# 09005  Dialer



## Anonymous (4 November 2005)

Hallo Zusammen, nachdem ich heute meine Telefonrechnung aufmachte entdeckte ich Positionen der firma 

ID Net GmbH
Willy-Brandt-Allee 20 
53113 Bonn

Es waren 9 Positionen der nummer 00499005101415 jeweils mit 4,30€ berechnet. 

Durch eine ICQ Nachricht wurde eine Anwendung geöffnet und danach wählte sich der Dialer trotz dem Programm 0190Warner mehrere male ein. Nachdem ich einen Hijackthis log auswertete, löschte ich den Prozess countrydial.exe. Seitdem habe ich keine Probleme mehr.

nun ist meine Frage, ob es mehreren so gegangen ist und wie ich mich nun verhalten soll?

Vielen dank im vorraus  

Sorgi


----------



## Anonymous (4 November 2005)

Ich habe mich geirrt, der prozess hies paytime.exe
diesen habe ich auch aus den Autostart Einträgen bei 0190 Warner entfernt


----------



## Aka-Aka (4 November 2005)

paytime.exe versucht countrydial.exe zu starten, "falls vorhanden"

http://www.sophos.com.au/virusinfo/analyses/trojpaymitec.html

(auf "advanced" klicken, deutsch fand ich edas:
http://www.sophos.de/virusinfo/analyses/trojdloaderri.html



> Sobald Troj/Dloader-RI installiert ist, werden Dateien in folgende Speicherorte heruntergeladen:
> <Windows-Ordner>\kl.exe
> <Windows-Systemordner>\countrydial.exe
> <Windows-Systemordner>\paytime.exe
> ...



@Techies
Könnte es sein, dass dieser Trojaner einen TIBS-Dialer startet? .

Wie kamst Du genau an diese Datei? Offenbar lief das nicht regelkonform ab...

Daher empfehle ich:
ERSTE HILFE
http://forum.computerbetrug.de/viewtopic.php?t=4161


----------



## Aka-Aka (4 November 2005)

Bitte auch mal beim Nummerninhaber nachfragen, was das soll!



> Es waren 9 Positionen der nummer 00499005101415





> 0900 - 5 - 101415
> Diensteanbieter:
> GoodLines AG
> Benzstr 2
> ...


(sieht eher wie paybycall-Nummer aus)


----------



## Captain Picard (4 November 2005)

Irgendwie ist mir in Erinnerung, dass 0900x Nummern nicht untervermietet werden  dürfen,
 das macht den Fall interessant.... 

cp .


----------



## sascha (4 November 2005)

Captain Picard schrieb:
			
		

> Irgendwie ist mir in Erinnerung, dass 0900x Nummern nicht untervermietet werden  dürfen,
> das macht den Fall interessant....
> 
> cp .



Exakt: "Das Nutzungsrecht an zugeteilten Rufnummern für PRD darf nicht rechtsgeschäftlich an Dritte übertragen werden."

Quelle: http://www.bundesnetzagentur.de/media/archive/3841.pdf


----------



## Anonymous (5 November 2005)

@Aka-Aka  Durch ne Nachricht im ICQ hat mein bruder ein angebliches Bild geöffnet, dass sich dann als Anwendung entpuppte. Desweiteren öffnete sich dann  immer als startseite die Datei secure32.hmtl .  hat man sich jetzt mit der normalen T-online Software eingewählt konnte man ca. 10-15 Minuten normal surfen doch dann baute automatisch eine Anwendung eine Verbindung auf, und das im abstabd von Sekunden. Jede Einwahl wurde auf der Auflistung mit 4,30 berechnet. Nachdem im Taskmanager der prozess paytime.exe gelöscht wurde, konnte man die Startseite auch wieder ändern. Dieser Prozess baute sich daraufhin nie wieder auf obwohl er immer noch bei den Autostarteinträgen war.

Soll ich jetzt ersteinmal nur den regulären Betrag der durch die telekom entstand Telekom überweisen und einen Widerruf schicken?(wenn ja an welche Adresse??)

Vielen DAnk für eure Antworten


----------



## Aka-Aka (5 November 2005)

für die Techies
http://www.chip.de/c1_forum/thread.html?bwthreadid=890072

sorry, durch edit etwas sinnleer...
Im verlinkten hijack-log wird sie secure32 als verstellte Startseite erwähnt.
ausserdem gibts da auch diese paytime und 'nen Hinweis auf
***.loudc***.com/UCITest/Cabs/4484.cab

--> wurde der Dialer über 180solutions verbreitet?


----------



## Gluko (5 November 2005)

Bin ich jetzt vielleicht im ganz falschen Film?  Ich dachte Dialer dürfen nur noch unter 0900*9* eingesetzt werden?!

Wäre dann doch sowieso nicht konform, oder?

Gruß
Gluko


----------



## Captain Picard (5 November 2005)

Gluko schrieb:
			
		

> Bin ich jetzt vielleicht im ganz falschen Film?  Ich dachte Dialer dürfen nur noch unter 0900*9* eingesetzt werden?!
> 
> Wäre dann doch sowieso nicht konform, oder?


schon, aber im Prinzip läge hier eine ähnliche Situation wie  bei Auslandsdialern vor, sind verboten
werden trotzdem  illegalerweise eingesetzt. 

http://www.dialerschutz.de/nummern-und-tarife-mehrwertdienste.php
 (0)900-5: sonstige Dienste (z.B. Erotik) 

 Sprachdienstemehrwertnummern   mit Dialern  unterjubeln? (Wenn es denn stimmt) 
Nicht undenkbar,  machbar auf jeden Fall, erwarten tu  ich so was schon lange 

cp


----------



## Gluko (5 November 2005)

Captain Picard schrieb:
			
		

> ..., sind verboten werden trotzdem illegalerweise eingesetzt. ...


Dann besteht aber doch keine Zahlungsverpflichtung, oder?

Gruß
Gluko


----------



## Captain Picard (5 November 2005)

Gluko schrieb:
			
		

> Dann besteht aber doch keine Zahlungsverpflichtung, oder?


theoretisch nein, Problem ist der Nachweis, deswegen würde ich mit dem PC sofort zur Polizei 
marschieren und den Tatbestand  zu Protokoll geben. 

cp


----------



## Gluko (5 November 2005)

Hi cp,

dank Dir. Jetzt bin ich wieder in der Spur.  

Gruß
Gluko


----------



## Anonymous (5 November 2005)

Frage: Auch wenn ich jetzt bereits paytime.exe  aus der Regsistry gelöscht habe, kann dann die Polizei noch was mit meinem rechner anfangen?


----------



## Aka-Aka (5 November 2005)

Keine Ahnung... Aber woher kommt die datei?

Probier mal hier, "Hijack This" downzuloaden und poste ein log (Anhang als txt)
--> www.hijackthis.de
bei Fragen: melden!

noch was für techies only:
@paytime.exe
http://www.bleepingcomputer.com/forums/topic16400.html

@techies:
im obigen Thread wird ein Downloadort genannt, der nicht existieren kann:
**.**.82.260
können die das mit einem hosts-file umbiegen?


----------



## Sorgi (5 November 2005)

Ich besitze das Programm bereits und habe einmal ein log erstellt. Wenn ich jetzt aber nochma einen aktuellen erstellen will, lässt sich Hijackthis nicht mehr öffnen. Weis jemand vielleicht woran das liegt?
Im anhang ist der log, den ich vor dem Entfernen von paytime.exe erstellt hab


----------



## dvill (5 November 2005)

@Sorgi,

Dein PC ist sehr krank:


> O10 - Hijacked Internet access by New.Net





> NameServer = 192.168.121.252,192.168.121.253


Erst einmal geht es aber um Beweis- und Spurensicherung.

Den Dialer einfach zu löschen, verringert die weitere Gefährdung, verwischt aber Spuren. Besser wäre eine Sicherung des Dialers oder noch besser der kompletten Festplatte gewesen.

Man könnte eventuell noch was finden. Gibt es bei Festplatten-weiter Suche noch eine Datei "EPlugin_DE2.cab"? Wenn ja, dann hätte ich die gerne per PN.

Dietmar Vill


----------



## TSCoreNinja (5 November 2005)

Die EPlugin_DE2.cab ist lustig, Mr "its their phone bill, its your Money" von real-euros.c.. laesst gruessen, der sich mit Matlock's LA Niederlassung den Briefkasten geteilt hat. Allerdings meines Wissens eine Weile nicht mehr aktiv, ich schätze mal, deshalb auch nicht fuer die 0905 verantwortlich.

Der Forumsthread von Bleepingcomputer führt auch zu einem alten Dialerbekannten, der Global Acces SL, zumindest laut Angabe auf dem engländischen Einwahldialog ( 09090292820 ). Beim deutschen Dialer haben sie sich diesen Dialog gespart, und wählen direkt 01011-00236715673
(Othello CBC Vorwahl, dann Central African Republic, http://wtng.info sagt eine Handynummer).

Alte Freunde, aber keine heisse Spur. Irgend eine Idee, woher die paytime.exe stammt?


----------

