# Hilfe, kennt jemand 124350.exe?



## Anonymous (11 Januar 2005)

Bei mir hat sich ein 0900-dialer installiert mit Namen 124350.exe. Verbindung zum Internet wurde ohne mein Wissen hergestellt, erst nach 2 Min. habe ich die Verbindung gemerkt und dann gekappt. Der DFÜ-Eintrag hat sich selbst gelöscht, so daß ich nicht weiß welche 0900er Nummer genau angewählt wurde.

Hat jemand Infos dazu? Will nicht erst die Telekom-Rechnung abwarten.


----------



## Captain Picard (11 Januar 2005)

hast du die Datei noch, dann würde ich dir dringend raten, dich anzumelden und das 
File per PN als Anhang an einen der Admin/Mods zu schicken. Das dürfte der sinnvollste Weg 
sein, mehr darüber zu erfahren.

cp


----------



## Anonymous (11 Januar 2005)

Sorry, die Exe-Datei wurde von mir sofort gelöscht (da kannte ich diese Seite noch nicht) und läßt sich auch per unerase-Funktion nicht wieder herstellen. Was ich noch habe ist das Verknüfungsicon mit Batch auf dem Desktop und drei 124350 "Hilfsdateien" in Quellcode auf die die exe wohl zurückgreift. Autostart ist leer und in der Registry "dialer.exe" wurde hinzugefügt. Seitdem ist die Verbindung zum Internet physisch getrennt (Kabel gezogen). Ich bin über einen anderen (diesmal sicheren) Rechner online.


----------



## Captain Picard (11 Januar 2005)

dann wirst du auf die Rechnung warten müssen und in der Zwischenzeit am besten schon
 mal die "Erste Schritte zur Ersten-Hilfe "  durchlesen 
http://forum.computerbetrug.de/viewtopic.php?t=4161

cp


----------



## littlebird's prompter (11 Januar 2005)

bitte, lieber gast, melde dich, sobald du näheres weisst, danke


----------



## Anonymous (21 Januar 2005)

Nachtrag: Es war keine 0900er Nummer sondern ein Auslandsdialer.
Habe gestern die T-Com-Rechnung bekommen, die eine Verbindung von 2 Min. kostet 3,36 EUR.
Obwohl ich diesen Dialer-[] keinen Cent gönne, will ich aus Kosten-Nutzen-Abwägungen die Rechnung nicht reklamieren. Stattdessen habe ich heute die feste VKL 7-Anschlußsperre bestellt und werde mir zusätzlich den Conrad-Dialer-Blocker für mein Analag-Modem besorgen.

Vielleicht waren die 3 Euros ja Lehrgeld, denn ohne diesen Vrfall wäre ich nicht auf diese Seite und die Dialerproblematik aufmerksam geworden. 
Also Danke für die Tips hier im Forum!

*[Virenscanner: Wort(teil) entfernt]*


----------



## littlebird's prompter (21 Januar 2005)

Hey, poste wenigstens die Nummer, so weit Du sie hast... und wenn's Dir nichts ausmacht, was Dir sonst so einfällt. Wohin haben die icons geführt auf dem desktop? Wo war "dialer.exe" denn gespeichert? Kannst Du Dich noch an irgendwas erinnern? Wie sahen die icons aus? 3 Euro macht mit dem richtigen Multiplikator 'ne Menge Kohle


----------



## Anonymous (24 Januar 2005)

Hallo,

die genaue Nummer habe ich nicht, da kein Einzelverbindungs eingerichtet ist.
Da dies meine einzige Auslandsverbindung auf der Telefonrechnung war und das Datum übereinstimmt, kann ich diese dem dialer zuordnen.
Es sind Kosten Auslandsverbindung inkl. Mobilfunkzuschlag. Für 2 Min wurden 4 Gebührenimpulse zu 0,725 EUR somit 2,90 EUR zzgl. MWSt berechnet.

Der dialer heißt 124350.exe und legt ein eigenes Verzeichnis unter C:\Programme\Websiteviewer an. Eine Verknüpfung XXX-files wird auf dem Desktop und in der Startmenüleiste angelegt. Das icon dazu ist ein Gesichtsausschnitt einer Blondine, auf dem nur das rechte Auge erkennbar ist.
Die registry wird um den Eintrag "dialer.exe" ergänzt. Beim Anklicken der Verknüpfung wird die DFÜ-Verbindung getrennt und die Einwahl der Dialernummer erfolgt. Das Tonsignal des Modems wird dabei ausgeschaltet, so daß die Verbindung unbemerkt hergestellt wird. "Hersteller" ist eine "tbi systems" soweit ich mich erinnere.
Sorry mehr dazu weiß ich wirklich nicht.


----------



## Anonymous (24 Januar 2005)

Ach ja, ich habe den dialer nicht von irgendwelchen Schmuddelseiten... :holy: 
Ich hab an besagten Tag nach Treibern für meine Uralt-Kyro I-Grafikkarte gegoogelt und muß mir beim download dieses Mistding eingefangen haben.
Die Website kenne ich leider nicht mehr.


----------



## TSCoreNinja (24 Januar 2005)

@Gast,
bitte poste doch mal zumindest das Land und den Teil der Nummer, der bekannt ist.

[wilde spekulation]
Rufnummer ist eine Handynummer von KPN, dem niederlaendischen Monopol-Telekomunternehmen (Mutter von E-Plus). Erkennbar sind niederlaendische Handynummern an folgendem Nummernschema 0031-6.
Rufnummernbloecke von KPN findet man hier: http://www.jbgsm.nl/netwerken/kpn/algemeeninformatie.php

Warum? Mir ist ein Dialer mit einer solchen Rufnummer bekannt, ausserdem suche man nach Herzi's Postings zu einem  Ellipso Sat Dialer, deren Nummern bei KPN terminiert werden.
[/spekulation]

Gruesse,
TSCN


----------



## Aka-Aka (24 Januar 2005)

Gast schrieb:
			
		

> Ich hab an besagten Tag nach Treibern für meine Uralt-Kyro I-Grafikkarte gegoogelt und muß mir beim download dieses Mistding eingefangen haben.


Jepp, da biste nicht der Erste, der sich über die Triebhaftigkeit manch angebotener Treiberdateien wundert


----------



## Anonymous (24 Januar 2005)

Gast schrieb:
			
		

> Der dialer heißt 124350.exe und legt ein eigenes Verzeichnis unter C:\Programme\Websiteviewer an. Eine Verknüpfung XXX-files wird auf dem Desktop und in der Startmenüleiste angelegt. Das icon dazu ist ein Gesichtsausschnitt einer Blondine, auf dem nur das rechte Auge erkennbar ist.
> Die registry wird um den Eintrag "dialer.exe" ergänzt. Beim Anklicken der Verknüpfung wird die DFÜ-Verbindung getrennt und die Einwahl der Dialernummer erfolgt. Das Tonsignal des Modems wird dabei ausgeschaltet, so daß die Verbindung unbemerkt hergestellt wird. "Hersteller" ist eine "tbi systems" soweit ich mich erinnere.
> Sorry mehr dazu weiß ich wirklich nicht.


tibsystems?


----------



## Aka-Aka (24 Januar 2005)

[...]

die tibs hat sogar eine deutsche domain, die nicht so ganz den denic-Richtlinien entspricht...
www.computerbetrug.de/whois/whois.php?tibsystems.de


			
				Aufruf der domain schrieb:
			
		

> DENICdirect-Informationsseite
> Die aufgerufene Domain ist derzeit nicht erreichbar.
> Falls Sie sich als administrativer Ansprechpartner bzw. als Domaininhaber nicht erklären können, warum die Domain nicht erreichbar ist, wenden Sie sich bitte an DENICdirect.


----------



## TSCoreNinja (24 Januar 2005)

Zum Dialer:
Wenns tatsaechlich der Link im Linkform ist, ist die Rufnummer 0037254111442 
(Estonische Mobiltelefonnummer)

Ach ja, wer Fragen hat, kann sie ja an den Anbieter stellen:


			
				Dialer schrieb:
			
		

> This service is provided by Smooth Content Ltd, 26 York Street, London W1U 6PZ. Tel: 0870 800 1011. Email [email protected]


In der mir vorliegenden Version uebrigens kein Autodialer, aber trotzdem natuerlich illegal.
Gruesse,
TSCN


----------



## Anonymous (24 Januar 2005)

zum Thema "smooth content": icstis-pdf 
http://www.icstis.org.uk/icstis2002/pdf/YPB_SMOOTH.pdf

und mein kleiner Anhang natürlich...


----------



## Anonymous (3 Februar 2005)

Habe mir das Teil auch eingefangen. 
Kriege es nicht weg egal was ich auch versuche er ist wieder da.
Zum Glück habe ich DSL.
Nun habe ich auf Firefox umgestellt - dort wird wenigstens nicht mehr "quickmetasearch" als Startseite angezeigt.
Wie bekomme ich das Teil entgültig weg ????


----------



## Anonymous (3 Februar 2005)

Achso : bei mir hat er einen anderen Namen:  127021.exe
Aber die blonde Lady ist auch dabei.

Zertifikat: Thawte Code Signing CA
Ausgestellt: Thate Premium Server CA
Aussteller: [email protected]


----------



## Anonymous (6 Februar 2005)

*127021.exe*

Hallo, das selbe Problem mit der 127021.exe habe ich auch. Das blöde Teil installiert dann diesen Website Viewer. Ich benutze Windows XP. Zum entfernen habe ich dann nachdem ich die Programme über den Task- Manager deaktiviert habe unter C:\Windows\System32 die Dateien dload.exe und prvdi.exe entfernt. Ebenso den erstellten Ordner WebSiteViewer unter C:\Programme und die Datei 127021.exe im Verzeichnis C:\. Die Verknüpfungen im Startmenü habe ich dann natürlich auch gelöscht. Mit dem Programm AD-Aware habe ich noch die geänderten Einträge in der Registrierung aufgespürt und gelöscht. Danach funktioniert alles eine Zeit lang wieder ohne Probleme. Ohne das ich irgendwelche Sexseiten besuche fange ich mir diese blöde Datei 127021.exe wieder ein. Ich weiß beim besten Willen aber nicht wo der eigentliche Ursprung für das Problem liegt. 
Frage: Haben noch mehr das gleiche Problem und kann mir vielleicht jemand sagen was man tun kann damit ich mir das nervige Prozedere zukünftig sparen kann?


----------



## Anonymous (6 Februar 2005)

Der Herr Peter P* aus Boston, UK, Vermarkter des Dialers, hatte bis vor kurzem noch ein Deinstallationsprogramm auf seiner homepage, gibt's aber nicht mehr... Über google findet sich noch ein weiteres deinstallationsprogramm (keine Ahnung, ob das seriös ist).
Die Seite für Reseller gibts noch, wo Du den Dialer kriegst, um ihn auf andere loszulassen. Du kannst dort sogar ein eigenes icon wählen und entscheiden, ob Du den content von Peter P* nützen willst oder Deinen eigenen. Ach ja, um Dich vor der Steuer oder vor evtl. Nachforschungen zu bewahren, kannst Du bei Peter P* auch gleich eine Briefkastenfirma dazu bestellen. Ein Rundumservice, unterstützt von der Unfähgkeit der europäischen Legislative 

Aber das nur am Rande...

lies mal hier:
http://www.trojaner-board.de/showthread.php?t=12966
s.a.
http://members.linzag.net/680262/HJT/HijackThis.html

evtl. mal ein Hijackthis-log erstellen und hier posten. Ich weiß nicht, wie viel Ahnung Du am PC hast. Ich hab zu wenig, um Dir zu helfen.


----------



## Anonymous (15 Februar 2005)

Remover für den DLoad.exe Dialer

h**p://www.hackground.de


----------



## Anonymous (15 Februar 2005)

@sammy: ist dieser Dialer also doch ein COULOMB-Dialer?


----------



## Anonymous (15 Februar 2005)

das Muster sieht mir sehr danach aus ... probiert mal, ob mein Tool alles wegbekommt. Bin gerade dabei das Perfekt zu machen.

würde mir auch helfen, wenn ihr mir die Trägerdateien per Mail schickt, falls mein Programm nicht greift.

Die Trägerdatei beinhaltet den Dialer und lässt den immer wieder auf den Rechner los. Der Name kann auch variieren - bei mir wars prvdi.exe oder prvdi1.exe in windows\system32 ... aber ich hab mein Tool dann so angepasst, dass der Name egal ist - wird trotzdem gefunden.
Das wär echt gut, wenn ihr mir die schicken könntet - oder auch die 10....exe die in C:\ liegt. Dann kann ich eventuell das Programm anpassen, falls es nicht funktioniert.

GRuß
Sammy98


----------



## Aka-Aka (6 September 2005)

Im Rahmen einer (ehrenamtlichen!) Auftragsrecherche suche ich Informationen zu diesen Dialern. Beim wem wurden Kostenverursacht? Welche Ämter wurden evtl. eingeschaltet? Welche Nummern wurden gewählt? usw

Bitte per PN, vielen Dank


----------

