Logfile of HijackThis v1.99.0
Scan saved at 0:12:44, on 02-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RFA\rfagent.exe
C:\WINDOWS\system32\myfirl.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Sabine\Desktop\avwinsfx.exe
C:\DOKUME~1\Sabine\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\Sabine\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - [color=red]C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\system32\bridge.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll[/color]
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\system32\bridge.dll",Load
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [rfagent] C:\Programme\RFA\rfagent.exe
O4 - HKLM\..\Run: [hebqblfpgqc] C:\WINDOWS\system32\myfirl.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\system32\angelex.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


------------------------------------------------------------------------------------
O4 - HKLM\..\Run: [rfagent] C:\Programme\RFA\rfagent.exe
Registry First Aid - scans the Windows registry for orphan file/folder references, finds these files or folders on your drives that may have been moved from their initial locations, and then corrects your registry entries to match the located files or folders


Bulls Eye Network--> deinstallieren

Erstellungsdatum der Reportdatei: quarta-feira, 2 de Fevereiro de 2005 00:07

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.95 (0) vom 01.02.2005

Start des Suchlaufs: quarta-feira, 2 de Fevereiro de 2005 00:07

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK

Laufwerk: C:
Volume ID: Boot Serial No.: F8A1-C617
C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp
Installer2.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
WURDE GELÖSCHT!
lc.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QDK7A581
Installer2[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
WURDE GELÖSCHT!
lc[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bety.A
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS
2_0_1browserhelper2.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
Konnte nicht gelöscht werden!
UnstSA2.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
WURDE GELÖSCHT!
C:\WINDOWS\SoftwareDistribution\EventCache
{889948AF-FB8E-4119-B265-093C1DA4E334}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32
a.exe
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.1
WURDE GELÖSCHT!
bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
Konnte nicht gelöscht werden!
myfirl.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Laufwerk: D:
Volume ID: Data Serial No.: C04B-FBA0
D:\Software\Diverse\Brenner\Nero63125_update_60011\o-ra9101
start.exe
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: quarta-feira, 2 de Fevereiro de 2005 00:22
Benötigte Zeit: 15:19 min


1530 Verzeichnisse wurden durchsucht
17112 Dateien wurden geprüft
11 Warnungen wurden ausgegeben
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Viren bzw. unerwünschte Programme wurden gefunden

BTGab
Category
Adware : Software that displays popup/popunder ads when the primary user interface is not visible or which do not appear to be assocaited with the product.

O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll

C:\DOKUMENTE UND EINSTELLUNGEN\SABINE\LOKALE EINSTELLUNGEN\TEMP\THI32DC.TMP\POLALL1B.EXE
-->TR/Dropper Small PV.1.

HKEY_CLASSES_ROOT\btgrabdll.btgrabdllobj
HKEY_CLASSES_ROOT\btgrabdll.btgrabdllobj.1
HKEY_CLASSES_ROOT\clsid\{00000000-f09c-02b4-6ec2-ad0300000000}
HKEY_CLASSES_ROOT\typelib\{8e0d8965-b97b-468d-8306-a05929e439c1}
HKEY_CURRENT_USER\software\btgrab
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000000-f09c-02b4-6ec2-ad0300000000}

polall1b.exe
btgrab.dll

>>VX2/BTGrab.dll

The BTGrab.dll is named after their btgrab.com site that is the same IP as their Multimmp.com and localNRD.com sites. The BTGrab.dll is the same as their other variants of the host.dll and also has the Stop-Popup-Ads-Now at the bottom of the Dll code.
This one is installed with the farmmext.exe and the ShopNav redirect files.

Updated: 18 January, 2005
Variant: BTGrab.dll of the VX2/Host.dll varaint family
File Name: BTGrab.dll
CLSID: {00000000-F09C-02B4-6EC2-AD0300000000}
Components: BTGrab.dll, btgrab.inf, btgrab.cab, Polall1b.exe

Files Downloaded:
download.abetterinternet.com/download/cabs/BTGDLL/btgrab.cab
download.abetterinternet.com/download/cabs/BTGDLL/polall1b.exe
static.abetterinternet.com/download/cabs/MM5101/farmmext.cab
Controlling Server:
btg.btgrab.com

http://www.webhelper4u.com/transponder/btgrab.html

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\RFA\rfagent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Sabine\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\system32\bridge.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\system32\bridge.dll",Load
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [rfagent] C:\Programme\RFA\rfagent.exe
O4 - HKLM\..\Run: [hebqblfpgqc] C:\WINDOWS\system32\myfirl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\system32\angelex.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\BTGrab.dll
C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\system32\bridge.dll
C:\WINDOWS\system32\myfirl.exe
C:\WINDOWS\system32\angelex.exe

Logfile of HijackThis v1.99.0
Scan saved at 1:27:41, on 02-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Sabine\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Logfile of HijackThis v1.99.0
Scan saved at 2:04:14, on 02-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\DOKUME~1\Sabine\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sapo.pt/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Bulls Eye Network-->
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"


#O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe

Registry:

[HKEY_LOCAL_MACHINE] \SYSTEM\CurrentControlSet\Services\ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet001\Services\ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet002\Services\ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

[HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet003\Services\ISEXEng"
WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe""

AdWare.BargainBuddy.n
C:\WINNT\system32\angelex.exe


SERVICE_NAME: ISEXEng
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ISEXEng
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\THI32DC.tmp\BTGrab.dll

C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VXSSIMOV\infected6xz[1].gif

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004272.exe

Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004272.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Sun Feb 13 12:03:29 2005 => Scanning File C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004273.exe
Sun Feb 13 12:03:29 2005 => File C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004273.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Sun Feb 13 12:03:29 2005 => Scanning File C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004274.vxd
Sun Feb 13 12:03:29 2005 => File C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004274.vxd infected by "not-a-virus:AdWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP11\A0004274.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP14\A0004314.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP14\A0004315.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP15\A0004321.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP15\A0004322.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP15\A0004323.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP16\A0006390.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP16\A0006391.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP16\A0006392.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP17\A0007419.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP17\A0007420.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP17\A0007421.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP17\A0007427.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007428.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007429.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007430.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007436.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007437.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP18\A0007438.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007448.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007629.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007630.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007633.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007634.srg

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007635.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007636.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007638.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007642.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007643.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007645.vxd

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007648.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007649.dll

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0007651.exe

C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0009713.dll
AdWare.BiSpy.t"


kb.log-->KILLBOX
C:\System Volume Information\_restore{34E0F824-6AFF-404A-9A14-1116B3A9D8E2}\RP20\A0009713.dll
Delete on Reboot
C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\THI32DC.tmp\BTGrab.dll
Delete on Reboot

Logfile of HijackThis v1.99.0
Scan saved at 18:36:40, on 06-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\WinSweep\WSPopup.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Sabine\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\Evrsoft\1st Page 2000\Templates\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe