suche nach *.lgc-Dateien und nach wa2*.dll und wa*.tmp
SYSUPD.EXE stand in der Autostart
RAUS DAMIT!
C:/Windows/system/sysupd.exe Datum 30.01.2004
--> mach mal Rechtsklick, Eigenschaften und schau Dir die ganz genaue Uhrzeit an (zB zuletzt geändert am 30.01.04 um 12:22:33). Dann vergleiche sie mit der in der tscore.log (wenn du die findest) genannten Einwahlzeit.
Diese weicht von der Rechnung evtl. ab, weil es deine Systemzeit ist!
Die Zeit der sysupd.exe müsste ca. 30 sek vorher sein.
C:/Windows/system/getupd.exe Datum alt
C:/Windows/system/webinstall.dll Datum alt
Jaja, die Dateien sind sehr alt... Ist ja auch ein Uraltdialer. Aber wann hast Du sie gekriegt??? Die webinstall.cab kriegt man bei 56k ca. 1 Minute vor der Einwahl.
C:/Windows/system/webinstall (Ordner) Datum 30.01.2004 (wann genau??? (rechtsklick)
C:/Windows/system/webinstall/tscore.log Datum 30.01.2004
ja, das ist die log-Datei, da steht drin, wann tscore begonnen hat, sich einzuwählen --> VOR DIESEM ZEITPUNKT MUSS DER KOMPLETTE ABFRAGEZYKLUS DURCHLAUFEN SEIN, SONST IST ES ILEEGAL
C:/Windows/system/webinstall/tscore.exe Datum 30.01.2004[/list]
Der über rechtsklick eigenschaften herauszufindende Zeitpunkt bei der tscore.exe müsste exakt übereinstimmen mit der in der tscore.log genannten Einwählzeit
öffne tscore.log mit editor, schau auf die Zeit und vergleiche sie mit der tscore.exe-Zeit (Rechtsklick, Eigenschaften)
Der 30.01.2004 ist laut Telekom-Rechnung auch der Tag des IQ-Test !
Ach
Da geht es aber um Sekunden!
In C:/Windows/Temporary Internet Files gibt nur noch einen Cookie:
haben die mods, die das gelöscht haben, es wenigstens gelesen???
Fing's mit e an und hörte mit rotik-p* auf?
[17.02.04: kannst Du mir die dort genannte Seite per PN mitteilen, danke.]
Dann umso dringender winad2.dll suchen. Die muss doch da sein!!!
In der Registry gibt es folgenden Eintrag:
- [HKEY_LOCAL_MACHINE\SOFTWARE\TSCash\v4\Contacts\45240]
"name"="www.......info"
"user"="TS3fb3c7f66b495"
"dial"="019359130"
"desc"="Auf .....info können Sie Ihren IQ testen. Hier müssen Sie verschiedene Fragen richtig beantworten und können danach Ihre Freunde und Kollegen zu einem IQ-Duell herausfordern. Viel Spaß und Erfolg!"
"cost"="36€/Call max 1Std. BT"
"euro"="Gebühr bezahlt! Nicht auflegen!"
"url"="http://www.......info"
"msdial"="N"
"land"="DE"
"tariftype"="2"
"mintime"="0"
# B
# V=1
+ 45240
@ name=www.***.info
@ user=TS3fb3c7f66b495
@ dial=019359130
@ desc=Auf IQ-Finder.info können Sie Ihren IQ testen. Hier müssen Sie verschiedene Fragen richtig beantworten und können danach Ihre Freunde und Kollegen zu einem IQ-Duell herausfordern. Viel Spaß und Erfolg!
@ cost=36€/Call max 1Std. BT
@ euro=Gebühr bezahlt! Nicht auflegen!
@ url=http://www.***.info
@ msdial=N
@ land=DE
@ tariftype=2
@ mintime=0
-
# E
Danke, damit weiss ich, dass user=TS3fb3c7f66b495 die ID des webmasters ist, oder??? --> TSCoreNinja???
such mal die Datei 45240.txt
und heb alles auf, denn mit deinem cache kann man per scripts [ed. schmarrn, halt durch Analyse der scripts] alles belegen, was zu belegen ist
Ich habe das Windows-Verzeichnis auf DVD gebrannt. Was muss/darf ich jetzt alles löschen. Sind diese auf der Festplatte verbliebenen Dateien gefährlich? Können weiter Kosten entstanden sein / noch entstehen ?
SYSUPD DEAKTIVIEREN! (umbenennen reicht)
TSCORE.EXE deaktivieren (dto)
erst regisry kopieren
(start/ausführen/regedit eingeben/datei/exportieren --> registry exportieren, gut aufheben)
dann bearbeiten/suchen
--> webinstall suchen, fast das letzte fundergebnis is was mit regsrv32 oder so, das ist der deinstallationsbefehl des Teils. Deinstallation aber erst nach Dokumentation durchführen (zB mit "Hijack This").
Danach noch einmal nach webinstall suchen und nach tscash und tscore
gute Infos dazu auch hier:
http://forum.computerbetrug.de/viewtopic.php?t=1086&highlight=tscore
auf DVD gebrannt?
Evtl. kannst Du jetzt nicht mehr an die Daten ran, die im ORIGINAL Temporary Internet Cache stehen. Falls Du vor Gericht gehen würdest, könnte ein Sachverständiger aber lässig aus der dort sicher enthaltenen index.dat (oder wars user.dat?) alles nötige herausfinden.
Das hab sogar ich geschafft, und meine Programmierkenntnisse beschränken sich auf
10 print "tscash ist ein verbrecherdialer"
20 a=a+1
30 for a<100 go to 10
40 end
[irgendwo fehlt da "run"...9
lol
Was ist sonst noch zu tun ?
Behalte die DVD gut, alle nötigen Beweise sind drauf, denke ich. Mit dem Original-Temporary Internetcache wäre es einfacher...
probier mal folgendes:
such deinen Verlaufsordner und experimentiere (aber MOdemstecker ausgeschaltet). Wenn windows ins internet will --> ablehnen. Schau dir alles an, was du siehst (Blubb...)
suche "dialog" und probiers aus... dein Einwahldialog mit allen AGBs muss da irgendwo versteckt sein
Temporary Internet Cache
suche das passende datum und die passende Zeit, wenn Du glück hast, stehen noch die Downloadorte mit dabei. Mach screenshots davon!
(taste "print screen" rechts oben, dann in Grafikprogramm oder word und einfügen). Darauf sollte man aber alles gut sehen können.)
Kopier dir diesen Beitrag und gebe ihn allen, die mit TSCore zu tun hatten...
with regards
aka-aka
King of Akas
