Dialer Anwahl 090090001090

Hallo

@Reducal
Hat schon jemand etwa mehr Informationen über diesen Trojaner? Antivir und Trendmicro führen diesen Namen in ihren Enzyklopädien nicht.
Zum Vergrößern anklicken....

Ich habe auch schon überall gesucht und unter diesem speziellen Namen nichts gefunden.
Ich denke das Antivir merkt das die Datei, in meinem Fall "Taskman.exe", verändert wurde und setzt darum einen Platzhalter, in diesem Fall "SysupFour".
Finden andere Virenprogramme auch diesen Trojaner? Und wenn ja, welchen Namen hat er dort?

Gut, dass es Firmen wie H+BEDV gibt, die sich nicht von dieser zwielichtigen Dialermafia unterkriegen lassen und diese mit angemessenen Mittel bekämpfen!

Ich denke , das diese Veränderung der Beweis für die illegale Einwahl ist, da der Virus das selbe Datum der Einwahl durch den Dialer trägt.
Gesichert und auf Diskette gebannt. :wink:

@MiB199
Also war der Dialer in deinem Fall auch nur einmal aktiv und hat sich nach dieser Einwahl nicht wieder rein zufällig und sporadisch eingewählt?
Die Einwahl erfolgt also ungefähr zeitgleich mit dem Erhalt des Trojaners der dann auf der HDD sozusagen schläft und nutzlos wird, oder?

Für eine erneute Einwahl durch den veränderten Dialer muß also erst ein neuer Trojaner den Weg bereiten.

Ist das so? Wie war (ist) das bei euch?

Gruß und einen schönen Samstag

Dreamwarrior
 
Dreamwarrior schrieb:
Für eine erneute Einwahl durch den veränderten Dialer muß also erst ein neuer Trojaner den Weg bereiten.
Zum Vergrößern anklicken....
Das scheint so zu sein und vor allem muss der Trojaner eine andere Zielrufnummer bedienen, da die 090090001090 am Montag von der QuestNet abgeschaltet wurde.
 
@Dreamwarrior,

nach der Einwahl habe ich sofort meinen PC nach Sicherstellung der noch vorhandenen Verwiese gesäubert. Virenscanner laufen lassen, mit ArchScrypt Shredder alle Online Dateien geschreddert. Das Toll kann ich empfehlen, war mal irgendwann auf einer HeftCD einer Computerzeitschrift als Vollversion.

Ich habe gerade mal meine AntiVir-Protokolle gescannt. An dem fraglichen Tag und einen Tag davor hatte ich diesen Meldungen:

...
12.06.2004,13:13 [WARNUNG] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Jeem!
MSITS[1].EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
...
13.06.2004,11:54 [WARNUNG] Ist das Trojanische Pferd TR/Small.Dld.FO!
A0006828.EXE
[INFO] Die Datei wurde gelöscht!
A0012323.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
...

Das habe ich bisher noch nie nachgeschaut.
Hilft Dies weiter?
 
Hallo

@MiB199
Das ist doch schon mal wunderbar und dürfte als Beweis eines vorhandenen Virus und Dialer von Wert sein.
Die Dateien wurden von Antivir (normalerweise) mit der Endung *.vir ins Quarantäne(unter)verzeichnis verschoben.
So wie es aussieht sind hier verschiedene Trojaner am Werk.
Am besten auf Diskette damit und an die RegTP schicken.

Mal eine Frage an die Betroffenen:
Hat denn schon jemand QN seinen EVN und die Kontodaten geschickt? Und hat QN schon jemandem das ....... Geld zurücküberwiesen?
Mir läuft ein kalter Schauer über den Rücken wenn ich daran denke dieser Firma meine Daten zu schicken. Vielleicht haben die hochqualifinzierten Mitarbeiter ja neue innovative Ideen mit so vielen interessanten Nummern :D

Allen hier einen schönen Sonntag

Gruß
Dreamwarrior

Aus rechtlichen Gründen editiert, problematische Tatsachenbehauptung tf/mod
 
Hi,
@dreamwarrior

Der besagte Trojaner läuft bei Trendmicro als Bespy und bei Kapersky interessanterweise als Trojan.win32.dialer.am.

Bei Kapersky gibt es keine weiteren Informationen.

Vom Verhalten her ählnlich sind Troj/Autotroj-B und...-C bei Sophos

http://www.sophos.de/virusinfo/analyses/trojautotrojc.html

nur der unsere trägt sich als SystemUpdate4 in die Reg ein (SysUpFour?)

Soweit das, was ich herausfinden konnte.
Man müsste das Teil mal mit 0900-Sperre laufen lassen und schauen, was er macht.
Ich habe auf meinem System diverse Daten, die ich vor so einem Versuch erst auslagern möchte und bin noch nicht dazu gekommen.

GammaRay
 
Hallo Zusammen,

ich habe nun die nächste Telekom Rechnung bekommen. Da ist noch eine Einwahl vom 06.06. aufgetaucht - wieder 29,95 EUR. Nun sind es insgesamt 5 Einwahlen = 150,00 EUR.

Die ersten vier habe ich mir per Widerspruch zurückgeholt. Doch jetzt kommen Rücklastschriftgebühren und Mahngebühren über insg. 5 EUR hinzu. Da sind die aber super schnell mit. Nur kassieren aber nicht nachforschen. :evil: Danke T-Service....

Habe sofort wieder da angerufen und den aktuellen Sachstand dargelegt. Mit Hinweis auf diverse Foren und auf die Homepage von Questnet. Die nette Dame hat mir 30 Tage Zahlungsaufschub gegönnt. Prima.

Ich solle wieder schriftlich Einspruch einlegen - hatte ich ja bereits bei der ersten Rechnung - und die Stellungnahme von Questnet mitschicken.

Sie geht davon aus, dass dies in den nächsten 30 Tagen geklärt sein wird.

Von der RegTP habe ich außer einer Standardantwort noch nichts gehört.

Hoffen wir mal auf schnelle Klärung........
 
Resultate ?

Hallo,

meine Mutter (65 und ab und zu im Internet) hat auch zweimal diesen Dialer auf der Rechnung. Klar, dass sie aktiv niemals diesem Dialer zugestimmt hat.

Als PC-eher-Uninteressierter bat sie mich um Rat. Meldung ans RegPT ging schriftlich raus.

Konkrete Frage:

Ist jetzt mal absehbar, wie Telekom und QuestNet auf die Einwendung und die Lastschriftrückbuchung reagieren werden?
Wie soll sich da eine alte Dame verhalten?

Vielen Dank für eure Tipps. Ich melde mich demnächst an.
Horst
 
Net Quest

Hallo zusammen,

habe ebenfalls einen Betrag von 29,95€ von der Telekom in Rechnung gestellt bekommen. Ebenfalls über die Einwahlnummer 090090001090. Nach Rücksprache mit der Telekom hat man mir eine kostenfreie Rufnummer für Net Quest mitgeteilt ( 0800-20805000 ). Dort habe ich angerufen, und mit Herrn ... gesprochen. Dieser kannte schon die Problematik und hat mich gebeten, ihm die Rechnung der Telekom zuzuschicken und den Verbindungsnachweis. Den Rechnungsbetrag der Telekom werde ich mit dem Vermerk " Nicht für PRS " mit dem reduzierten Betrag einzahlen. Was mich etwas verwundert, ist die Tatsache, daß ich vor 2-3 Jahren die 0190 Sperre aktiviert habe, die Telekom aber davon nichts mehr wissen will. Außerdem habe ich auf meinem Rechner keine installierten Programme gefunden. Laut Herrn .... läuft die Einwahl über den Namen " xtrahot.net ". Ich habe aber keinerlei Seiten mit diesem Thema aufgerufen.
Die Firma Net Quest hat zugesichert, den Fall zu prüfen und mir dann eine Mitteilung zuzuschicken. Bin mal gespannt...

persönliche Daten gelöscht, siehe NUB tf/mod
 
GammaRay schrieb:
@dreamwarrior

Der besagte Trojaner läuft bei Trendmicro als Bespy und bei Kapersky interessanterweise als Trojan.win32.dialer.am.

Bei Kapersky gibt es keine weiteren Informationen.

Vom Verhalten her ählnlich sind Troj/Autotroj-B und...-C bei Sophos

http://www.sophos.de/virusinfo/analyses/trojautotrojc.html

nur der unsere trägt sich als SystemUpdate4 in die Reg ein (SysUpFour?)
Zum Vergrößern anklicken....
Nette Seite zur Online-Ueberpruefung durch etliche gebraeuchliche Virenscanner ist
http://www.virustotal.com/flash/index_en.html
Ergebnis wird einem per Mail zugesandt. Ob man nur Mail-Adressen angeben sollte, die Spam vertragen koennen weiss ich nicht, ich hab es jedenfalls nicht drauf ankommen lassen ;-)

@GammaRay
Ergebnis Deines Trojaners:
BitDefender
7.0
07.05.2004
-

eTrustAV-Inoc
4641
07.03.2004
-

F-Prot
3.14e
07.05.2004
-

Kaspersky
3.0
07.05.2004
Trojan.Win32.Dialer.am

McAfee
4372
07.02.2004
AdClicker-AI

NOD32v2
1.802
07.03.2004
-

Panda
7.02.00
07.05.2004
Trj/Tukru.A

Sybari
7.50.1138
07.05.2004
Trojan.Win32.Dialer.am

Symantec
8.0
07.04.2004
Download.Trojan

TrendMicro
1.00
07.05.2004
TROJ_BESPY.A
Zum Vergrößern anklicken....
 
Re: Resultate ?

Spätzleschwob schrieb:
Hallo,

meine Mutter...
Zum Vergrößern anklicken....
Es sollte reichen, den Text einmal im Thread zu posten. Es kommt nicht gut, den Text zu kopieren und dann erneut wieder an den Thread dranzuhängen.

So, und wie sollte sich nun eine alte Dame verhalten? Ganz einfach: Das bis dato von vielen Mitgliedern und Gästen Geschriebene lesen, werten, daraus etwas für den eigenen Fall ableiten und entsprechend handeln.
Die "alte Dame" stellt schließlich offensichtlich keinen Einzelfall dar, der einer speziellen Erörterung bedarf.
 
Re: Net Quest

Marqui schrieb:
Laut Herrn .... läuft die Einwahl über den Namen " xt***ot.net ".
Zum Vergrößern anklicken....
Ist die panamaische "Blue GD Inc" jetzt eigentlich der Inhalteanbieter, wenn denen doch die Seite gehört, zu deren Memberbereich der Dialer Zugang gewähren soll? Aber der Inhalteanbieter ist doch Consul-Info? Oder ist Consul-Info der "übergeordnete Anbieter"? Denn wenn der Anbieter "Blue GD" wäre, also cico, dann wäre es doch kein niederländischer Anbieter...
 
Re: Net Quest

Gast schrieb:
Ist die panamaische "Blue GD Inc" jetzt eigentlich der Inhalteanbieter, wenn denen doch die Seite gehört, zu deren Memberbereich der Dialer Zugang gewähren soll?
Zum Vergrößern anklicken....
Scheint so und wird auch kaum zu widerlegen sein. Consul-Info hingegen versteht sich auch "nur" als Schnittstelle und kassiert mit:
http://www.consul-info.com/pages/1/index.htm
Consul-Info BV schrieb:
We offer you the possibilitys to access a clear service that has the best prices in the market. Our software supports all kind of connections and is offered in different languages and formats like : dialers, credit cards, voice calls and many others, ready to connect customer with over 250 countries.
Zum Vergrößern anklicken....
 
Dialer 090090001087

Diese Nummer taucht ein meinem EVP auf mit 25 Euro für cd. 30 Minuten.
Der Eintrag aus dem Systemprotokoll meines PCs ist evtl. aufschlussreich:

Ereignistyp: Informationen
Ereignisquelle: RemoteAccess
Ereigniskategorie: Keine
Ereigniskennung: 20158
Datum: 09.06.2004
Zeit: 08:03:39
Benutzer: Nicht zutreffend
Computer: #####
Beschreibung: Der Benutzer "pp2797dl24av0-DE@4" hat eine Verbindung mit "call" hergestellt, unter Verwendung des Geräts "COM4".


Ereignistyp: Informationen
Ereignisquelle: RemoteAccess
Ereigniskategorie: Keine
Ereigniskennung: 20159
Datum: 09.06.2004
Zeit: 08:33:37
Benutzer: Nicht zutreffend
Computer:####
Beschreibung: Die Verbindung mit "call", hergestellt durch den Benutzer "pp2797dl24av0-DE@4" unter Verwendung des Geräts "COM4", wurde getrennt.
 
Re: Dialer 090090001087

gast schrieb:
Beschreibung: Der Benutzer "pp2797dl24av0-DE@4" hat eine Verbindung mit "call" hergestellt, unter Verwendung des Geräts "COM4".
Zum Vergrößern anklicken....
Das "pp2797dl24av-0" ist die ID des Dialers, der via freel*** auf den PC kommt. Der Aufruf des Dialers erfolgt mit der Angabe der Parameter. Was mit diesen Parametern geht oder nicht, weiß Questnet allein ;) (dl.freel***.cc/?id=pp***&ctgr=*&dltype=*&mode=*&ref=http://*). Die Parameter werden an das Fenster übergeben (vermute ich), das unmittelbar vor dem ersten Bezugsfenster kommt. Es wird im Normalfall ausgelöst durch ein "Klick" (javascript:load_dl('pp***',2,1,0), was dann an den freel***-Download übergeben wird (oder durch etwas anderes, was dieses javascript auslöst) (dl.freel***.cc/?id=pp***&ctgr=2&dltype=1&mode=0&ref=http://www.*) (mit den Parametern eben 2-1-0).
Das dürfte jedenfalls der "Normalfall" sein.
 
@ Gast

Was bedeutet "ID des Dialers" - ist die selbst gewählt? Kannst du dazu was sagen?
Meine war ähnlich:
"pp2797dl21av0-DE@4"
zu
"pp2797dl24av0-DE@4"

Meine Frage geht in folgende Richtung: Der Beweis ist für die meisten von uns sehr schwer, deshalb ja die müßigen Überlegungen zur Beweislastumkehr.

Wenn aber diese ID etwas aussagt, ist uns etwas mehr geholfen.
Ich frage mich zum Beispiel, welche IDs die 31 von Consul registrierten Dialer hinterlassen.
Es wäre ja möglich, dass hier geschlampt wurde und an dieser Stelle einwandfrei ersichtlich ist, dass es kein registrierter Dialer war.
 
Dialomat schrieb:
Was bedeutet "ID des Dialers" - ist die selbst gewählt?
Zum Vergrößern anklicken....
Grob beschrieben, die Projektnummer! Sie ermöglicht die Zuordnung des aufgerufenen Dialers zu einem Webmaster und dessen Projekt (Website). Über die ID wird die Ausschüttung der Anbietervergütung an den jenenigen, der für das Projekt verantwortlich ist, realisiert.
 
Telekom - Einzug der Gebühren

Hallo!

Ich habe nach Erhalt meiner Rechnung mit den den streitigen Gebühren der PRS-Einwahl zu 090090001090 mit der Telekom telefoniert und sie informiert, dass ich nur den rechtskonformen Betrag zahlen werde. Daraufhin wurde mir gesagt, dass ich die Gebühren ohne die PRS-Verbindung überzahlen solle. Dies habe ich auch getan (ca 45€ überwiesen). Doch dann einen Tag nach der Überweisung zog die Telekom nochmal den gleichen Betrag (ca 45€) von meinem Konto ab, obwohl das ganz anders abgesprochen war.
Habe dann angerufen und bekam gesagt, dass ich einen Widerspruch schreiben soll. Auch dies habe ich getan, nun habe ich schriftlich Antwort von der Telekom erhalten. Dort steht drin, dass mir der überschüssige Betrag (2x45€ - 74€= 16€ ) zum Origanlrechnungsbetrag (ca 74€ incl. PRS-Verbindung) gutgeschrieben wird. Also wird der strittige Betrag einfach einbehalten! Das ist doch der Hammer!
Außerdem schrieb die Telekom, dass sie die Verbindung überprüft hätte und alles Ok wäre und somit mein Widerspruch nicht gerechtfertigt sei -> 2.Hammer!

Nun brauche ich euren Rat! Wie soll ich jetzt weiter vorgehen?
Vielleicht nochmal einen Brief mit der Stellungnahme von QN?
Wie bekomme ich jetzt das Geld der strittigen Verbindung zurück?
Es wird ja von der Telekom einfach einbehalten, für mich illegal!

Helft mir bitte! Danke!

Gruß
 
Re: Telekom - Einzug der Gebühren

Einfach zur Bank gehen und dort der Abbuchung widersprechen. Das Geld wird dann zurückgebucht.

unnötigen Fullqote gelöscht BT/MOD
 
Zurück
Oben