So wirklich glaube ich auch nicht daran das dort ein Fremdeingriff stattfand. Wie dem auch sei, ich verfolge dies jetzt nur interessehalber. Es will keiner gewesen sein und ich habe nicht wirklich Lust dort ständig nachzufragen. Bin ja dort auch nicht ständig anwesend.

Trotzdem Danke an alle.