Hilfe! Dialer: 090090000928 gamepad.exe

Hallo,

Vermutlich andere Masche des dialers:

- Startseite des IE verändern (kryptische URL im Unicode)
- nachladen der gamepad.exe von dort und umleitung auf irgendeine suchseite (ohne extra-klick, ohne Abfrage, völlig im hintergrund!)
- trennen der Verbindung und anwahl von 090090000928 bzw. 090090000606
( 090090000928 ist nachvollziehbar im 0900warner-log, 090090000606 taucht nur auf der Rechnung auf (vor installation des warners))
- löschen der gamepad.exe

dummerweise wurde die Startseite wieder geändert, ohne die alte zu sichern (die masche kannte ich noch nicht :( )
Seitdem ist zwar ruhe mit dem dialer, aber ich hab keine Beweise
(Dateien wie hier im Forum beschrieben, also 25kB win-Systemdateien am falschen Ort, sind nicht aufzufinden.)

Falls jemand diese gamepad.exe, bzw. die anderen Dateien sichern konnte, würde ich mich über post freuen, damit ich ein paar beweise hab, dass die einwahl nicht wissentlich über ihre "registrierten" dialer erfolgte.

Tostan
 
Hi,

leider bin ich auch ein Opfer dieser Dialer geworden. Habe erst gestern erfahren, das ich anscheint zweimal (2 x €24,94)dieser Nummer gewählt hätte.

Ich würde mich freuen wenn ein oder der andere mir paar Tips geben könnte wie Mann dagegen wehren kann.

Gibt es neuigkeiten diesbezüglich von der RTP
Vielen Dank im voraus
 
Tostan schrieb:
Hallo,

Vermutlich andere Masche des dialers:

- Startseite des IE verändern (kryptische URL im Unicode)
- nachladen der gamepad.exe von dort und umleitung auf irgendeine suchseite (ohne extra-klick, ohne Abfrage, völlig im hintergrund!)
- trennen der Verbindung und anwahl von 090090000928 bzw. 090090000606
( 090090000928 ist nachvollziehbar im 0900warner-log, 090090000606 taucht nur auf der Rechnung auf (vor installation des warners))
- löschen der gamepad.exe


...
Zum Vergrößern anklicken....

090090000606:
vertretungsberechtigt ist:
MP, Schloßb***str, Bingen,...
 
Anonymous schrieb:
Tostan schrieb:
Hallo,

- trennen der Verbindung und anwahl von 090090000928 bzw. 090090000606
Zum Vergrößern anklicken....

090090000606:
vertretungsberechtigt ist:
MP, Schloßb***str, Bingen,...
Zum Vergrößern anklicken....

Hab auch schon nachgeschaut ...
Bei regTP sinds unterschiedliche Adressen zu beiden Nummern, hat mich etwas gewundert.

Aber auch die *606 tauchte hier im Thread schon auf, und es würde mich doch wundern, wenn auf dem Rechner zwei dialer drauf versteckt wären.

Zuerst wurde nur die *606 angerufen, später dann nur *928 ... da der Dialer ja immer frisch aus dem Netz kommt, kanns durchaus derselbe gewesen sein.

Dummerweise hat der, der an dem Rechner normalerweise arbeitet, nicht bemerkt, dass die Startseite des IE über mehr als zwei Monate verändert war.
Aber da glücklicherweise der alte Netscape 4.7 Standard-Browser war, und der IE nur benutzt wurde, wenn mal wieder ne Seite mit dem Netscape nicht darstellbar war, ist der Schaden wesentlich geringer, als er sein könnte.

Tostan
 
(NB, leider habe ich das Original Posting zerstoert, da Editieren statt zitieren gedrueckt...
Hier standen mal wilde Spekulationen zu einer Andloadsmore Limited, die den in der RegTP Datenbank zur 0900-90000606 genannten Mitgliederspielplatz betreiben u in den USA schon einschlaegig bekannt waren Einziger Ueberrest ist dieser Satz:

Ich denke, wir sollten Wetten darauf abschliessen, wie lange die RegTP diesmal braucht, um dem Treiben ein Ende zu bereiten. Mein Tipp: nicht vor Anfang Oktober.
 
Das scheint ja offenbar tatsächlich ein durch und durch geniales System zu sein und offenbar gibt es auf der Seite der "Guten" (mit allerlei ???) noch keinen, der den Fehler in dem System gefunden hat, den es geben muss, damit man etwas dagegen tun kann...

Mag sein, dass es keinen Fehler gibt...

cj


___________


zurück zu den Betroffenen:

Im Moment führt der Weg eigentlich nur über die Registrierungsbehörde, dort müssen sich möglichst viele Leute beschweren, damit da was unternommen werden kann. Dazu wäre es sicher hilfreich, wenn jemand das so aufbereitet tun könnte, wie möglich.

Nichtsdestotrotz kommt es auf jede einzelne Beschwerde an, um den Apparat der RegTP erst einmal in Bewegung zu setzen.

Die Hirngespinste in Richtung "Weltverschwörungstheorie" können höchstens Autoren von Wirtschaftskrimis als Inspiration nehmen. Vielleicht heisst GRishams nächster Roman ja "Das Netz" ;)
 
BTW, @ alle Betroffenen:
wer eine Adresse kennt, die zu der Einwahl fuehrt, bitte per PN zuschicken, kann evt. mal wieder ein nettes Video erzeugen ;-) Geht trotz Zeitmangel zur Not auch in der Kaffeepause, kriege langsam Uebung. Und bin doch mal neugierig, wie diesmal die Technik aussieht.
Gr,
TSCoreNinja
 
TSCoreNinja schrieb:
wer eine Adresse kennt, die zu der Einwahl fuehrt, bitte per PN zuschicken,
TSCoreNinja
Zum Vergrößern anklicken....

tja, hätt ich nur nicht voreilig die Startadresse geändert. :(

Gibt es eine Möglichkeit, eine "alte" Start-url noch irgendwo auszulesen? (IE 5.5) Windows speichert doch sonst auch alles ewig.

Auch im Verlauf war keine URL zu finden, die zur Einwahl führt (also die alte Start-URL z.B.) :(

Tostan
 
Tostan schrieb:
TSCoreNinja schrieb:
wer eine Adresse kennt, die zu der Einwahl fuehrt, bitte per PN zuschicken,
TSCoreNinja
Zum Vergrößern anklicken....
Gibt es eine Möglichkeit, eine "alte" Start-url noch irgendwo auszulesen? (IE 5.5) Windows speichert doch sonst auch alles ewig.

Auch im Verlauf war keine URL zu finden, die zur Einwahl führt (also die alte Start-URL z.B.) :(
Zum Vergrößern anklicken....
Verlauf ist meines Wissens einzige Moeglichkeit. Andererseits hat Matlock den Verlauf erfolgreich geloescht, und zwar komplett. Gibts noch etwas von vor der Einwahl? Kann mich zwar noch nicht ganz entscheiden, von der gleichen Masche auszugehen, aber scheinbar gibts auffaellig viele Parallelen

TSCoreNinja
 
Habe auch noch rausgefunden, daß der Dialer ...00928 auch die Cookies löscht. Nachdem mein Dialerwarner angesprungen ist und den Verbindungsaufbau unterdrückt hat, muss ich mich auf Seiten, auf denen ich registriert bin, jedesmal wieder neu einloggen, obwohl dies eigentlich automatisch gehen sollte beim Aufruf der Seiten. Ich habe jetzt immernoch keine Möglichkeit gefunden, diesen Dialer auf meinem System unschädlich zu machen, nur mein 0900er-Warner, der immer anspringt, schützt mich vor größerem Schaden. Kann mir irgendjemand erklären, was ich wo in der Registry löschen muss? Kenne mich in dieser Materie nicht ganz so gut aus.

Wenn ich auf der nächsten Telefonrechnung etwas entdecke, daß der Dialer verursacht hat, wie muß ich mich verhalten? Telekom bucht per Lastschrift ab... Muss ich eine Mail dann an die RegTP schicken, und wenn ja, was muss in die Mail alles rein? Als einzigstes Log hab ich nur die Verbindungsunterdrückung vom 0900er-Warner als .txt-Datei. Aber das wird ja wohl kaum reichen. Ich habe nie auf einen OK-Button o.ä. geklickt und auch auf einer anderen Art hat sich der Dialer nicht angekündigt. Plötzlich war meine Verbindung gekappt und eine neue Einwahl über die ominöse gamepad.exe hat stattgefunden....
 
So, hab gerade mit TrendMicro mein System gescannt und hab da folgendes gefunden:TROJ_SMALL.X in der svchost.exe im System-Ordner.
Beschreibung bei TrendMicro dazu:
This memory-resident Trojan is a downloaded file of TROJ_SMALL.W. It also attempts to download files, which are often malware, from several servers and then execute the said files.

Dieser Trojaner lädt also Dateien im Hintergrund herunter und führt diese aus. Kann es sich da vielleicht um unsere gamepad.exe handeln? Diese svchost.exe im Systemordner wurde ja auch schon des öfteren hier erwähnt...

Konnte die gefundene Datei nicht gleich löschen, weil sie gerade verwendet wurde. Nachdem ich im Taskmanager die Datei aber beendet hatte, ließ sich die svchost.exe problemlos von TrendMicro entfernen.

Hier der Link von TrendMicro zu TROJ_SMALL.X:
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=TROJ_SMALL.X
 
Niggl schrieb:
Dieser Trojaner lädt also Dateien im Hintergrund herunter und führt diese aus. Kann es sich da vielleicht um unsere gamepad.exe handeln? Diese svchost.exe im Systemordner wurde ja auch schon des öfteren hier erwähnt...
Zum Vergrößern anklicken....

Hallo!

Tja, das ist ja die Sache, die ich meine: dieser Dialer führt sich auf wie ein Virus - mit dem Unterschied, dass sich darüber auch noch Leute bereichern...!

Ich habe inzwischen die Telekomrechnung bekommen mit (dann doch 'nur') 10 EUR für die 090090000928. Das sind zehn EUR, die ich denen nicht gönne, wo sich aber die Frage stellt, ob sich der Aufwand des Widerspruchs lohnt. Mit all den Gebühren, die dabei anfallen, is man ja schnell über diesen 10 EUR.

Ich würde denen aber gern in den A**** treten und bin immer noch wegen dem Staatsanwalt am überlegen, weil:
  • das ein groß angelegter Betrug ist und darüber auch bei niemandem ein Zweifel besteht (auch nicht bei der RegTP).
  • auf meinem PC durch den Dialer weitere Viren nachgeladen wurden und damit haben wir eigentlich einen direkten Ansprechpartner/Verantwortlichen für einen Virenbefall.

Ich werde da nochmal mit meinem Anwalt und dem Staatsanwalt drüber meditieren.
 
Nachdem ich die svchost.exe aus dem Systemordner entfernt habe, hat sich seither kein Dialer mehr versucht einzuwählen. Jetzt greifen also schon die Dialerverbreiter zu den absolut hinterhältigsten Methoden, um sich jede Menge Geld zu erschleichen. Die Frage ist allerdings, ob die Dialeranbieter wirklich so dumm sind und solche Aktionen bewusst anwenden, da ja ersichtlich ist, daß sie sich vermutlich eines Trojaners bedienen.
 
TSCoreNinja schrieb:
Verlauf ist meines Wissens einzige Moeglichkeit. Andererseits hat Matlock den Verlauf erfolgreich geloescht, und zwar komplett. Gibts noch etwas von vor der Einwahl? Kann mich zwar noch nicht ganz entscheiden, von der gleichen Masche auszugehen, aber scheinbar gibts auffaellig viele Parallelen
TSCoreNinja
Zum Vergrößern anklicken....

scheint so zu sein, denn der Verlauf umfasste nur noch Adressen vom Tag als ich es erfahren habe. (da es nicht mein Rechner ist weiss ich nicht, ob da niemand die letzten Tage den benutzt hat, oder ob er gelöscht wurde)
... scheint ja ein echt "cleverer" Dialer zu sein, eklig sowas :(

Tostan
 
Hm......
Grad der 0900er-Warner wieder angesprungen, wieder die gamepad.exe, diesmal allerdings die Nummer 090090000606.
Ich dreh jetzt dann so langsam durch. Achja, svchost.exe is wieder im Windowsverzeichnis gewesen...
 
Hilfe!!!

Hallo Community,

also nachdem gestern die Telefonrechnung kam traf mich fast der Schlag. Ich hätte irgendwie die Nummer 09009 0000128 gewählt,am 15.04 und am 17.04. Die Summe beläuft sich auf insgesamt 40 €. Und das ist auch Geld. Jetzt die Frage: was soll ich tun. Denn sofort danach hab ich nen Virenscan gemacht und da war eine Datei gamepad.exe. Und dann schaute ich in dieses Forum dass das wohl der Dialer war. Jednefalls weiß ich nicht was ich genau tun soll. Die Firma ist Nexnet,an sie hab ich bereits die Frage gestellt was für eine Verbindung ich getätigt habe.
Aber ich bin mir sicher ich hab das nicht freiweillig gemacht. Vor ein paar Monaten hat mir ein Freund den Tip gegeben immer mit Anti-Spyware Progs zu arbeiten. Das tue ich auch,und mit dem Virusscanner,aber trotzdem hat sich der Dialer irgendwie eingeschlichen. Und ich möchte das Geld nicht bezahlen,da das Ganze sehr dubios ist und bei vielen anderen vorkam. Wenn ich die Nummer bei der RegTP in dem einen Formular eingebe kommt dasselbe wie am Anfang des Topics,Vereinigte Staaten von Amerika usw.
Ihr habt das ja hoffentlich gut überstanden...was soll ich tun?wäre wirklich sehr dankbar für jede Hilfe.
 
0900 90000128

@Georg

Wenn Du diese gamepad.exe hast, bitte mal zusenden. D.h. anmelden, und mir ne PM schicken, dann kriegst Du meine Mailadresse. Auch an evt bekannten Links, wo der Dialer eingesetzt wurde (History anschauen), waere ich sehr interessiert

Uebrigens liefert RegTP Datenbank http://bo2005.regtp.de/prg/srvcno/dialer.asp derzeit keine Eintraege zu 0900-90000128 keine Ahnung ob das deren Probleme sind, oder ob kein Dialer registriert ist. Dann besteht kein Zahlungsanspruch!

Viel Erfolg,
TSCoreNinja
 
Niggl schrieb:
Hm......
Grad der 0900er-Warner wieder angesprungen, wieder die gamepad.exe, diesmal allerdings die Nummer 090090000606.
Ich dreh jetzt dann so langsam durch. Achja, svchost.exe is wieder im Windowsverzeichnis gewesen...
Zum Vergrößern anklicken....

Die 090090000606 war schon mal da... (dritte Seite dieses Threads, as fas as I can remember)

Wer sich unter der 090090000928 wundert, nur eine Firma in den USA zu finden, kann gerne unter der 090090000606 nachschauen, da ist "Bob Back" nicht mehr so weit.

(Das so genannte Addressierungsmerkmal unter 090090000928 führt zur Nummer ...474)
 
Reducal schrieb:
Anonymous schrieb:
da ist "Bob Back" nicht mehr so weit.
Zum Vergrößern anklicken....
Wenn ich mich nicht irre ist das aber ein Anwalt, der lediglich als der erforderliche Zustellbevollmächtigte für die RegTP fungiert.
Zum Vergrößern anklicken....

ich weiss schon, dass es nirgends Verantwortliche gibt, nur überall Kassierende... das widerspricht aber nun mal meiner (ich betone MEINER) Auffassung von Rechtmäßigkeit...

Wer verdient, haftet.

cj
 
Zurück
Oben