# So findet man die Einwahlnummer auf dem PC und den Dialer



## Anonymous (25 März 2004)

Viele Leute haben Schwierigkeiten an die Einwahlnummer heranzukommen.
Die Telekom zeigt sich kaum kooperativ.
Die Firma BT erwartet eine Buchungskontonummer, die aber laut Telekom
nicht herausgegeben werden soll. Die eigene Telefonnummer ist angeblich
ausreichend. Da ich keine Lust habe lange mit BT zu kommunizieren, habe ich den Dialer inclusive Nummer ( hier die unzulässige 019359130 )selbstständig herausbekommen.

Nachweis für die Existenz des BT-Dialers
Man sucht auf der Festplatte C:/ alle Dateien „*.*“  und filtert das Datum nach geändert .
Hier wird das auf der Telefonrechnung eingetragene Datum, in meinem Fall der 5.2.04 eingetragen. Bei mehreren Einwahlterminen sollte man den ersten und den letzten Tag getrennt nehmen.
Es ergaben sich folgende Ausgaben:
C:\WINNT\system32\SysUpd.exe
C:\WINNT\system32\WebInstall\TSCore.exe
C:\WINNT\system32\WebInstall\TSCore.log

Die Datei TSCore.exe ist der Dialer.
Das Auslesen von TSCore.log ergibt die komplette Auflösung.

+------------------------------------------------------------------------------------
| Date: 2004-02-05 Time: 15:19:31
| WinNT Version 4.00 (build 1381) Service Pack 6
| WININET Version: 1.2
| Internet Explorer : 5.50.4522.1800
| Intel 586, 1 Processor(s)
+------------------------------------------------------------------------------------
CDialup::LoadConfig (180) : Load  and prefix : false 
CDialup::filter (244) : MODEM (MicroLink 56k basic) accepted.
CDialup::Initialize (468) : Device list - MicroLink 56k basic
CDialup::Connect (49) : Connection Attemp
CDialup:isconnect (143) : 	Trying Hangup : Freenet Einwahl neu
CDialup:isconnect (148) : 	Hangup success : 2534ms
CDialup::EstablishConnection (103) : 	Using modem : MicroLink 56k basic
CDialup::EstablishConnection (104) : 	Using number: 019359130
CDialup::EstablishConnection (121) : 	Ras Entry - Failed to edit
CDialup::EstablishConnection (127) : 	Ras Entry - create : success
CDialup::RasOnStatusMessage (221) : 	Opening the port...
CDialup::RasOnStatusMessage (221) : 	Port has been opened successfully
CDialup::RasOnStatusMessage (221) : 	Connecting...

Damit ist fast alles aufgedekt!

Installiert wird der Dialer anscheinend über die Datei SysUpd.exe

Zur Beweissicherung sollten alle Dateien auf einem Datenträger unschädlich gesichert werden.

Das Verzeichnis „C:\WINNT\Downloaded Program Files“
enthält die Datei "WebPlugin Class"
Dies ist ein aktive X-Steuerelement zum Starten des Dialers nach der 
Aktivierung des Internetexplorers. Die Eigenschaften diese Plugins sind
eindeutig. Es wird verwiesen auf CodeBasis h**p://wbinstall.tscash.com/webinstall.cab

Im Verzeichnis C:\WINNT\Internet Logs habe ich die Logeinträge vom Firewall Zaonalarm untersucht.
Auch hier wird man fündig.

Zum 5.2.04 gibt es fogende Zeile:

PE,2004/02/05,15:18:32 +1:00 GMT,getupd.exe,62.104.191.241:53,N/A
PE,2004/02/05,15:18:54 +1:00 GMT,SysUpd.exe,62.104.191.241:53,N/A
FWIN,2004/02/05,15:19:11 +1:00 .6.120.22:1528,213.6.108.200:135,TCP (flags:S)
FWIN,2004/02/05,15:19:15 +1:00 .103.156:4663,213.6.108.200:135,TCP (flags:S)
PE,2004/02/05,15:19:31 +1:00 GMT,test1 Module,62.104.191.241:53,N/A
FWIN,2004/02/05,15:25:27 +1:00 6.214:4301,213.6.108.212:135,TCP (flags:S)
FWIN,2004/02/05,15:25:28 +1:00 
Man kann deutlich getupd.exe und danach SysUpd.exe erkennen.

Der SysUpd.exe wird nach jedem Verbindungsaufbau neu aktiviert. D.h. SysUpd.exe erscheint nach der erstmaligen aktivierung täglich in der Logdatei um neuen Unfug anzurichten.

FWIN,2004/02/06,08:03:52 +1:00 2.134.74.5:4168,213.6.108.66:135,UDP
FWIN,2004/02/06,08:06:32 +1:00 3.6.113.25:1695,213.6.108.66:135,TCP (flags:S)
PE,2004/02/06,08:07:03 +1:00 GMT,SysUpd.exe,62.104.191.241:53,N/A
FWIN,2004/02/06,08:07:08 +1:00 13.6.117.4:1956,213.6.108.66:135,TCP (flags:S)

hoffentlich ist dies eine Hilfe, um gegen die BT vorzugehen.

*[Virenscanner: Gastnamen vorsichtshalber gekürzt]*


----------



## cicojaka (26 März 2004)

@webinstall: in ihrem link hat sich ein kleiner Schreibfehler eingeschlichen, macht aber nix 


1.) Ist Herr TS also auch auf einen proxy-server umgestiegen?

Schade, schade,...

2.) Gibt es eigentlich noch irgendwo eine registrierte NUmmer für den TSCore-Dialer???

3.) Wurde die winad2.dll noch benutzt? (gibt es eine wa2*.tmp oder eine wa*.tmp)???

4.) Die Seiten, die verwendet wurden, sind doch alle auf Cyberc*** in Holland oder seine Helfershelfer um "Will Tell" registriert. Nachdem gegen diese Firma schon einige Verfahren gelaufen sind ("Klopapierkrieg" usw.), wäre es nicht an der Zeit, mal in Holland nachzufragen, wo diese Firma u.a. das niederländische Gegenstück zur startseite des Herrn T.S. innehat? Gibt es auch dort Probleme mit cyberc***???

5.) Die XXX-Seiten des Herrn S. und der cyberc*** werden - as far as I know - nicht mehr mit dem hauseigenen Abrechnungssystem abgerechnet. Wie ist die Seriösität von Firmen zu beurteilen, die mit jemandem kooperieren (Inhalte, Abrechnungssysteme), der doch in eindeutig erkennbarer Absicht versucht hat, der RegTP ein Schnippchen zu schlagen - sei es mit den dialern über 0190, die inzwischen nicht mehr registriert sind, oder sei es mit der Flucht zu einer Nummer ausserhalb des Registrierungssystems...

6.) Warum wird das Thema TSCore jetzt groß besprochen und nicht schon ein paar Wochen vorher, wo noch über eine DEUTSCHE Gesellschaft abgerechnet wurde und wo nachweislich die Dialer über DEUTSCHE SERVER installiert wurden?

7.) Warum klingelt WISO bei "TSCASH" und nicht bei der Firma im gleichen Haus, die doch offenbar den Dialer und (zumindest teilweise) die Inhalte auf ihren servern hat?

8.) Wieso klingelt eigentlich "nur" WISO und nicht jemand anderer???

9.) Diese Fragen beruhen auf einigen Recherchen, dennoch kann ich nicht ausschliessen, dass sich ein Interpretationsfehler eingeschlichen hat.

10.) ... to be continued ...

cj


----------



## Anonymous (5 April 2004)

*sysupd.exe*

Hallo

Hatte die sysupd.exe entfernt und seit heute morgen um 8 Uhr 30 ist sie wieder da.Gegen wehn kann ich etas unternehmen. :evil:  :evil:


----------



## Anonymous (5 April 2004)

Die sysupd ist wieder da, weil sie wahrscheinlich in der autostart steht...

(schau mal start/ausführen/"msconfig"/dann: Systemstart, dann Häkchen weg bei "sysupd"... falls vorhanden...

oder in der registry (start/ausführen/"regedit")

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\sysupd

(--> Schlüssel entfernen! --> ohne Gewähr)
(jmd um Hilfe fragen!)

nähere INfos, auch zum Verursacher, siehe

http://www.pestpatrol.com/PestInfo/t/tscash.asp


Aber es reicht zur Not, folgendes zu entfernen:

c:\windows\system (oder system32)\sysupd.exe
..........................\getupd.exe
...........................\tscore.dll (falls vorhanden)
............................\webinstall.dll (falls vorhanden)



bitte evtl. Löschvorgänge dokumentieren (vielleicht gibts doch noch einen registrierten tscore-Dialer)

http://forum.computerbetrug.de/viewtopic.php?t=1086&highlight=tscore


Viel Glück
cj


----------



## Anonymous (5 April 2004)

nachtrag: es gibt auch eine sysupd.exe für ein ganz harmloses Proramm, ich glaube sogar, für ein Antivirenprogramm  (free-av, afaik)

cj


----------



## Reducal (5 April 2004)

*Re: So findet man die Einwahlnummer auf dem PC und den Diale*



			
				Volker_der_T. schrieb:
			
		

> ....habe ich den Dialer inclusive Nummer ( hier die unzulässige 019359130 )selbstständig herausbekommen.



Es geht noch einfacher! Dieses Phenomen ist derzeit einzigartig und gem. TDG wird die Einwahlnummer auch nicht mitgeteilt. Es gab in diesem Zusammenhang nur zwei Nummern:

1. 01935913-0 für 36,00 € pro Verbindung
2. 01935913-1 für 49,99 € pro Verbindung
3. gibt es zwar unter der 2. Nummer auch noch, wurde aber nicht angewandt.

beides incl. Mehrwertsteuer, also ein simples Rechenexempel.

Wenn Du, Volker_der_T., bei der BT-Nummer angerufen hattest, so war dort nicht die BT dran sondern die von denen beauftragte Nexnet GmbH. Unter der Buchungskontonummer sagen sie Dir sofort, welche Einwahlnummer gegriffen hatte. Das Versteckspiel lt. T-Com-Auskunft ist lächerlich - was soll jemand anderes mit Deiner Buchungskontonummer wollen?



			
				Volker_der_T. schrieb:
			
		

> ....hoffentlich ist dies eine Hilfe, um gegen die BT vorzugehen.


Dafür ist aber nicht die BT verantwortlich, also was soll man Deiner Meinung nach gegen die unternehmen und was soll man hinsichtlich der eigentlichen Initiatoren machen, die Verantwortlichen der (Schein-)Firma Internet Clearing BV in Holland?


----------



## gueder (6 April 2004)

*-> reducal*



> Unter der Buchungskontonummer sagen sie Dir sofort, welche Einwahlnummer gegriffen hatte



also mir haben die nichts gesagt. ich musste einen zugeschickten antrag unterschrieben zurücksenden. man teilte mir per telefon nur mit, dass es sich bei der leistungsnummer um eine internetverbindung handelt.


----------



## Anonymous (13 April 2004)

*exdialer*

hi,
habe mir diesen *exdialer* eingefangen, finde aber die weiter oben genannten dateien nicht um ihn unschädlich zu machen???
Gibts nicht ein Tool das ihn killt ?? :bigcry:  :bigcry:


----------



## Anonymous (13 April 2004)

die Dateien gelten für den tscash, nicht für den exdialer...

exdialer: probiewrs mal da:  symantec-Info 

gruss
cj


----------



## Aka-Aka (13 April 2004)

Ja,ja, anmelden und richtig tippen...

symnatec:  symantec-Info 


So, jetzt aber ...


----------



## Anonymous (19 April 2004)

*sysupd.exe ...so bekommt ihr den Mist vom Rechner !!!*

Hi zusammen,

bei mir hatte sich die sysupd.exe richtig festgebrannt. Kein Deinstallieren oder Abschalten durch regedit und auch nicht durch msconfig möglich.

Aber die gute Firma rokop-security machts möglich. Es gibt dort eine genaue Anleitung und die richtigen Download-Programme. ( in Deutsch )

http://www.rokop-security.de/main/article.php?sid=703

 :lol: Dankesgeschenke nehme ich anschließend gerne entgegen.

[email protected]

Frank

_E-Mail Addi gelöscht siehe Nutzungsregeln 
http://forum.computerbetrug.de/rules.php#10
Ausnahmen können  keine gemacht werden 
melde dich an, dann kann dir per PN gedankt werden
tf/Moderator_


----------

