Hilfe! Dialer: 090090000928 gamepad.exe

Hallo!
Ich bin immernoch der Meinung das es etwas mit der "lsass.exe" zu tun hat. Bei mir hat sich genau zu dem Zeitpunkt diese Datei in C:\Windows\ eingenistet, als ich den Dialer zum ersten Mal bemerkt habe. Auch in dem oben angegebenen Log befindete sich neben der wohl "normalen" "lsass.exe" in C:\WINDOWS\system32\ auch noch eine in C:\WINDOWS\ . Auch bei mir sind zwei dieser Freunde aktiv (einer in C:\WINDOWS\system32\ und einer in C:\WINDOWS). Die "neue" Datei in C:\WINDOWS ist zudem versteckt.
In der Registry lässt sich unter anderem auch folgender Eintrag finden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Update"="C:\\WINDOWS\\lsass.exe /i"

Bitte klärt mich auf, wenn das oben beschriebene vollkommen normal ist.
 
hi @

ich habe ihn mir auch gefangen :cry: habe mit ihn seit 4 tagen zu kämpfen. obwoll ich so weit alles gelöscht haben kommt er wider :evil: und ich weis auch net voher. Er nistet sich bei mir hier ein C:\WINDOWS\Prefetch\Gamepad.exe und da sind 2 bis 3 einträge.
das einzige was er noch bewirken kann bei mir ist das er nur meine verbindung trennt sich aber nicht mehr einniestet :lol: habe ihn so gesagt die tür geschlossen unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk bei XP auf eigenschaften und schreibgeschütz machen und nun kann er sich nicht mehr einwählen bzw die vorhanden verbindung deaktieviren
aber wie bekommt mann das ding kommplet von der platte????

mfg GitS
 
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\lsass.exe /i

Ist auch zu "fixen".

(Wobei ich mir schon fast sicher bin, dass diese "lsass.exe" mit der "svchost.exe" identisch seien dürfte)
 
Hallo,

ich habe mir den Dialer auch eingefangen, und zwar auf so einer "Gallerie" :) Seite. Was ich im Moment rausgefunden habe, ist das über einen Bug in ActiveX der Pfad c:\java\javainfo.exe (vielleicht kann der Name varieren) erstellt wird, dann wird die Datei ausgeführt, die wiederrum eine .exe erstellt (oder runterlädt) die einen wechselnden Namen hat und sich entweder im Windir oder im Anwendungsdaten Ordner befindend. Die Namen lauten meist wie Systemprozesse, winlogon.exe, csrss.exe,lsass.exe usw. (Kann man nur daran erkennen, das der Benutzername im TaskManager nicht! SYSTEM lautet). Außerdem wird eine Regkey zum automatischen Starten erstellt. Meistens heißt der SystemUpdate2 oder sowas. Danach wird c:\java gelöscht und der Dialer ist druff.

Die Winlogon.exe o.ä. erstellt dann wiederrum in unregelmäßigen Intervallen die ShellExt\gamepad.EXE und führt sie aus. Nach der Einwahl löscht sich gamepad.EXE wieder.

Außerdem wird auch manchmal eine Hook_dll.dll erstellt die irgendwelche API Calls hooken soll, keine Ahnung welche.

Um es noch lustiger zu machen, scheint es mehrere Versionen dieses Dialers zu geben. Der Beweis hier:
x 11.04.2004 16:06:43 (A) C:\WINDOWS\System32\ShellExt\gamepad.EXE 090090000606 RASAPI32 GEBLOCKT
x 08.04.2004 17:35:28 C:\WINDOWS\System32\ShellExt\gamepad.EXE 090090000928 RASAPI32 GEBLOCKT
x 05.04.2004 15:26:58 C:\WINDOWS\System32\ShellExt\gamepad.EXE 090090000928 RASAPI32 GEBLOCKT

Naja, mehr weiß ich im Moment auch noch nicht, nur das ich 2mal c.a. je 5 Minuten damit Online war. Hoffen wir das beste.

P.S.: Wer der gamepad.exe noch hat, möge sie mir bitte zuschicken :) ..... [at] web.de

P.P.S.: Weg kriegt man das ding, indem man den RegKey löscht, neustartet, die o.g. .exe löscht und ActiveX deaktiviert. Dann kommt er auch nicht wieder drauf.


E-Mail Addi gelöscht siehe Nutzungsregeln
http://forum.computerbetrug.de/rules.php#10
tf/Moderator
Hinweis: die Löschungen der E-Mail-Addis erfolgen in jedem Fall auch wenn sie "verschleiert" werden
 
Wobei ich mir schon fast sicher bin, dass diese "lsass.exe" mit der "svchost.exe" identisch seien dürfte)
Zum Vergrößern anklicken....

so scheint es.

um die sache unauffällig zu gestalten, werden dateien nach win diensten benannt, allerdings im ordner c-windows abgelegt.

man sollte vor allem mal die autostarteinträge überprüfen.

die gamepad.exe konnte ich sichern als 0900 warner gewarnt hat, sobald man die warnung mit "unterbinden" wegklickt, verschwindet gamepad.EXE inklusive dem ordner in dem es sich installiert hat.

wahrscheinlich läd die als dienst getarnte datei die gamepad.exe aus dem web nach, sobald der einsatz der gamepad.exe beendet ist oder man eine verbindung unterbindet, löscht sich die datei.

ich habe mal ein paar grafiken angefügt.
 

Anhänge

  • gamepad3.jpg
    gamepad3.jpg
    45,4 KB · Aufrufe: 439
  • gamepad4.jpg
    gamepad4.jpg
    47,1 KB · Aufrufe: 443
  • gamepad2.jpg
    gamepad2.jpg
    35,2 KB · Aufrufe: 424
Bin totaller Laie, was Pc/Dialer betrifft...Ich habe ebenfalls csrss.exe 3.244K (aber nur einmal) in meinen Task-Manager...Hab ich jetzt diesen Dialer, von dem ihr spricht?
 
@kurze frage: wenn der Dienst von "System" ausgeführt wird, ist es ein normaler Dienst. Hast Du eine crss.exe irgendwo anders? (c:\...) dann wäre es vielleicht komisch.


@gueder:

In Deinem Beispiel mit der Autostartdatei finde ich etwas seltsames (siehe Bild): Das würde nämlich bestätigen, was ich dauernd schon vermute: Man kriegt einen "normalen" registrierten Dialer und etwas anderes noch dazu (genauer gesagt wohl eher umgekehrt) [edit: Denn dieser Autostarteintrag ist für das "Sysupdate" des "aconti"-Dialers, eben int#####.exe]

[edit: Da die bei der RegTP genannte Einwahladresse zu einem aconti-Dialer führt, lag für mich die Vermutung nahe, dass der "gamepad.exe-Dialer" damit zusammen hängt. Dieses Missverständnis wird hier ein paar Beiträge weiter unten geklärt...]
 

Anhänge

  • gd.jpg
    gd.jpg
    15,4 KB · Aufrufe: 290
Frage

Hallo,

bin neu hier, habe (oder hatte?) auch diesen Virus, Antivir hat einiges gelöscht, ich habe jetzt sicherheitshalber auch noch die Datei winlogon.exe gelöscht (war bei mir im Ordner system, habe win 98).

Kenne mich überhaupt nicht aus, würde aber gerne wissen, ob ich diese Löschung rückgängig machen soll.

Bob
 
Ich glaube ich hab ihn:

O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
Zum Vergrößern anklicken....

Zumindest hat sich der Dialer heute noch nicht wieder blicken lassen, nachdem ich gestern vor dem Herunterfahren über diese Datei gestolpert bin. Darin verbarg sich nicht etwa MS als Hersteller, sondern letztlich die Signatur des Dialers 'DIAL/300475'
 
Hab auch die gamepad.exe angezeigt bekommen, die netstat.exe finde ich allerdings nicht im Windows-Ordner...
Kann ich den Dialer irgendwo über die Registry finden/Löschen? Ad-Aware findet nichts. Gibts es eigentlich ein Sicherheitsupdate bei MS für solche Dialergeschichten oder kümmern die sich net um sowas?
 
@ Aka-Aka

sorry, ich hatte den aconti dialer nur getestet, dateien gelöscht usw. dabei hab ich den autostart vergessen. ich bin mir da ziemlich sicher, dass der nichts mit diesem dialer hier zu tun hat, das hat ein weiterer test bewiesen.

@ sdJungle

richtig, das könnte sein, wenn du xp hast, wobei netstat.exe im original unter system32 liegt. wenn die datei 25 kb hat, kannst du ziemlich sicher sein, dass es sich um das programm handelt, welches die gamepad.exe vom web runterläd.

http://216.115.95.98//38ble.chm::/wincfgid.exe

[die url ist ungefährlich für webbrowser]

dieser eintrag hier ist das übel, irgendjemand hatte den hier gepostet. so wird der dialer aktiviert, es wird eine hilfedatei (38ble.chm) runtergeladen und dann sogleich die wincfgid.exe gestartet, die sich getarnt in der hilfedatei befindet. diese wincfgid.exe kreiert dann die gefakten win systemdateien im ordner c\windows\, alle müssten eine größe von 25 kb haben. und diese falschen systemdateien legen sich in den autostart und versuchen dann, alle 5 minuten (bei mir) die dialerdatei gamepad.exe aus dem web runterzuladen, schlägt der versuch der anwahl fehl, löscht sich die gamepad und das spielchen beginnt erneut.

so ähnlich müsste das ganze ablaufen.

eine dieser falschen dateien wollte übrigens gerade auf google zugreifen, zumindest gehört die url zu google. (siehe bild)
 

Anhänge

  • loader.jpg
    loader.jpg
    39,3 KB · Aufrufe: 363
Tja, bin auch neu hier und habe das Ding ebenfalls drauf. Bei mir ist allerdings das Problem das ich bis zu meinem Umzug vor kurzem noch DSL hatte und mich die Dialer Problematik nicht gescherrt hat. Momentan bin ich etwas am rotieren was man machen könnte da das Teil zwischen 50 und 100 Stunden drin gewesen sein könnte, da ich den PC praktisch den ganzen Tag anhabe, auch wenn ich nicht zu Hause bin. Ich habe nun (berechtigt) Angst das ich das Zahlen muss, was bei 2 euro pro minute mal locker im 5 Stelligen Bereich enden kann. Wenn ihr irgendwelche Infos habt, sprich von welcher Webseite oder irgendwelche Dateien die mir in einem Strafrechtlichen Prozess helfen könnten, dann her damit. Denn ich habe das Problem das er sich momentan gar nicht mehr einloggt und wenn er sich selbst gelöscht hat währe mein einziger Beweis weg.
 
Also ich habe der RegTP schon eine Mail geschickt. Aber nichtsdestotrotz, was ist wenn der Dialer sich selbst gelöscht hat, und die mir dann einen anderen Dialer zeigen und behaupten ich hätte den benutzt. Ich meine der Dialer den die Leute hier und ich haben ist bei der RegTP gar nicht aufgeführt. Die Sache ist nur das zu Beweisen.
 
Was die RegTP telefonisch sagte....

Hallo Leutz!

Ich hab grad mit der RegTP gesprochen. Der Dialer ist dort schon sehr sehr gut bekannt.... Die wissen auch noch nicht, wie man den vernünftig vom System bekommt.

Fest steht, dass DIESER Dialer nicht gesetz-konform ist. Der sehr freundliche Herr von der RegTP hat mir empfohlen, doch mal beim Staatsanwalt ne Klage anzuleiern. Er meinte, natürlich könnte die RegTP die Nummer platt machen, aber dann würden die Täter einfach nur wieder ne neue aufmachen. Also sollte man das wirklich mal als Straftat aktenkundig machen.

Damit dürfte wohl feststehen, dass man die Gebühren, die durch diesen Dialer entstanden sind, nicht zahlen muss. Glücklich sind aber wiedermal die Leutchen mit einer Rechtsschutzversicherung - die können das entspannt dem Anwalt übergeben...
 
Re: Was die RegTP telefonisch sagte....

Das ist großartig. Ich persönlich warte ja noch auf eine Antwort-Mail, aber werde es wohl auch eher telefonisch regeln.
Und wie machst du deiner Telefongesellschaft jetzt klar, dass du die Kosten nicht tragen musst? Bekommst du einen Beleg von der RegTp?
 
Re: Was die RegTP telefonisch sagte....

niblo schrieb:
Bekommst du einen Beleg von der RegTp?
Zum Vergrößern anklicken....
Dafür ist die RegTP nicht da - bedient Euch derer Datenbanken auf www.regtp.de
Bei einem Widerspruch gucken auch die Mitarbeiter der Telefonunternehemen (T-Com, Arcor usw.) in diese Datenbanken. Ist eine Nummer / ein Dialer dort nicht aufgeführt (registriert) dann wird der Widerspruch i. d. R. ohne weiteres akzeptiert.
 
Vielleicht sollte ich noch erwähnen, dass die RegTP zwar einen Dialer für diese Nummer registriert hat, aber dass die Dialer nicht extra getestet werden. Schließlich lassen die sich ja von der Firma bescheinigen, dass der Dialer nach gültigem Recht arbeitet. Trifft dies nicht zu, dann entzieht die RegTP - auch nachträglich - die Zulassung (siehe Spiegel-Artikel).

Wenn ich mein Gespräch mit denen aber richtig deute, dann stink es denen, dass sie den bösen Dialern ständig die Nummern entziehen, nur damit die Täter wieder eine neue aufmachen. Daher würden sie es wohl gern sehen, dass die Betroffenen ein Verfahren starten.

Ich vermute aber auch, dass das nicht wirklich erfolgsversprechend ist. Wenn man die Nachrichten über solche Dialer verfolgt, dann kommt man an die Leutchen ja doch nicht ran. Es wird also noch so einige Nachbesserungen an den Gesetzen und Methoden geben müssen...
 
hosts.vbs und gamepad.exe

Hallo zusammen,

bin zwar eigentlich ein ziemlicher Laie, habe aber glaube ich eine Entdeckung gemacht. Da ich eine Einzelauflistung meiner Verbindungen habe, kann ich genau sehen, wann sich dieser Dialer eingewählt hat. Am gleichen Tag genau 8 min vorher wurde die datei "hosts" im Windowsverzeichnis gelöscht und durch eine neue datei hosts.vbs ersetzt. Das hat mein Virenscanner irgendwann erkannt und ich habe leider diese hosts.vbs gelöscht. Ich bin allerdings ziemlich sicher, dass dort auch ein Aufruf zur gamepad.exe stand (habe sie vor dem Löschen editiert). Vielleicht bringt das ja irgend einen Computerchecker hier weiter. Oder war das schon allen längst klar?

Ciao
 
Ich weiß nicht, inwieweit das bekannt oder relevant ist...

Im Oktober und November z.B. haben Leute im Abakus-Forum eine veränderte hosts-Datei gepostet, die enthielt so ziemlich alle Dialerdownloadseiten, die ich kenne inkl. der zugehörigen Webmasterprogramme usw.

In dieser geänderten Datei stehen u.a. (willkürliche Auswahl)

tscash, stardialer, 0190-dialer,sex-explorer, sendman, aconti, online-dialer, usw. usf., aber auch "ganz normale" ad-banner.

Wenn ich das richtig verstehe, wird irgendwie beim Aufruf einer bestimmten domain zufällig eine domain dieser LIste angesteuert. Das Thema ist also nicht neu, nichtsdestotrotz natürlich möglicherweise sehr spannend...

Vielleicht müsste das mit der hosts-Datei mal jemand erklären ;)
 
Zurück
Oben