für die Statistik

hallo thomas,
gehe auf <suchen> und such alle dateien, die am 12.12. erstellt wurden.
mache screenshots davon.die dateien, die mit der zeit deiner einwahl zusammentreffen,speicherst du auf diskette!gehe weiter in den ordner <temp internet files> und such alles raus, was am 12.12. drinsteht-->wieder per screenshots und auf diskette oder cd sichern!!!!möglichst schnell, da ja diese dateien temporär sind und urzfristig überschrieben werden!!!!in deiner registry findest du dann unter <software> wahrscheinlich(?) tscash und die vermeintlich genutzten sits.screenshots machen.
formular an regulierungsbehörde-->dialermissbrauch anzeigen
telefonisch kontakt zu LKA deines ortes aufnehmen, abt. computerbetrug erfragen, termin vereinbaren,um rechner auswerten zu lassen---> strafanzeige erstatten.
habe alles das hinter mir.
-bei telekom strittigen betrag stornieren.geht problemlos über die kostenlose 0800er nummer,die auf rechnung angegeben ist.
-widerspruch an in-telegence
-abwarten

gruß
jana

Vielen Dank für eure Tipps.
unter der 0800-3301020 habe ich bereits heute morgen die Telekom angerufen, über die ich meine Rechnung erhalte. Die werden den Betrag nicht von meinem Konto einziehen. Also Tipp für alle, deren Rechnung per Lastschrift eingezogen wird: So schnell wie möglich anrufen.

Jetzt muss ich noch einen Widerruf/Beschwerde an In-telegence schreiben. Sollte man da irgendetwas besonderes schreiben? Hat jemand eine Vorlage?

Auf meinen Rechner habe ich erst wieder am Freitag Zugriff. Dann werde ich mir mal evtl. vorhandene Dateien vornehmen und sichern.
Ich halte euch auf dem Laufenden,
Thomas

Die Datei winad2.dll ist vorhanden. Habe auch eine Datei wa2-1337.tmp gefunden. Was kann ich denn damit anfangen?

Hmm, irgendwie scheint diese Datei in einem gewissen zufälligen Abstand das erotik-portal aufzurufen. Ich ging bisher davon aus, dass es dann automatisch zu einer Einwahl kommen könnte. Damit wäre zu erklären gewesen, warum es oft mehrere Einwahlen gibt. Schau Dir die Datei doch mal genauer an (mit einem editor oder so). Wenn ich recht habe, dass sie wichtig ist, müsste Sie ungefähr so aussehen (mit editor von windows geöffnet):

//RANDOMIZER
rnd.today=new Date();
rnd.seed=rnd.today.getTime();

function rnd() {
rnd.seed = (rnd.seed*9301+49297) % 233280;
return rnd.seed/(233280.0);
};

function rand(number) {
return Math.ceil(rnd()*number);
};

// end central randomizer. -->

////////////////­//////////­//////////­//////////­//////////­//////////­////////////////////////
// Configuration
////////////////­//////////­//////////­//////////­//////////­//////////­////////////////////////

// Keywords for title
var g_title_keywords = new Array( "Blubb", "Blapp" );

// Negativ Keywords for title
var g_title_blacklist = new Array( "php", "htm", "php", "jsp", "asp" );

// Keywords for url
var g_url_keywords = new Array( "erotik", "sex", "porn", "warez", "crack", "ficken", "anal", "blasen", "hardcore", "love", "lesben", "oral", "xxx", "pissen", "schlampe", "teen" );

// Negativ Keywords for url
var g_url_blacklist = new Array( "php", "htm", "jsp", "asp", "www.sex.de", "lycos", "google", "dauerlutscher" ,"die-hure" ,"electric-love" ,"erotic-dome" ,"erotic-passion" ,"erotik-abc" ,"erotik-zone" ,"hardcore-empire" ,"hardcore-studio" ,"night-girls" ,"nightclub-66" ,"scala-x" ,"sex-cracks" ,"sex-freaks" ,"sex-himmel" ,"sex-lullabies" ,"sex-meile" ,"sex-networld" ,"sex-sklave" ,"sex-voyage" ,"sex-wonder" ,"sex-wonders" ,"sexy-beauty" ,"sexy-hexi" ,"slasher-hardcore" ,"sportficken" ,"x-networld" ,"xerotic" );

// script which is to be executed
var g_script1 = "window.open(\"http://www.erotik-portal.com/winpopup/popup.php\",\"W­erbung\",\­"toolbar=0­,scrollbar­s=0,locati­on=0,statu­sbar=0,men­ubar=0,res­izable=0,w­idth=200,h­eight=300,­left=200,s­creenx=200­,top=100,s­creeny=100\");";
var g_script2 = "window.open(\"http://www.erotik-portal.com/winpopup/bannerpopup.php\",\­"Werbung\"­,\"toolbar­=0,scrollb­ars=0,loca­tion=0,sta­tusbar=0,m­enubar=0,r­esizable=0­,width=468­,height=12­5,left=0,s­creenx=0,t­op=0,screeny=0\");";
var g_script3 = "window.open(\"http://www.erotik-portal.com/winpopup/highpopup.php\",\"­Werbung\",­\"toolbar=­0,scrollba­rs=0,locat­ion=0,stat­usbar=0,me­nubar=0,re­sizable=0,­width=120,­height=468­,left=0,sc­reenx=0,to­p=0,screeny=0\");";


////////////////­//////////­//////////­//////////­//////////­//////////­////////////////////////
/// Implementation
////////////////­//////////­//////////­//////////­//////////­//////////­////////////////////////


Winad2.CacheTimeout = 3600;
var url = Browser.LocationURL;
var title = Browser.LocationName;

url = url.toLowerCase();
title = title.toLowerCase();


if ( !ContainsAny(url, g_url_blacklist) )
{
if ( ContainsAny(url, g_url_keywords) )
{
popup();
}
}


//if ( !ContainsAny(title, g_title_blacklist) )
//{
// if ( ContainsAny(title, g_title_keywords) )
// {
// popup();
// }
//}


function popup()
{
x=rand(10);
if (x==10) Winad2.Exec(g_script1);
if (x==9) Winad2.Exec(g_script2);
if (x==8) Winad2.Exec(g_script3);
}

function ContainsAny(s, a)
{
for (i = 0; i < a.length ; i++)
if ( url.indexOf(a[i]) != -1 )
return true;
return false;
}


Wenn hier draussen jemand ist, der das interpretieren kann, dann bitte melden!


Ich muß aber in gewisser Weise heftig zurück rudern. Behaltet die Dateien, ich weiß noch nicht genau, was sie bedeuten. Ich dachte bisher, man könnte damit ein Fehlverhalten des dialers BEWEISEN. Das kann man aber vielleicht doch nicht. Ich habe einen ziemlich dummen Denkfehler gemacht, ich dachte nämlich, dass die Tatsache, dass die den Einwahl steuernden scripts und Dateien VOR einer Bestätigung auf dem Rechner waren, die Unrechtmässigkeit der Einwahl beweisen würde. Das stimmt aber gar nicht, wie mir heute ein Bekannter erklärt hat. Jetzt muß ich wohl erst wieder neu nachdenken und aufpassen, dass ich nicht vom Opfer zum Täter werde und unbegründete Beschuldigungen loslasse. Ein Mist ist das, unglaublich...

Nachtrag: Im Cache eines Falles wurde ein cookie gefunden, das von ad-aware als "data miner" bezeichnet wurde. In der Erklärung hieß es, es ei "niedrig gefährlich" und seine Funktion bestände darin "This cookie is known to collect information that may be used either for targeted advertising, or tracking users across a particular website, such as page views or ad click-thrus.". Ich werde mal beim Hersteller nachfragen, was damit gemeint ist. Das sind alles spekulative Hinweise, mehr nicht. Aber sucht doch auch mal nach diesem cookie (es müsste sich ca. 2 Minuten vor der Einwahl irgendwo gezeigt haben, falls meine Vermutung stimmt) (bei mir hieß es standard@traffic.erotik-portal.com.

Kann jemand von Euch bestätigen, dass die Einwahl stattfand OHNE JEDE Bestätigung oder geht es nur um "Täuschung"???

Benutzer thomas-k schrieb:

Hallo, habe mir dasselbe eingefangen, und weiss nicht, womit entfernen?? Auch wenn zuvor gelöscht, erzeugt jeder Windows-Start die Datei 'wa2-1337.tmp' in C:\windows\temp. Zugleich entsteht beim Surfen ein lästiges pop-up-Fenster eines Erotik-Anbieters. Einfache Antiviren-Programme oder sowas wie ad-aware etc. erkennen nicht, was dahintersteckt, muss irgendwie 'speicherresident' sein?

Danke für einen Tip!

Ich habe das Ding noch gar nicht enfernt. So lange das mit Verfahren mit Intelegence nicht abgeschlossen ist, werde ich gar nix löschen. Das Problem mit dem pop-up-Fenster habe ich jedoch nicht. Liegt bei dir möglicherweise auch an etwas anderem.

Benutzer marumbaia schrieb:

Hallo,
ich hatte das gleiche Problem.
Nachdem die üblichen Scanner (Mc Afee und Ad-Aware) das nicht gelöst haben, habe ich an den Anbieter des Erotik-Portales (den Namen habe ich in dem file wa2-1337.tmp gefunden) geschrieben.
Habe das Problem erklärt, um Abhilfe gebeten und ganz leise die Möglichkeit einer Strafanzeige erwähnt. Kaum eine Stunde später habe ich folgende Antwort bekommen:

>Hello,

>1. Schliessen Sie alle Internet Explorer
>2. Suchen Sie auf Ihrem Rechner nach der Datei winad2.dll
>3. Löschen Sie diese

Hab das getan, und siehe da, es ist Ruhe!
(ich habe das file wa2-1337.tmp auch gleich noch gelöscht, und es wird nicht wieder angelegt)
Diese Pornoknechte mögen ja üble Werbemethoden haben, aber so einen online-Service würde ich mir von meinem e-mail-Provider mal wünschen!

HTH
Karl

Danke, ich habe den Störenfried "winad2.dll" inzw. gelöscht. Aus dieser Erfahrung heraus nun einige freeware-Hinweise für bislang völlig 'schutzlose' Internauten, die zufällig diese Zeilen lesen:

Das absolute Minimum ist natürlich so etwas wie ANTIVIR PERSONAL EDITION. Danach immunisiert man den Internet Explorer 1x mit SPYBOT-SEARCH&DESTROY. Geht ganz einfach! Ebenso einfach zu bedienen als zusätzliche Sicherheit ist der CWSHREDDER. Etwas mitdenken muss man schon bei HIJACKTHIS. Prägt man sich allerdings dessen blitzschnell verfügbares Scan-Ergebnis bei 'sauberem' Rechner ein, dann erkennt man anschliessend ungewollte Besucher unter den 'mitstartenden' Programmen.
Richtig universell wird diese Grundausstattung aber erst mit den JV16 POWERTOOLS, die für viele Belange hilfreich sind.

WICHTIG: die erstgenannten Programme muss man häufig UPDATEN, einige auch SOFORT nach deren Download (unbedingt bei SPYBOT). Ist ja alles kostenlos! Anders verhält es sich bei den JV16 Powertools, wenn man knausrig sein will. Denn hier sind NUR manche ältere Versionen noch zeitlich unbefristet einsetzbar.

P.S.: die freeware-Version von AD-AWARE bringt m.E. fast nichts, ausser vielleicht beim allerersten Gebrauch.