SysUpd.exe TSCash German dialer

von **Marry** am 30.10.2004, 00:56

Hallo alle zusammen,
auf dem PC meines Vaters scheinen mehrere Würmer zu sein.
Antivir hat rumgemeckert und die Sytemleistung läuft teilweise auf 100% (verursacht durch svchost.exe), so das manchmal gar nichts mehr geht. Antivir hat Fehlermeldungen gebracht, in denen was von
Rbot.DA
ATI2VID.EXE
Tinytet.DLD.3
stand...
Einfach mal so zu löschen scheint nicht zu funktionieren..
Was können wir tun?

Da hier ja in solchen Fällen immer nach der Hjackthis-Log gefragt wird, hänge ich die gleich mal an:

Logfile of HijackThis v1.98.0
Scan saved at 19:29:16, on 28.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Download\fuer_hubsi\hjack\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PREAT IE LightFrame - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrameIECOM.dll
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon Translator\babylon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0688F706-02A8-4FC3-AE8D-C184175FA7A8}: NameServer = 192.168.120.252,192.168.120.253

Wäre super, wenn Ihr mir weiterhelfen könntet.

VG Marry

von **Nikita** am 30.10.2004, 16:34

Hallo@Marry

SysUpd.exe is part of TSCash is a German dialer program that surfaced around April 2001. The original website tscash.de appears to be dormant, although the files from this dialer, especially sysupd.exe
http://www.dialerschutz.de/home/Technik/technik.html
____________________________________________________________
<adware program called WinAd by TwistedHumor

Gehe in die Registry
Start<Ausfuehren<regedit
Loesche, falls es da ist:
HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\[SysUpd]

Oeffne das HijackThis< scan <anhaken <fix< PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing)
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe

neustarten

oeffne das HijackTHis:

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\System32\SysUpd.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\System32\Winad2.dll
PC neustarten

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#Deinstalliere fuer 15 Tage den Antivirus: (unbedingt deinstallieren, sonst geht der PC in die Knie bei zwei Virenscannern)
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads. ... ase_id=649
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

Dann berichte und poste das neue Log vom HijackThis.

mfg
Nikita

von **Marry** am 31.10.2004, 12:57

Hallo Nikita,

wo muß ich denn da genau löschen?
Du hast mir folgendes geschrieben:

Gehe in die Registry
Start<Ausfuehren<regedit
Loesche, falls es da ist:
HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Winad.exe

Ich gehe davon aus, das immer rechts gelöscht werden muß, doch ist nicht so ganz verständlich, wenn ich mir die Registry angucke..

Also, ich habe in der Registry links den Ordner
HKEY_CLASSES_ROOT

darin befindet sich, auch wieder links, der Ordner
clsid

darin befindet sich, auch wieder auf der linken Seite, der Ornder
{53d3c442-8fee-4784-9a21-6297d39613f0}

Soll ich jetzt den linken Ornder namens {53d3c442-8fee-4784-9a21-6297d39613f0} löschen?

Bei zweiten von Dir genannten Registry-Eintrag sieht es genauso aus, befindet sich auch alles auf der linken Seite.

Den dritten Eintrag (Winad.exe ) gibt es nicht in der Registry.

Sorry, das ich nochmal so genau nachfrage, aber ich habe doch immer ein bißchen Muffe beim Ändern der Registry und will nichts falsch machen.

Vielen Dank schonmal und Gruß..
Marry

von **Nikita** am 31.10.2004, 14:00

Hallo@Marry

Was du in der Registry loeschen musst, abe ich dir vorsorglich rot gezeichet.

zu Winad\SysUpd.exe waere noch folgendes zu loeschen (wenn es vorhanden ist...ist von Fall zu Fall verschieden:

<HKEY_CLASSES_ROOT\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
<HKEY_LOCAL_MACHINE\software\classes\clsid\{53d3c442-8fee-4784-9a21-6297d39613f0}
<HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\[SysUpd]

Oeffne das HijackThis< scan <anhaken <fix< PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing)
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe

neustarten

_____________________________________________________________
oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\System32\SysUpd.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\System32\Winad2.dll
PC neustarten

#Datentraegerbereinigung:
und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads. ... ase_id=649
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

ERKENNUNGSTOOL ..loescht nicht, aber zeigt alles an, was noch so infiziert ist

Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Nikita

von **Marry** am 31.10.2004, 14:30

Hallo Nikita,

Was du in der Registry loeschen musst, abe ich dir vorsorglich rot gezeichet.

..

also den kompletten Ordner clsid auf der linken Seite löschen?
Denn da stehen ja einige hundert Unterordner drin, die aus ähnlich langen Nummern bestehen... (deswegen habe ich mich auch noch nicht getraut).

oder NUR den jeweils einen Unterordner der sich im Ordner clsid befindet?

VG Marry

von **Nikita** am 31.10.2004, 15:25

Hallo@Marry

Gut, dass du noch mal nachgefragt hast

Ich habe einen Fehler gemacht (und senke beschaemt mein Haupt)

Natuerlich darfst du (in diesem Teil der Registry) nur den bestimmten Eintrag rechts loeschen.)

Gruss
Nikita

von **Marry** am 01.11.2004, 09:20

Hallo Nikita,

:-)

))) (vorsichtig ist die Mutter der Porzellankiste :-)

aber das ist genau mein Problem...

Natuerlich darfst du (in diesem Teil der Registry) nur den bestimmten Eintrag rechts loeschen.)

Die Einträge
{53d3c442-8fee-4784-9a21-6297d39613f0} und
{53d3c442-8fee-4784-9a21-6297d39613f0}

befinden sich nur auf der LINKEN Seite der Registry... Wenn ich dann auf diesen Eintrag klicke, stehen rechts, glaube ich, nur 2 Einträge (habe ich jetzt nicht im Kopf, müßte ich erst wieder zu meinem Vater rüber und nachgucken)...

Irgendwie bin ich einfach zu dumm für diese blöde Registry.. grummel...

VG Marry

von **Nikita** am 01.11.2004, 11:36

Hallo@Marry

{53d3c442-8fee-4784-9a21-6297d39613f0} und
{53d3c442-8fee-4784-9a21-6297d39613f0}
stehen Links\ in der Registry und \Rechts die Angaben.
Es stimmt also, dass sie \ Links einfach mit Mausklick geloescht werden muessen. (\Rechts verschwindet dann automatisch)

das solltest du auch entfernen:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\[SysUpd]

diese Eintraege in der Registry, die dll und die exe sind dafuer verantwortlich, dass der "Besitzer vom Dialer" ueber die verstellte Startseite ALLE Aktivitaeten beim Surfen aufzeichnet (eingeschlossen, Passworte usw.)

mfg
Nikita

SysUpd.exe TSCash German dialer

SysUpd.exe TSCash German dialer

Ähnliche Themen

Wer ist online?