illegaler Dialer 0900 / 90000606

Hallo... Scheinbar gibt es ja doch noch andere Betroffene. Ich habe vor einigen Wochen schonmal nach Information zu dem betreffenden Dialler gesucht, aber nichts gefunden.

Heute ist meine Telefonrechnung gekommen mit insgesamt 24,40 Euro (ohne MWST) für Colt Telecom GmbH (Acoreus), die ich angeblich am 29. April verursacht habe.

Ein Anruf bei der Telekom brachte nur die Information, daß ich ja die Rechnung um den fraglichen Betrag kürzen könne (ist dann nicht mehr das Problem der Telekom)

Colt Telecom (immerhin über eine 0800er Nummer erreichbar) sagt mir ich hätte zwei Verbindungen zu 0900 90000606 aufgebaut.
Ein mal um 22:28 Uhr (59 Sekunden) und einmal um 22:30 (12 Minuten 31 Sekunden)
Es würde sich um einen Erotikdienst der Fa. Life und Art Consulting handeln. Weitere Informationen, welche Art von Dienstleistung das sei, und welche Kontaktadresse diese Firma hat, wurden nicht gegeben.

Eigentlich habe ich nicht vor, diesen Betrag zu bezahlen. Allerdings habe ich leider keine besonderen Beweise mehr, bis auf das handschriftlich übertragene Protokoll meines Virenscanners, der folgendes gefunden hat:
- Den Dialer "gamepad.exe" (konnte ich selbst allerdings trotz intensiver Suche nicht mehr auf meinem Rechner finden)
- Den Trojaner (oder so ähnlich) TR/Syspy oder Sysspy
- Und da war noch etwas von Dial/300490 gestanden
Leider ist das ganze schon etwas her, so daß ich mich nicht mehr genau an alles erinnern kann.

Ich bin eigentlich dadurch auf den Dialler aufmerksam geworden, daß in den DFÜ-Netzwerkverbindungen ein neuer Eintrag "Dialer" war, allerdings mit der Nufnummer "0"
Außerdem war der Modemlautsprecher seitdem ausgeschaltet und ich habe alles versucht ihn wieder einzuschalten... Ohne Erfolg...

Zu meinem System:
Windows 2000 hatte ich recht frisch installiert, und ich glaube nur SP3 mit ein paar alten Sicherheitsupdates. Dann war ich mit dem Rechner für einige Zeit im Internet. Ich bin mir sehr sicher, daß ich keine Programme heruntergeladen habe (dann natürlich auch nicht ausgeführt). Ich habe keine Zertifikate angenommen oder irgendwo auf "Ja" / "Yes" / "OK" oder Ähnliches geklickt, wenn irgendwelche Popups genervt haben....
Mir ist vollkommen schleierhaft, wie sich dieser Dialler einnisten konnte...

Naja, wie ich es bemerkt habe, daß etwas nicht stimmt habe ich eben den Rechner gescannt und die oben angegebenen Sachen gefunden. Nachdem beim Dialler aber als Rufnummer nur eine Null drinnenstand und ich im Internet auch nicht viel zu den vom Virenscanner ausgespuckten Stichwörtern gefunden habe, habe ich den Rechner einfach komplett neu installiert (war ja eh noch nix drauf)...

Ich hoffe, daß meine Angaben den Tüftlern helfen... Und mal sehen, wie sich das bei mir entwickelt... Vorerst werde ich nicht bezahlen. Nur habe ich leider nicht sehr viel in der Hand :-(

Falls jemand Tipps hat, dann her damit :-)

Gruß, Christian
 
Video einer vollautomatischen Einwahl

Liebe Geschaedigten,
wen es interessiert, findet hier
ein Video, das die vollautomatische Einwahl bei der Rufnummer 090090000606 zeigt. Ist 1.6MB gross. Vorsicht beim Herumprobieren mit der URL, die im Video zu sehen ist. BTW, damit dies klappt, habe ich SP3 bei win2000 de-installieren muessen.

Gr,
TSCoreNinja
 
Re: Video einer vollautomatischen Einwahl

TSCoreNinja schrieb:
wen es interessiert, findet hier
ein Video, das die vollautomatische Einwahl bei der Rufnummer 090090000606 zeigt.
Zum Vergrößern anklicken....
Hat der Rechner die Hufe hoch gerissen?
Code: 
Unfortunately, we are unable to process your request at this time. We apologize for the inconvenience. Please try again later.
 
Code: 
Diese Website ist momentan nicht verfügbar

Die aufgerufene Web-Site hat die Anzahl der möglichen Abrufe überschritten.

Der Zugriff auf diese Site wird innerhalb der nächsten Stunde wieder möglich sein. Versuchen Sie es dann bitte erneut.
http://
Und schon wieder das Volumen erschöpft.
Geocities hält wirklich nix aus. :cry:

MfG
L.
 
Zum Inhalt:

Das ist schon fein gemacht, sehr gut!

So etwas habe ich auch schon angefertigt, mit einfacher Call-by-Call-Verbindung, bis der Dialer diese kappt. Dann muss am Modem das Telefonkabel raus, wenn man die Wählversuche im Modemprotokoll mit gewählter Nummer wiederfinden will.

Das geht nur mit gesperrten Teuernummern, schneller Hand und guten Nerven, ist also nicht generell zur Nachahmung empfohlen.

Dietmar Vill
 
Mann... Das ist ja echt der Hammer... Sollte doch für ne Strafanzeige reichen oder?

Selbst mit Windows 2000 SP 4 hilft es nix:
Hier sind einige Bilder:

http://home.arcor.de/christian.reimann/dialer/Teil1.jpg
http://home.arcor.de/christian.reimann/dialer/Teil2.jpg (Nachdem ich die Datei gelöscht habe)
http://home.arcor.de/christian.reimann/dialer/system.jpg
http://home.arcor.de/christian.reimann/dialer/ie.jpg

Eine Stufe weiter:
Während mein Virenwächter fragt, was er mit der Datei machen soll, lösche ich sie von Hand und schiebe ein Notepad.exe mit dem Namen d1422.exe ion das Verzeichnis: -> Wenn ich dem Virenwächter sage, er soll nix machen, dann wird Notepad gestartet....
Es klappt also wirklich...
Eigentlich sollte man die Rechnung an Microsoft weiterleiten
 
Bei mir hat es mit einem Video nicht geklappt. Konnte die Windows-Updates anscheinend nicht mehr richtig rückgängig machen.

Nochmal danke und :respekt:

Gruß

Klaus
 
chris922 schrieb:
Mann... Das ist ja echt der Hammer... Sollte doch für ne Strafanzeige reichen oder?
Zum Vergrößern anklicken....

Bitte die ganzen Screenshots noch einmal ohne Antivir.

Auch wenn ich bezüglich des unrühmlichen Verhaltens dem Anbieter gegenüber mit euch übereinstimme, finde ich es doch nicht sonderlich neutral, im Kielwasser von einem Unternehmen zu schwimmen.

Btw.
Für eine Strafanzeige reicht es immer, aber ob diese auch von Erfolg gekrönt ist, das steht auf einem ganz anderen Blatt.
 
Für eine Strafanzeige reicht es immer, aber ob diese auch von Erfolg gekrönt ist, das steht auf einem ganz anderen Blatt.
Zum Vergrößern anklicken....

Ist schon richtig. Dennoch sollte das niemanden von der Anzeigenerstattung abhalten - wenn er sich getäuscht oder betrogen fühlt oder den Verdacht einer Straftat hegt.
 
>Bitte die ganzen Screenshots noch einmal ohne Antivir.

Warum denn das? Antivir verdeckt doch nichts...
Und abschalten will ich das lieber nicht :-)

>Auch wenn ich bezüglich des unrühmlichen Verhaltens dem Anbieter
>gegenüber mit euch übereinstimme, finde ich es doch nicht sonderlich >neutral, im Kielwasser von einem Unternehmen zu schwimmen.

Hmm ich stehe gerade auf dem Schlauch... Was meinst Du damit?
 
Hallo TSCoreNinja,

ich habe das ganze jetzt mal noch weiter nachvollzogen und habe bemerkt, daß die Telefonnummer scheinbar geändert wurde. Hast Du noch den Dialer bzw. den Hashwert des Dialers, den Du runtergeladen hast?
Mein "neuer" Dialer hat den Hanswert D2F7A8A78C30635DB630A4A9EB5181F5A407CF0E.

Er versucht nun die Verbindung zu 810239281168 (was ist das denn für ne Nummer?)

Siehe http://home.arcor.de/christian.reimann/dialer/3.jpg
 
http://forum.computerbetrug.de/viewtopic.php?t=3665&highlight=matlock
http://forum.computerbetrug.de/viewtopic.php?t=4581&highlight=matlock
http://forum.computerbetrug.de/viewtopic.php?t=4586&highlight=matlock
http://forum.computerbetrug.de/viewtopic.php?t=4617&highlight=matlock

Irgendwie erinnert mich das alles an Matlock - die Technologie ist ähnlich und die Dreistigkeit der Registrierung bei der RegTP auch.
An der einzelnen PRS-Nummern ist die Sache nun nicht mehr festzustellen. Mit der Weile gibt es auch hier (wie bei Matlock) einen ganzen Nummernpool.
Da sich dieses Wochenende die Elite der Dialerwirtschaft auf Mallorca trifft, gibt es womöglich in der nächsten Woche hier mehr Tips von "interessierten Lesern" des Forums - ich würde es uns wünschen!
 
Ich habs geschafft...
Jetzt kann ich es fast lückenlos nachvollziehen, wie das ganze abläuft...
Und jetzt hab ich auch was in der Hand, wenn wirklich eine Mahnung von Colt-Telecom kommen sollte:

Der Einstiegslink ist:
h t t p : / / info......../download/dialer/oex.php?ID=__2&AID=1422 (die ID bzw. AID ist anders, denn mit ID=__2&AID=1422 kommt man zum Dialer 2 und nicht zum Dialer 5...)

Es wird die folgende Seite aufgerufen (automatisch)
h t t p : / / info........./download/dialer/dialers/d5.exe.php
(Das ist ein HTX - Ding ...mit VB Script)

- In diesem HTX ist ein Binärprogramm als Text codiert, welches über VB wieder nach binär umgewandelt wird und auf C:\d.exe (Hashwert C12DAB1C2CD5C4191E9465CEC2BDAA8684271F9C) abgespeichert wird.
- Das Programm d.exe wird aufgerufen
- Das HTX beendet sich selber

- Die Datei D.exe hat nun die Kontrolle und kopiert sich nach D:\WINNT\system32\ShellExt\gamepad.EXE (Hashwert C12DAB1C2CD5C4191E9465CEC2BDAA8684271F9C also das selbe)

- D:\WINNT\system32\ShellExt\Gamepad.exe startet und c:\d.exe beendet sich
- c:\d.exe wird gelöscht

- nach einiger Zeit versucht gamepad.EXE eine Verbindung zu 090090000606 aufzubauen

- irgendwann verschwindet das Gamepad.exe auch wieder...


Ich denke, das (incl. einer Kopie aller beteiligten Dateien) sollte eine gute Argumentationsgrundlage für eine Zahlungsverweigerung bilden

URLs editiert, zur Veröffentlichung solcher URLs steht das Linkforum
zur Verfügung
http://forum.computerbetrug.de/viewforum.php?f=35
(zusätzliche Freischaltung erforderlich)
tf/moderator
 
KlausPeter schrieb:
Auch die Regulierungsbehörde möchte da sicher gern informiert werden ...
Formblatt ausfüllen und einschicken, zusätzlich mal anrufen ob sie den Dialer auch haben wollen.
Zum Vergrößern anklicken....
Wollen sie!
Ich bin inzwischen auch auf dieses Formblatt gestoßen und habe es als Fax eingeschickt: http://www.regtp.de/imperia/md/content/mwdgesetz/FormblattBeschwerde1.pdf .
Auf Seite 2 des Formblattes bittet die RegTP um Einsendung des gefangenen Dialers.

Unter "Wie ist die beanstandete Verbindung exakt zustande gekommen?" habe ich dabei beschrieben:
Beim Surfen wurde der Dialer von einer der besuchten Webseiten im Hintergrund - ohne Rückfrage oder Hinweis - auf meinen Rechner kopiert: In c:\WINDOWS\system32 wurde ein Verzeichnis ShellExt angelegt mit d_2.EXE als einzigem Inhalt.
Dieses Dialprogramm wurde automatisch gestartet. Wenn es gestartet ist, tut es erst mal 2 Minuten lang nichts (vermutlich, um seine Herkunft zu verschleiern). Dann kappte es die bestehende DSL-Verbindung ohne Rückfrage oder Hinweis und ersetzte sie innerhalb weniger Sekunden - ebenso ohne Rückfrage oder Hinweis - durch die Wählverbindung. Während der Anwahl per Tonwahlverfahren wurde die systemeigene Lautsprecherausgabe stumm geschaltet und nach Abschluss der Tonwahl wieder reaktiviert.
Der einzige Hinweis, der am Bildschirm/Lautsprecher erkennbar ... gewesen wäre, war das Verschwinden des kleinen Netzwerkverbindungs-Symbols unten rechts in der Taskleiste für wenige Sekunden.
Kommt die Verbindung nicht zustande, so wartet d_2.EXE ca. 10 Sekunden und probiert es noch einmal. Kommt die Verbindung wieder nicht zustande, wird in ShellExt die Datei "$$del.bat" angelegt und gestartet. Diese löscht d_2.EXE und sich selber (spurlos. Auch im Papierkorb hinterbleibt nichts!)
Ich weis nicht, wann d_2.EXE gelöscht wird, falls die Verbindung zustande gekommen ist. Ich weis nur, dass der Dialer sich auch dann selber löscht.
(Die durch ihn neu eingerichtete Netzwerkverbindung hinterblieb unter dem Namen "exDialer", allerdings war die angewählte Nummer auch darin gelöscht und durch eine Null ersetzt.)
Zum Vergrößern anklicken....
Das ist zwar bei Weitem nicht so detailreich wie TSCoreNinja es recherchiert und auch Chris922 es beschrieben hat, ist aber exakt das, was ich bezeugen kann.

Chris922 schrieb:
Vorerst werde ich nicht bezahlen.
Zum Vergrößern anklicken....
und KlausPeter schrieb:
Falls die Telefonrechnung bereits abgebucht ist, zurückbuchen und den unstrittigen Betrag an Telekom überweisen unter Angabe welchen Betrag (Anbieter) du nicht bezahlst!
Zum Vergrößern anklicken....
DAS ist besonders wichtig! Auch die RegTP empfiehlt auf http://www.regtp.de/mwdgesetz/in_12-01-00-00-00_m/09/index.html :
Wenn Sie per Überweisung zahlen, ziehen Sie den Ihres Erachtens unberechtigt verlangten Betrag (inkl. MwSt) von dem Rechnungsbetrag ab und überweisen die restliche Summe wie gewöhnlich innerhalb der hierfür geltenden Frist. Vergessen Sie dabei auf keinen Fall auf dem Überweisungsbeleg genau zu vermerken, welchen Teil der Rechnung Sie nicht begleichen wollen.
Zum Vergrößern anklicken....
Falls man auf dem Überweisungsträger (Fax parallel dazu reicht nicht!) beim Verwendungszweck vergisst zu schreiben: "RechNr.xyz ohne Colt Telecom", dann wird jeder Verbindungsanbieter prozentual ausbezahlt. Auch Colt! Und die "unschuldig gekürzte" Telekom sitzt einem im Nacken.
Also: Überweisung kürzen, drauf schreiben, wer nichts bekommen soll, bequem zurücklehnen und abwarten, was kommt. Wer dann was will, soll sich melden!

Falls der Rechnungsbetrag schon abgebucht wurde: Für's Stornierenlassen der Abbuchung hat man nur 6 Wochen Zeit. Danach hilft nur noch der Klageweg. Also: vorher zur Bank!

Werner
 
Isariel schrieb:
Nach langem hin und her, habe ich jetzt einen Brief vom Anwalt der Telekom bekommen, in dem ich aufgefordert werde die Dialerkosten und die Anwaltskosten zu bezahlen. ... Kann mir jemand einen Rat geben, was kann ich jetzt noch tun??
Zum Vergrößern anklicken....
Ich weis zwar nicht, ob deine Frage immer noch aktuell ist, aber auch jeder Anwalt wird dir sagen, dass du den Anteil der fraglichen Telefonrechnung, der unstrittig ist, auf jeden Fall schnellstens bezahlen solltest.

Dass die Telekom schon 2 Monate nach der Rechnungsstellung einen Anwalt einschaltet, überrascht mich. Wenn es denn tatsächlich ein Anwalt der Telekom ist und tatsächlich noch unbestrittene Rechnungsanteile offen sind, dann bin ich nicht sicher, ob du die Anwaltskosten nicht eventuell tragen musst. Da kenn ich mich nicht so gut aus.

Sollte es allerdings ein Anwalt des Verbindungsanbieters mit der Dialernummer sein oder sollten nur noch die strittigen Rechnungsanteile offen sein, dann kannst du dich ruhig zurücklehnen, abwarten und brauchst auf den Anwalt gar nicht zu reagieren. Sollte eine gerichtliche Mahnung kommen, einfach nur fristgerecht Widerspruch einlegen. Sollte eine Klage ins Haus flattern, keine Angst, die Chancen stehen gut, egal ob du den Dialer gefunden hast oder nicht, zumindest für die Dialer 090090000606 und 090090000928.
 
Juchu, ich auch

Hallo zusammen,

ich bin auch "Günstling" der 090090000606 geworden.

und zwar am 11.04

21:47:52 Uhr für 22 Sekunden (1,7241 €)
21:48:19 Uhr für 52 Sekunden (1,7241 €)
21:49:16 Uhr für 1:28 Minuten (3,4482 €)
21:50:49 Uhr für 47 Sekunden (1,7241 €)
21:51:41 Uhr für 14:13 Minuten (24,1374 €)

und am 24.04.

20:29:02 für 21 Sekunden (1,7241 €)

der Anruf bei Colt Telekom verschaffte mir 2 Informationen:

1.) Anbieter der Nummer ist Life & Art Consulting, Postfach 1612, 55386 Bingen

2.) Hat die Colt Telekom entweder besonders unaufgeklärte Servicekräfte ("Da ist alles in Ordnung, die Firma ist ordnungsgemäß bei der Regulierungsbehörde angemeldet und werden Sie wohl die Dienste in Anspruch genommen haben. Wenn Sie jemand anzeigen wollen, dann den Staat, weil der doch dahinter steckt. Da werden Sie wohl gerichtlich den Kürzeren ziehen, da hier alles seine Richtigkeit hat") oder die Servicekräfte sind hier schon speziell geschult (wahrscheinlicherer Fall), da in solchen Call-Centern entsprechende Schulungen die Regel sind.

Kann mir noch bitte einmal einer die Vorgensweise zur Ermittlung des Hash-Wertes zusenden, damit ich dies auch auslesen und verwenden kann ?! Danke

Und dann freue ich mich auf eine gemeinsame "Schlacht" gegen Life & Art ...
 
Zurück
Oben