Hilfe! Dialer: 090090000928 gamepad.exe

[neward]

Auf jeden Fall sollten sich bitte alle, die betroffen sind, bei der RegTP beschweren, je mehr desto besser.

Recht hast du! Hier für Unentschlossene der Link zum Beschwerde-Formular: http://www.regtp.de/imperia/md/content/mwdgesetz/FormblattBeschwerde1.pdf .
(Wurde bestimmt schon häufig gepostet, ist aber, finde ich, immer wieder sinnvoll.)

Derzeit bin ich noch mit der regTP zugange, zwecks Beweissicherung. ...Das gestaltet sich sehr mühsam ... Bei der BT ... habe ich mich deshalb auch noch nicht gemeldet ...

- Beweissicherung ist gut und wichtig! Wenn sich allerdings nicht mehr viel finden lässt, nicht so wild, weil: Du musst (bei im Net nachgewiesener Existenz eines illegalen Dialers für die betreffende Nummer) nichts beweisen: siehe http://forum.computerbetrug.de/viewtopic.php?t=5408&postdays=0&postorder=asc&start=16 .
- Auch bei der BT musst du dich nicht melden. Streng genommen musst du (bei im Net nachgewiesener Existenz eines illegalen Dialers für die betreffende Nummer) auf deren Post noch nicht einmal reagieren (Ausnahme: Mahnbescheid und Klage). Wenn du dich bei denen trotzdem meldest, ist das natürlich ein freundlicher Zug von dir, der die ganze Sache vielleicht zu einem schnelleren Ende führt.

@ DATAMAX
Einspruch an die BT ist nett, aber wichtiger ist Widerspruch bei der Telekom! Vielleicht sind das alte Kamellen für dich (dann vergiss es), aber sonst sieh mal kurz nach: http://forum.computerbetrug.de/viewtopic.php?t=5672&postdays=0&postorder=asc&start=5 (im Thread http://forum.computerbetrug.de/viewtopic.php?t=5672 ).

Ich hätte wirklich lust BT für meine Aufwendungen eine Rechnung zu schicken.

Das geht leider nicht, ...

...zumindest nicht mit Aussicht auf Erfolg (finanziell gesehen)...

Werner

 

[stef]

Gesichterte Dateien

DATAMAX schrieb:

Die gamepad.exe, sowie den zugehörigen Trojaner der das Teil installiert, habe ich gesichert und könnte sie dir zuschicken.

Wenn du mir die Dateien schicken könntest, wäre das super! Am Besten als zip oder rar. Danke.

 

[virenscanner]

Wozu?

 

[TSCoreNinja]

Einwahlvideo 090090000928

@DATAMAX
Bist Du sicher, dass der Trojaner den Dialer installiert? Meines Erachtens wird lediglich durch einen Trojaner auf die EinwahlURL weitergeleitet. Computer Associates warnen hier vor einem Virus Harnig B, der in die kalten Schatten von Life and Arts Dialerconnection fuehrt. In der von CA zitierten URL allerdings landete man nicht bei einer deutschen Einwahlnummer, sondern bei einer amerikanischen Nummer.
Aber die Aehnlichkeit der URL mit der im Forum von Teltarif in diesem Posting genannten ist offenkundig, die Zwischenschritte gut bekannt.
Ansonsten findet sich unter meiner Yahoo Homepage ab sofort auch ein Einwahlvideo zu der Rufnummer 0900-90000928, ebenso wie das zur Rufnummer 0900-9000606. Ist 4MB gross, schliesslich verzoegert der Dialer die Einwahl um 2 Minuten nach Aufruf der URL.

Gr,TSCoreNinja

PS: wenn Yahoo mal wieder wg Ueberlastung sperrt, ein oder zwei Stunden warten...

 

[Anonymous]

Atrikel zuvor von TSCoreNinja

Hallo Betroffene,


TSCoreNinja
super Sache mit dem Filmchen auf deiner Seite. Sehr empfehlenswert und großes Lob für Dich. Ich kann nun ruhiger schlafen. Anhand dieser Abläufe kann man sehr gut nachvollziehen, wie das ganze abläuft. Für jeden, dem das immer noch unklar ist, empfehle ich die Sache selbst einmal anzuschauen und dann auszuprobieren.
Habe mir einen Hardware-Antidialer für ISDN (39,- Euro, bei Conrad) gekauft und der blockt sofort. Programme können den nicht beeinflussen. Gutes Teil.
Sobald man auf die im Filmchen angegebenen Adresse geht, wird sofort eine d.exe oder eine d_2.exe (die Anzahl der Unterstriche in der Adresse ist dabei entscheident welcher Dialer angewählt wird) in das Verzeichnis C:/windows/system32/prefetch kopiert (Datei ist nur bei Verbindungsaufbau sichtbar!!) und zusätzlich in den Arbeitsspeicher geladen (zu sehen unter dem Taskmanager).
Interessant ist hierbei, dass, wie schon erwähnt, sich die Datei erst nach ein paar Minuten zu schaffen macht. Der bestehende Internetzugang wird geschlossen und ein anderer wird angewählt allerdings nur mit einer Telefonnummer "0" (warum weiß ich noch nicht, sicherlich wird bei erfolgreichem Zugang die Nummer dann nochmals geändert). Mein AntiDialer blockt natürlich sofort und nun versucht die d.exe oder d_2.exe mehrfach zu wählen.....Kommt es zu keiner Verbindung, dann löscht sich die ...exe und es ist nix mehr zu sehen weit und breit.
Ein Unerase-Programm zeigt zusätzlich nach einem solchen Vorgang eine gelöschte $$del.bat....Diese Datei wird garantiert mit dieser Angelegenheit schwerstens zu tun haben. Es ist mir nicht ganz gelungen diese $$del.bat zurückzuholen, weil das alles sehr schnell geht. Hat jemand einen Tip wie man die fängt?
Hat jemand mal die $$del.bat als Textfile vorliegen? Wäre mal sehr interessant was da drinsteht....Allerdings von einer gamepad.exe weit und breit nix zu sehen.....Der Hashwert der beiden Dateien wirft auch bei der Regtp nix vernünftiges aus.
So nun freu ich mich eigentlich auf ein weiteres Schreiben der Nex.net... Noch habe ich nichts erhalten, aber wenn dann ....grien
Wurfmaterial habe ich nun genügend gesammelt und ein Filmchen von dem Vorgang von mir gibt es auch schon.

In diesem Sinne Leute
Bis zur nächsten Aktion

Joeke

PS.

Großes Lob nochmals an TSCoreNinja. Guter Job.
(ein Msblast-Virus treibt sich da auch noch in deinem Arbeitsspeicher rum, iss aber halb so schlimm )

 

[TSCoreNinja]

Re: Atrikel zuvor von TSCoreNinja

Hat jemand mal die $$del.bat als Textfile vorliegen? Wäre mal sehr interessant was da drinsteht....

@Echo off
:begin
if exist %1 del %1 > nul
if exist %1 goto begin
del %0 > nul

Zur Erklaerung %0 ist der Name der Batch Datei, %1 der erte Kommandozeilenparamter. Das Teil wird mit dann mit

$$del.bat %0

aufegerufen, daraufhin sind der Dialer und die bat nach Ablauf der Ausfuehrung weg (Loeschen klappt erst, wenn Proggi nicht mehr laeuft).

Allerdings von einer gamepad.exe weit und breit nix zu sehen.....Der Hashwert der beiden Dateien wirft auch bei der Regtp nix vernünftiges aus.
So nun freu ich mich eigentlich auf ein weiteres Schreiben der Nex.net... Noch habe ich nichts erhalten, aber wenn dann ....grien
Wurfmaterial habe ich nun genügend gesammelt und ein Filmchen von dem Vorgang von mir gibt es auch schon.

Die Gamepad.exe gibts mit der Datei d5.php.exe, selbes Linkschema. Und ruft die Rufnummer 090090000606 an, nachdem sie 2 Minuten gewartet hat.

(ein Msblast-Virus treibt sich da auch noch in deinem Arbeitsspeicher rum, iss aber halb so schlimm )

Ah, danke. Kommt davon, wenn man seine Servicepacks deinstalliert, damit ein bloeder Dialer klappt. Muss mal wieder meinen Virenscanner updaten (aber ich treib eh nichts vernuenftiges unter Windoofs). An dieser Stelle: Meines Wissens ist der Dialer bei einem mit den letzten Sicherheitsupdates gesicherten Internet Explorer wirkungslos! Updates sind zu empfehlen.
Gr,
TSCoreNinja

 

[Anonymous]

und wie kommt der rein?

TSCoreNinja

Great der Code. Thx.
Einfach aber genial fast....wenn das alles nicht so oberlink mit Kosten verbunden wäre.
Aber da hätt ich noch ne Frage....Wie kommt denn jetzt die ...exe auf die Festplatte und in den Arbeitsspeicher? Irgendwie über ActiveX aber da muß doch auch erst mal etwas harmlos aussehendes geladen werden.... denn ohne Zustimmung wird doch keine ...exe und eine $$del.bat geladen ..oder doch? Welcher Trick wird da genau angewandt?

Joeke

 

[von_Stuelpnagel]

Einwahlvideo 090090000928

Hallo,

vielen Dank für das Video, das habe ich mir gerade heruntergeladen.

Bei mir hat Norton Antivirus die Installation eines Trojan.Norio genannten Trojaners gemldet (aber nicht verhindern können?) unmittelbar bevor sich der Dialer auf die 090090000928 eingewählt hat. Dadurch bin ich darauf aufmerksam geworden und konnte die Verbindung unterbrechen. So ist es bei 15€ geblieben, die ich bislang nicht bezahlt habe. Nach Kontaktaufnahme mit Nextnet habe ich das Standardschreiben über die Rechtmäßigkeit des Dialers und den Einzelverbindungsnachweis bekommen. Von einem Unternehmen in Bingen hat bislang keiner was gesagt.

Der Dialer hat sich bei mir nicht wieder gemeldet (hoffe ich), problematisch war die Entfernung der geänderten Registry Einträge, die mich immer wieder auf die blöde CoolWebSearch Seite gebracht haben.

 

[Anonymous]

Re: und wie kommt der rein?

Aber da hätt ich noch ne Frage....Wie kommt denn jetzt die ...exe auf die Festplatte und in den Arbeitsspeicher? Irgendwie über ActiveX aber da muß doch auch erst mal etwas harmlos aussehendes geladen werden.... denn ohne Zustimmung wird doch keine ...exe und eine $$del.bat geladen ..oder doch? Welcher Trick wird da genau angewandt?

Kein ActiveX, nur Sicherheitsloch im Internet Explorer! Genauer, im XML Parser. Zur Technik: siehe Warnung von Security Focus, http://www.securityfocus.com/bid/8565/exploit/
TSCoreNinja

 

[von_Stuelpnagel]

Antwort der RegTP

Hallo,

mich würde interessieren:

Hat eigentlich jetzt schon jemand der RegTP Unterlagen aus denen die illegale Vorgehensweise des Dialers erkennbar ist zugeleitet und hat sich die RegTP schon mal gemeldet? Hat schon jemand Strafanzeige erstattet und wenn ja, welche Unterlagen dazu eingereicht?

Ich würde auch gerne Strafanzeige erstatten, habe aber ausser dem Nachweis, dass sich der Trojaner, von dem ich vermute, dass er mit der Installation des Dialers in Zusammenhang steht, auf meinem Rechner installiert hat (wobei ich den Trojaner selber dummerweise gelöscht habe) und den vom Trojaner geänderten Registry Einträgen keinerlei Beweismittel.

MR

 

[stef]

Wie sieht es aus mit Mahnungen?

Hallo,

mich würde auch mal interessieren, ob jemand der RegTP diesen Trojaner geschickt hat, von dem die Rede ist. Ich selbst hab wie gesagt keine Beweise, hab denen nur die Beschreibung des Vorgangs und dann später auch das hier bekannte Video der Einwahl geschickt.

Außerdem interessiert es mich, wer denn außer der ersten "Standard-Antwort" von NexNet darüber hinaus noch mal was gehört hat.
Ich habe seit dem weder aus Bingen noch von NexNet noch was gehört! Hat jemand schon Mahnungen etc. bekommen? Oder gibt es vielleicht für die 928 auch schon einen Mahnstopp wie offensichtlich bei der 090090000606?

Bei mir hat sich wie gesagt seit keiner mehr mit irgendwelchen Forderungen gemeldet. Entweder haben die eingesehen, dass diese Dialergeschichte nicht so ganz legal war, oder die lassen sich einfach Zeit. Weiß jemand, wie lange das sonst so dauert, bis man eine Mahnung bekommt?

Und noch mal: Alle Dateien, Registry-Einträge und Hinweise bitte immer sofort an die Regulierungsbehörde schicken. Von der hab ich übrigens auch nichts mehr gehört.

 

[SDJungle]

...und von mir gibts auch nichts neues zu berichten. Die Telekom ist wie schon gesagt sowieso schon außen vor, ansonsten habe ich zwischenzeitlich weder von der Regulierungsbehörde, noch vom 'Diensteanbieter' etwas gehört oder gelesen...

Gruß
Stefan

 

[Anonymous]

XML-Parser

Hallo,


was um alles in der Welt ist denn nun wieder ein XML-Parser???
Mir scheint je mehr Sicherheitslücken gefunden werden, um so mehr neue Begriffe werden hervorgekramt.
Die angegebene Addi zum XML-Parser ist nicht sehr aufschlußreich....
Ansonsten
Also von meiner Seite auch wenig neues im Moment. NexNet behauptete in einem Schreiben vor kurzem, dass die Verbindung rechtmäßig entstanden sei, ich mich bei inhaltlichen Dingen der angeblich gewählten Dienste an die Bingener Adresse zu wenden und ich zu zahlen habe. Ende aus. Mahnung und der gleichen noch nix.
Ist denn bei einem die NexNet GmbH schon weiter als bei mir gegangen?
Wäre mal interessant zu wissen, wieviel Zeit ich noch habe, um ordentlichen Streit vom Zaun zu brechen und wenn es sein muß fahr ich sogar nach Bingen, um dort die Leute mal zur Rede zu stellen. Immerhin wird mir ja die Adresse von NexNet genannt, ist also mein gutes Recht.
Ich glaub da gibt es einige Leutehier, die so etwas gern mal tun würden. Oder?
Kann aber auch sein, dass sich alles in Luft auflöst, weil sowieso eine Sperrung vorgesehen ist, aber von der RegTP bekommt man keine weiteren Informationen, obwohl es sicherlich (inkl. meiner) ausreichend Beschwerden gehagelt hat.
Wie weit sind die Ermittlungen anderer Behörden incl. RegTP bei dieser Nummer? Wer weiß was oder besser wer weiß mehr?

Joeke

 

[TSCoreNinja]

Re: XML-Parser

was um alles in der Welt ist denn nun wieder ein XML-Parser???
Mir scheint je mehr Sicherheitslücken gefunden werden, um so mehr neue Begriffe werden hervorgekramt.
Die angegebene Addi zum XML-Parser ist nicht sehr aufschlußreich....

Sorry, wenn das alles sehr technisch ist. Zu gut Deutsch: Webseiten werden je nach Typ und Art des aufrufenden Links (hier zu einem) verschieden interpretiert, und koennen neben HTML z.B. Scripte (hier zur Erzeugung des Dialers auf der Platte) und Programmaufrufe (hier des Dialers) enthalten. Dies sollte allerdings nur bei vertrauenswuerdigen Quellen funktionieren. Und Microsoft hat es mal wieder geschafft, die Ueberpruefung zu versauen... Ist das verstaendlicher?

Hier noch ein Link auf das Eingestaendnis/Security Bulletins des Verursachers Microsoft.

Ob allerdings folgender Text deutlicher ist?

A vulnerability that occurs because Internet Explorer does not properly determine an object type returned from a Web server during XML data binding. It could be possible for an attacker who exploited this vulnerability to run arbitrary code on a user's system. If a user visited an attacker's Web site, it could be possible for the attacker to exploit this vulnerability without any other user action. An attacker could also craft an HTML-based e-mail that would attempt to exploit this vulnerability.

Netter Gebrauch des Konjunktivs, BTW.
Gr,
TSCoreNinja

 

[TSCoreNinja]

Another one bites the dust?

Dear valued customers,
We are sorry to say that we were forced to close down our platform forever and discontinue any business with you.
Due to numerous attacks we have received from our compeditors and "evilwebmasters" we were forced to go out of business.
Those attacks were dialer hijacking done by compeditors, framing numbers with carriers with hacked and modified dialers of us to block our payout only to name a few...
We are very sorry but under such evil circumstances it is no fun to run any business.
We thank you for your past business. We are trying to pay you out but due to the numerous framings done against us, we have not received payouts from several countries and we are unsure if we will ever get them.

Ob der werte Kaufmann aus Bingen bzw seine Dialerdrueckerkollegen von Brain Solutions Inc, bzw. Dialerconnection oder Payoutpal nur arme Opfer sind? Schade ist es IMHO nicht...
Gr,
TSCoreNinja

 

[Anonymous]

bloß gut

ich bin zu Tränen gerührt......
Ich hoffe diese Schreiberseele konnte wenigstens noch die Buchstaben treffen vor Lachen.
Das schnelle Geschäft ist schiefgegangen (vielleicht auch nicht) und man ist Ihnen zu schnell auf die Schliche gekommen. Zum Glück kann man genauso schnell wie solche Sachen aus dem Boden schießen auch Gegenmaßnahmen ergreifen....Das hat dieses Forum schon gut geleistet.

Also Leute weiter so.
Wenn es was neues gibt zu unserem Fall gibt, immer melden und hier hineinschreiben.

 

[Anonymous]

Antworten aus Bingen und von nexnet

Hallo alle!

Ich habe jetzt eine Antwort von der Frau aus Bingen:"maschinell
erstellt und daher nicht unterschrieben" mit den Hinweisen auf
microjuris und Brain Solutions. Ausserdem steht da "rein informativ",
dass derartige Premium-Dienste nur auf Seiten erotischen und
pornographischen Inhaltes (hier folgen dann verbale Details, hihi)
eingebaut seien. Das soll wohl die Leute erschrecken, nach dem
Motto: "Huch, wenn das rauskommt..." 8)

hat ja aber NIX mit der Tatsache zu tun, dass der Dialer ein illegales
(m.E.) Teil ist - und ausserdem nicht der bei der RegTP unter der
Nummer 0900....928 registrierte.

Sehe ich das richtig?

Das werde ich dann als nächstes an nexnet schreiben.
Die hae ich bisher nur gefragt, warum sie Briefe beantworten, die
an eine ganz andere Firma gerichtet sind (BT).
Antwort kam sofort, kennt ihr ja: sie sind mit Beschwerdenbearbeitung
und Mahnwesen beauftragt.

Mahnen die dan wirkich irgendwann?

Grüße von
Bernd

 

[stef]

Antwort der RegTP

Hallo,

habe heute eine schriftliche Antwort der Regulierungsbehörde erhalten:

Inhalt zusammengefasst.
Leider nicht genug Beweise, RegTP könne deshalb nicht tätig werden. Allgemein würden die Beschwerden aber gesammelt, um bei Häufungen dann doch Maßnahmen einzuleiten. Hinweise auf Info-Broschüren der RegTP für zivilrechtliche Auseinandersetzung etc.

Na super!

Wenn sich aber die meisten hier aus dem Forum beschwert haben, ist das denn noch keine Häufung??? Wie viele Leute müssen denn noch abgezockt werden, damit die RegTP eine "Häufung" der Beschwerden feststellen kann???

Allerdings wurde das Antwortschreiben von einem anderen Sachbearbeiter unterschrieben als der, der die Antworten auf meine eMails zurückgeschickt hat und der Beschwerde nachgehen wollte, obwohl ich beim Ausfüllen des Formblatts explizit auf meine Mails Bezug genommen habe.
Hab ja mittlerweile auch das Einwahlvideo von TSCoreNinja an die RegTP geschickt. Mehr Beweismittel hab ich halt nicht, oder soll ich denen noch das Telefonkabel als Beweismittel zuschicken?!?

Abgesehen davon sagte man mir vorher telefonisch, dass wegen dieser Rufnummer (090090000928) ermittelt werde.
Also was denn nun?

Vielleicht kam das Antwortschreiben ja auch nur von einem unmotivierten Mitarbeiter, der keine Lust hatte, mir über den aktuellen Stand der Recherchen Auskunft zu geben (oder es nicht darf) und einfach erstmal eine Standard-Antwort zurückgeschickt hat.

Sei's drum - der Dialer ist illegal und zivilrechtlich ändert es wohl sowieso nichts, ob die RegTP glaubt, aktiv werden zu müssen oder nicht.

Und außerdem: Die Tatsache, dass die meinen Fall nicht näher beachten, heißt ja nicht, dass andere Beschwerden erfolglos bleiben. Hier haben sich doch auch angeblich einige beschwert: Was habt ihr denn von der RegTP als Antwort bekommen?

Naja, mal abwarten, was passiert. Von NexNet und aus Bingen hab ich im Übrigen seit dem ersten Antwortschreiben von NexNet noch immer nichts gehört.

Bitte schreibt hier ins Forum, sobald ihr was Neues wisst.
Bis dann,
Stef

 

[Reducal]

Re: Antworten aus Bingen und von nexnet

...nexnet ... Mahnen die dan wirkich irgendwann?

JA, die führen das Beschwerdemanagement der BT und werden die Sache voll durch ziehen. Es sei denn, es kommt nicht zwischenzeitlich zu einer erstaunlichen Wende im Forderungsprozesses.

@ TSCoreNinja, dat Ding läuft!

@ all, ich hatte mich vor drei Jahren schon im Sharkclub am Berliner Gendarmenmarkt beschissen gefühlt und nun wird es wohl nur eine Frage der Zeit sein, bis deren Zeichen tiefe Schatten ziehen. Allen Geschädigten kann nur geraten werden, die T-Com mit ihrem Forderungsmanagement noch einige Zeit hin zu halten. Womöglich kommt es zu einer Entregistrierung der Produkte für die Bingener Registrierungsverpflichtete verantwortlich zeigen. Begründete Beschwerden sind zuständigkeitshalber an die RegTP zu richten.

 

[Anonymous]

RegTP-Nerven

Also TSCoreNinja's Filmchen, sekundengenaue Unterbrechung und Doppelbuchungen zur gleichen Zeit und mit dem gleichen Betrag keine Beweise sind, dann weiß ich nicht....Dann würde ich so langsam am Rechtsstaat zweifeln.
Ich denke da saß wohl eher ein entnervter RegTPler der um sich gebissen hat. Ich kann da fast mitfühlen.....Es muß wie eine Sintflut Beschwerden hageln.
Reducal
Hat denn jemand schon die volle Tour Mahnung von der NexNet abbekommen? Oder vermutest du das nur, dass es kommen wird?

Joeke