Popup mit Einwahlfenster für Dialer

[stieglitz]

Halle Freunde,
jetzt brauch ich mal eure Hilfe.
Auf meinem privaten Rechner, win98 alle updates, ISDN, erhalte ich plötzlich Popups mit Einwahlfenstern zu Dialer-Seiten. Es sind immer andere Angebote, Sex, Kochrezepte etc.
Sie lassen sich problemlos wegklicken. Bin ja sensibilisiert :-?
Aber ich weiss noch nicht wie ich die wegbekomme.
Ausserdem ist mir diese Masche noch ganz neu. Hier hab ich noch nichts dazu gelesen.
Werde natürlich versuchen die Ursache zu finden. Konnte aber noch keinen Prozeß identifizieren, der das verurascht.
Es tritt unregelmässig beim vorwärts-/rückwärtsklicken auf.

Screenshot anbei.

Gurß
Stieglitz

 

[stieglitz]

Da hab ich gleich das nächste Fenster. Diesmal für ein Casino.
Das Popup kam als ich auf Spiegel-Online war, das lezte bei Computerbetrug.
Also unabhängig von den besuchten Seiten. Muss irgendein Prozess im Hintergrund sein.

Screenshots sicherheitshalber editiert (URLs) tf/mod

 

[Aka-Aka]

Eine software, die so was kann (solche popups aus dem Nichts) wird bei google angeboten. Die "Gelddruckmaschine" wird folgendermassen angepriesen:

keiner sieht die Popups wenn Sie geladen werden, selbst in der Browserleiste ist nichts zu sehen und der User bekommt Ihr Popups noch zu sehen, wenn er schon lange nicht mehr auf Ihrer Seite ist, er weiss gar nicht woher diese kommen und was passiert ist. Alles baut sich komplett im Hintergrund auf ohne das irgend ein Programm dies verhindern oder anzeigen könnte. Sie können z.B. 10 Popup – oder Dialerseiten hintereineinander in bestimmten Zeitabständen, die Sie selbst bestimmen in einem Zeitraum von 1 Sekunde bis 30 Minuten anzeigen lassen, so zum Beispiel alle 3 Minuten ein Popup. Im Klartext der User surft mittlerweile schon wieder auf der Seite von Google und ups sieht er auf einmal Ihr Popup auf der Googleseite. Der User muss natürlicherweise sofort annehmen, das Sie Werbung über Google geschaltet haben

Es würde schon Sinn machen: Der Registrierungsverpflichtete zum Dialer in deinem ersten Beispielbild, M.B. aus Hofheim, vertritt eine Firma aus Liechtenstein, die doch offenbar in Verbindung steht zur Firma der Registrierungsverpflichteten dieses Dialers, siehe reg-tp , dessen Inhalteanbieterin - tralala - die Anbieterin der Zauberpopups sein müsste (jedenfalls laut Handelsregister der Tschechischen Republik)

Naja, das hilft Dir nur leider nicht viel weiter, aber vielleicht hilft es endlich mal, dass sich einer die Technik dieser popups ankuckt oder mir erklärt, wie das funktioniert - und auch: mal bei ebay kuckt, was genau hinter dieser Software steckt (wie kann man sich technisch wehren? Ist das überhaupt legal? Was passiert da eigentlich genau?)

 

[TSCoreNinja]

@Stieglitz

bin leider etwas in Eile, finde aber den Fall extrem interessant. Warum? AkaAkas RegTP Link fuehrt zu einer Dialerbeschreibung, die mehr oder minder identisch mit Teleflate ist.
Siehe
http://bo2005.regtp.de/prg/srvcno/d...464105&sScriptID=67&regnr=90090000487-1464105
vs
http://bo2005.regtp.de/prg/srvcno/d...456543&sScriptID=67&regnr=90090001210-1456543

Ich vermute ausserdem, dass Einwahlseiten des Teleflate Dialer auch ueber ein solches PopUp Tool beworben wurde.
Bitte lass mal CWShredder, HijackThis und Spybot Search and Destroy drueberlaufen, und berichte mal die Ergebnisse, bzw poste die Logs. Du hast auf jeden FAll irgendein Browser Helper Objekt Dir eingefangen, und an dem Teil bin ich durchaus interessiert.
Gr,
TSCN

 

[Aka-Aka]

@tscoreninja: ich habe mich wohl missverständlich ausgedrückt... Der Dialer 090090001210 ist nur deshalb von Interesse, weil er andeutet, dass zwischen dem Ebay-Tool und vielen Dialerfirmen/-anbietern Verbindungen bestehen könnten.

Der Dialer, der im ersten Fenster steht, ist der hier:
reg-tp @090090000550 und das ist offenbar ein recht ähnlicher Dialer zu dem hier reg-tp . Der Inhalteanbieter zum Dialer des ersten Fensters taucht auch auf, aber was bedeutet das schon, bei diesem Dialer: reg-tp , der - wen wundert's - wieder die gleiche Beschreibung hat.

Diese Beschreibung findet sich auch hier: reg-tp . Es handelt sich offenbar um Dialer der Firma "NCC", wobei ich mich sehr wundere, wieso ich bei der Suche nach diesem Dialer immer wieder mal in München lande.

Mit Ausnahme der "schwedischen" Fassungen (zB 090090000957ff) gibt es aber offenbar keine Klagen gegen diese Dialer - und der hier postende user konnte die Fenster ja auch anstandslos wegklicken.

Wenn Du Dich der Sache annimmst, wegen der hijack-this-logfiles, dann weiß ich sie in guten Händen

____
edit: Nachtrag - ach so... der 550-Dialer verweist auf eine Seite, die der E-Group selbst gehört, na dann ist wenigstens klar, wie das zusammenhängt (--> http://fr4-scripts.down****v3.com)

_____
edit2: Dieses casinofenster, hmm, ich finde einen einzigen googlelink, tot, im cache ist die gleiche Seite, mit einem link zu einer Casinoseite ("zahlen Sie 50 Euro und wir schenken ihnen 75€ dazu"), die bei "Curacaohosting" gehostet ist, registriert in sonstwo, Partnerprogramm in Belize, Lizenz aus Gibraltar, letztlich gehört die Wurzel des Ganzen einer Carmen Media Group Ltd, Europort, Gibraltar. Dialer gab es da keine.

 

[Anonymous]

AkaAkas RegTP Link fuehrt zu einer Dialerbeschreibung, die mehr oder minder identisch mit Teleflate ist.

Das liegt an teleflates ursprünglichem Addressierungsmerkmal (ehe diese Farce um die p-m.com kam). Außerdem hat es einige Änderungen gegeben: Früher gab es meist die ganze CI-Batterie unter einer Nummer (siehe regtp (das war, als auf hausaufg*.de noch der "updatesx"-Dialer war), jetzt sind die (weiss nicht, seit wann) verteilt, siehe zB regtp 090090001210-13 oder 090090001530ff... Das Addressierungsmerkmal des Dialers "ci.exe" hier: reg-tp lautet laut RegTP dialin.one2b***.***, ist aber (ich habs probiert) natürlich identisch mit dem Ziel von freeload/redir=3 (einem der Addr.merkmale des teleflate). Den Dialer, der allerdings "mucke" heisst, bekommt man z.B. auf der Suche nach Liedtexten. Alles unklar?

Das "neue" Ziel der "Teleflateweiche" dürfte übrigens die -1532 sein (ich bin aber nicht ganz sicher bzw. zu faul, es zu probieren). Die schweizerische Firma, die als Inhalteanbieter genannt wird, blablabla. Nee, ich mag nicht mehr

 

[stieglitz]

Danke für die Anworten, wenn ich zum Teil auch nichts verstehe.

Werde meinen Rechner mal mit den angegebenen Tools untersuchen und
das Ergebnis berichten. Habe nicht alle daheim und mit ISDN ist download ätzend.
Habe den Thread heute morgen nicht gefunden, war der zeitweise versteckt? Dachte schon, ich hätte gegen irgendwelche NUBs verstossen,
eine wenig wohl ja, und er wäre gelöscht.
Habe am Sonntag meine Steuererklärung am Rechner gemacht, ansich schon eine Strafarbeit, und dann immer wieder diese Popups. :evil:

Gruß
Stieglitz

 

[Aka-Aka]

Manchmal vergisst man im Übereifer die Nöte der ursprünglich Fragenden... Ich denke, hijack this würde dir helfen. Vielleicht ist es Dir möglich, ein Log zu erstellen und entweder zu posten, oder einem der hier postenden als PN zu schicken: siehe screenshot (nach dem scan auf "save log" gehen und die Datei speichern)

 

[stieglitz]

So, jetzt sitz ich mal wieder an meinem Rechner daheim. Habe soeben Spybot ausgeführt.
Ich denke ich habe den Übeltäter. Es dürfte sich um MSLAGENT.exe
handeln. Dieser ist auch in der Autorun eingetragen. Das ganze firmiert unter der Überschrift MagicControlAgent. Unter Eigenschaften ist kein Hersteller oder weitergehende Angaben zu finden.

Einen MSAGENT ohne "L" gibt es auch, aber der ist von Microsoft.
Beim googeln (deutsch) ist nicht all zu viel zu finden.

Dann gibt noch eine Unidist.ocx und .inf und eine nsupd9x.inf.

Will jemand die mslagent.exe ? Hab sie weggesichert.
Danke und Gruß
Stieglitz

 

[Aka-Aka]

Hebe die mal auf... Es gibt hier technisch versierte Leute, vielleicht wissen die, ob damit was anzufangen ist.

Dann gibt noch eine Unidist.ocx und .inf und eine nsupd9x.inf.

Hier ein paar google-hits

moneytree-Dialer
Moneytree gehört zu den "fliegenden Krokodilen", die in etwa so seriös sind wie die "blauen Elefanten" - aber das sind sicher nur "spanische Dörfer" für Dich - macht nichts. Ich weiß es auch nicht besser, aber das kommt schon noch.

Quelle des Dialers (laut übereinstimmender google-Ergebnisse)
Flying Crocodile, Inc , 417 Virginia St. #200. WA 98101, SEATTLE, USA
Anna van Renesseplein 8 1911 KN UITGEEST Netherlands
nette Firma

Obwohl diese Firma zu den "Großen" gehört, zahlt deren Dialer laut googlecache für Deutschland nur relativ wenig:
Germany $.25

Diese niedrige payout-Rate scheint nach allem, was ich weiß (erfahrene webmaster hier mögen das besser beurteilen können), nicht gerade für eine 09009-Nummer zu sprechen. Mehr Spekulation dazu an diesem Ort zu dieser Zeit nicht
aka

 

[stieglitz]

Merci aka-aka,
scheine das Problem los zu sein. Habe gerade eine Stunde nach Lastminute Angeboten gesucht, kam kein Pop-Up mehr.
Am Montag gehts für 14 Tage nach Bodrum, Türkei. Bey Bey und Fly.
Schönen Abend noch Gruß
Stieglitz

 

[Aka-Aka]

das find ich schade... trotzdem schönen Urlaub... und hebe bitte deine logs & die files auf oder schick's mir, as far as possible, per PN. Die Geschichte ist nicht ohne

wenn auch nur ein Teil dessen Sinn macht, was man bei einer halbstündigen google-Recherche über deine genannten Dateien erfährt,... das ist ja ein echter Knüller... aber man resigniert langsam... irgendwie ...

fundstelle zur Datei:
http://www.lavasoftsupport.com/index.php?showtopic=9218

die Firma dort hat schon wieder einen neuen Namen, die ICSTIS hat gegen die Firma ermittelt, alles weitere steht eigentlich dort in dem thread. Eine Frage:

Was macht der Downloadlink dieser Datei in einer aconti.exe ???

P.S.: Selbstversuche aufgrund der Infos aus der lavasoft-Info bitte nur auf eigene Gefahr!

 

[stieglitz]

Ich hab mit Spybot den Rechner gereinigt, unter der Wiederherstellfunktion werden die aber noch angezeigt, also müssen sie noch da sein, weis du wo er das hinschribt?
Ich werd mich aber mal mit der Suchfunktion drum kümmern.

 

[Aka-Aka]

Anscheinend hat sich dein Problem ja erledigt, mir geht deine Datei aber immer noch nicht aus dem Kopf, v.a. diese Hinweise auf einen Zusammenhang mit der "desire.exe" [offenbar=nsupd9x], die man (auch) erhält, wenn man einen link aus einer aconti.exe einzugeben wagt. (Grund des Zusammenhangs ist deine Nennung der Datei "nsupd9x.inf" - aber vielleicht hast Du Dir ja auch nur vor 1,2 Jahren einen Pornodialer geholt?)

Es gibt quer über Europa verstreut Hinweise auf den Ursprung dieser (offenbar sehr alten) Datei, die führen zu mehreren Firmen in UK (bzw. mehreren Bezeichnungen für eine Firma?). Außerdem gibt es noch Hinweise, die nach Israel führen und dann noch zu einer Firma in Florida, die zu einer Firma in Delaware führt.

Falls ich da keinen Fehler gemacht habe, landet man bei einer Firmenregistrierungsinstitution in Wilmington, Delaware - einer der größten anscheinend, bei der eine Unzahl von Firmen registriert sind, [unter selbiger Adresse] übrigens auch eine "Web Recomendada", die in einem hijack-file-Thread erwähnt wird in (irgendeinem) Zusammenhang mit der BLOISCOM S.L. (sxnetworks)

Im Zusammenhang mit der "Web Recomendada" (siehe google "Web Recomendada LLC") taucht auch die Firma "Gana Internet SL" auf
--> siehe hier : "Spanische Internetbetrüger ergaunern 35 Millionen"
siehe
h**p://www.clickdialer.com/privacy/datoslegales_us.html

GANA INTERNET LLC
File Number: 3594589
...
REGISTERED AGENT INFORMATION
Address: 2711 CENTERVILLE ROAD SUITE 400
WILMINGTON

WEB RECOMENDADA, LLC
File Number: 3642150
REGISTERED AGENT INFORMATION
Name: THE COMPANY CORPORATION
Address: 2711 CENTERVILLE ROAD SUITE 400

quelle:
https://sos-res.state.de.us/tin/GINameSearch.jsp

Das ist für Dich sicher alles uninteressant, aber wer mal viel Zeit hat, sollte sich diesen thread ankucken:
analyse eines hijack-this-logs, Anfang 9/04

interessant, was hier zur "Webrecomendada" steht:

Suche diese Eintraege auf dem PC:
c:\WINDOWS\Downloaded Program Files\WebRecomendada.dll
c:\WINDOWS\Coder\_222-tat-1-0-.exe->
c:\WINDOWS\Coder\_2-tto-1-0-.exe->
c:\WINDOWS\Coder\_151-a2p-8-0-.exe->
c:\WINDOWS\Coder\_3-kun-0-0-.exe->
c:\WINDOWS\Coder\_1-tat-0-0-.exe->