# eXact Advertising.BargainsBuddy



## Anonymous (12 Dezember 2004)

Hallo, habe ganz neu ein Notebook gekauft und bin Anfängerin. Jetzt habe ich ein Problem bzw. eine Frage, die ich nicht beantwortet fand. Ich habe ein Antivirusprogramm installiert (AntiVirGard) und habe auch Spybot. Ich finde jetzt dauernd nach der Überprüfung mit Spybot die "Verseuchung" mit eXactAdvertising.BargainsBuddy. Die gehen dann zwar weg aber die legen mir dauernd neue Ordner und Dateien und Verzeichnisse an, und das finde ich etwas bedrohlich um ehrlich zu sein. Kann mir vielleicht jemand sagen, wie ich mich davor schützen kann. 
Ich wäre wirklich sehr dankbar.


----------



## Nebelwolf ✟ (12 Dezember 2004)

Hallo!

Die Malware wird auf http://www.trojaner-board.de/showthread.php?t=10267 beschrieben. Wenn Du das Programm "Net2Phone CommCenter" installierst, wird das Programm heimlich mitinstalliert. Vermutlich gibt es auch weitere Trägerprogramme. Entrernen läßt sich das Übel mit HijackThis: http://hjt.klaffke.de/

Nebelwolf


----------



## Aka-Aka (12 Dezember 2004)

for off topic reading only:
http://www.webwire.com/ViewPressRel.asp?SESSIONID=&aId=495

(Hintergründe zur Herstellerfirma exactadvertising und deren Verbindung zu net2phone)



			
				diese seite schrieb:
			
		

> As President and Chief Operating Officer, Mr. W* is responsible for driving eXact’s growth, identifying partnership opportunities and evaluating potential acquisitions. Mr. W*’s background traverses the media, telecom and technology industries. From 2000-2004, Mr. Wiener held a number of executive positions at Net2Phone, Inc., most recently as President of Net2Phone Global Services LLC (NGS), maintaining full responsibility for sales, marketing, business development and P&L management for the company’s $85 million annual business. In this capacity, Mr. W* led NGS to a $125 million free cash flow turnaround and a 150% annual growth in profitability.



h**p://www.net2p*.de/

Börsennews vom Donnerstag waren nicht so toll, die Aktie gab 8% nach. 
Was macht das nette Programm eigentlich genau???

ist ja auch ein  Veteran


----------



## Anonymous (15 Dezember 2004)

*EXact Advertising Bargain Buddy*

Danke an Nebelwolf und Aka-Aka, hatte leider keine Zeit vorher zu antworten. Also, das Problem habe ich noch nicht gelöst, da ich mich an dieses Hijackthisprogramm als totaler Anfänger noch nicht so recht heranwage. Ich bin jetzt aber erstmal etwas beruhigt, da es ja "nur" Werbung ist. Allerdings hatte ich schon wieder eine neue Datei entdeckt die mir angelegt wurde, mit meinem Namen! eine Winzip Werbung. Aber ich finde das äußerst unangenehm, wenn ich dauernd irgendwelche merkwürdigen Dateien in meinem Computer angelegt bekomme. Ist das eigentlich normal? Ich kannte das Problem, dass man dauernd E-mails also Spam bekommen kann, aber dass man ganze Dateien und Ordner aufs Auge gedrückt bekommt finde ich ziemlich unangenehm. Kann man da denn nichts dagegen machen? Gibt es da vielleicht ein besseres Anti-Viren Schutz Programm, ich habe "nur" Anti Vir Gard ja gut und Spybot. 
Vielen Dank 
Gast


----------



## IT-Schrauber (15 Dezember 2004)

Für jeden Anwendungszweck gibts halt das passende Werkzeug. Und genauso wie Du in der Kueche Salz nicht durch Zucker ersetzen kannst, genauso hilft eine Antivirusloesung auch nur bedingt gegen sonstige Malware. HiJackThis hat im Grunde genommen zwei Funktionen, einmal das Anzeigen potentieller Schaedlinge und zum zweiten deren Beseitigung. Auch wenn Du Dir selbst nicht zutraust, das Programm ordnungsgemaess anzuwenden, so kannst Du dennoch das Programm einfach seine Diagnose in ein Logfile schreiben lassen und dieses hier als Anhang an ein Posting von Dir zur Diskussion stellen. Es findet sich bestimmt jemand, der Dir dann sagt, welche Eintraege nun wirklich weg sollten und welche besser nicht  (Denn das kann das Programm nunmal nicht allein entscheiden )
Also, nur Mut, mit der Anzeigefunktion allein kannst Du keinen Schaden anrichten! ("Scan"-Button)


----------



## wolfgang30 (16 Dezember 2004)

Guten Morgen allerseits !

Dieses  "eXact Advertising.BargainsBuddy"-Problem wird sehr gut und umfassen bei Pestpatrol (jetzt CA) beschrieben.
Siehe: http://www.pestpatrol.com/pestinfo/b/bargainbuddy.asp

Wie schon oben richtig erwähnt ist Net2Phone Inc. mit eXact Advertising Network verbunden bzw. war/ist eine Management Buy out im Jahre 2000 und haben im Aug. 2002 dann mit ihrer BargainsBuddy-Onlinewerbung begonnen .

Ihr Ziel ist es anhand deiner eingegebenen URL's und Suchbegriffen Dir entsprechende Werbeangebote  zu präsentieren und das in ziemlich aggressiver Form , verseucht deinen PC mit über 40 Einträgen usw. und diese sind auch schwer alle zu finden bzw man übersieht auch schon mal den einen oder anderen Eintrag; denn es werden da nicht nur Einträge im BargainBuddy-Ordner angelegt , sondern auch in den Programmdateien verstreut.

Eine manuelle Entfernungsanleitung findest Du im o.g. Link.

Alternativ wäre natürlich die Möglichkeit des Kaufes von Pestpatrol, kostet allerdings US$ 39,95 !  
(http://www.digitalriver.com/dr/v2/ec_dynamic.main?sp=1&pn=5&sid=35715&cid=175162)

Billiger (da kostenlos) wäre halt die neueste Version von Hijackthis (seit gestern gibts die neuste V.1.99).
Wie IT-Schrauber richtig sagt, sollte man damit beginnen und einfach zunächst mal eine Logfile erstellen und hier posten.
Damit kann man nichts kaputt machen, so lange mit nicht die Einträge fixed (= repariert). Ausserdem kann man bei hijackthis auch immer ein
Backup machen (siehe: other stuff--->config--->dort anhaken: make backups before fixing items).

Dann schaut man sich mal alle Einträge an (ua. muss zB. der Eintrag c:\Windows\System32\mac80ex.idf  gefixt werden, da dieser sich auf bargainbuddy bezieht).

Wag dich mal an Hijackthis heran und stell ein Log hier ein, dann hat man schon einen besseren Überblick über diesen Übeltäter


----------



## Anonymous (17 Dezember 2004)

*Exact Advertising Bargain Buddy*

Hallo nochmal und vielen Dank für die Hilfe,
also, ich habe hier das Logfile gemacht und vielleicht kann mir ja jemand weiterhelfenl
Dankeschön.
Ich hoffe es hat geklappt mit dem Attachment?


----------



## Anonymous (17 Dezember 2004)

*Exact Advertising Bargain Buddy*

ich glaube das hat doch nicht geklappt mit dem Anhang. Aller Anfang ist schwer. Ich füge einfach hier als Text das Logfile ein. 
Also:

Dankeschön.

_Logfile als Textfile attached modaction _


----------



## virenscanner (17 Dezember 2004)

Uups:
Bitte schick mir die Datei "C:\WINDOWS\System32\Winlogin.exe" mal an " [email protected] ".


----------



## Bremsklotz (17 Dezember 2004)

Mit welchem Browser gehst du ins Net? Lade dir doch den Mozilla Firefox herunter und benutze den als Browser anstatt dem IE. 

Ferner solltest du auch mal deine Sicherheitseinstellungen checken.

http://www.sicherheit-online.net/

Vielleicht hilft dir das weiter?


----------



## wolfgang30 (18 Dezember 2004)

Hallo am Morgen @ Gast !

Dein XP ist leider nicht auf dem aktuellen Stand ; wurde mindestens  seit Juni 2003 nicht mehr gepatcht.

Du hast Dir mindestens 7 böse Einträge eingefangen, die gefixt (=repariert) werden müssen, ua. einen Eintrag nach einem Trojanerbefall.

@ virenscanner:
   du bist da genau mit der Datei "C:\WINDOWS\System32\Winlogin.exe
   auf der richtigen Spur.
   Dieser Eintrag ist  das Ergebnis des RANDEX.E Virus und ist keine
   legitime winlogon.exe.
   Dieser Virus  (genauer ein Wurm) ist auch unter 
    * W32/RpcSdbot-A,
    * Win32:RPCexploit
    * Backdoor.Sdbot.au
    * TrojanDropper.Win32.Small.bd
    * Exploit-DcomRPC
    * WORM_RPCSDBOT.A
    * W32.Randex.E
    bekannt. 
siehe z.B:
http://www.sophos.de/virusinfo/analyses/w32rpcsdbota.html
http://www.f-secure.com/v-descs/sdbot_rpc_a.shtmles/w32rpcsdbota.html 

Dieser Wurm nutzte eine bekannte RPC/DCOM-Schwachstelle aus und wurde von Microsoft im Juni 2003 mit dem Patch www.microsoft.com/technet/security/bulletin/MS03-026.asp  behoben.

Mit Hijackthis zu fixen sind im Moment mindestens:

1.    C:\WINDOWS\System32\Winlogin.exe
2.    C:\Programme\BullsEye Network\bin\bargains.exe
3.    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
4.    O4 - HKLM\..\Run: [Microsoft WinUpdate] Winlogin.exe
5.    O4 - HKLM\..\RunServices: [Microsoft WinUpdate] Winlogin.exe
6.    O4 - HKCU\..\Run: [Microsoft WinUpdate] Winlogin.exe
7.    O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe

Allerdings würde ich mit dem fixen noch etwas warten, denn ich sehe, dass Du Hijackthis in  die temporären Dateien installiert hast.  Dies ist nicht der optimale Ort.

Hijackthis braucht einen eigenen Ordner, um auch dort Backups anlegen zu können. Immer wichtig als Reserve, um etwas wieder rückgängig machen zu können.

Am besten unter C:\programme und dort einen neuen Ordner namens
Hijackthis anlegen.
Deswegen (auch wenn's nervt) nochmals Hijackthis V.1.99 herunterladen und dort hinein installieren, sonst sind die Backups in Gefahr.

Dann auf jeden Fall zuerst bei other stuff--->config--->main---> dann das Kästchen "make backups before fixing any items" anhaken.
Ist zwar eingentlich schon standardmässig so eingestellt, aber manchmal verschwindet auch dieses Häkchen und man hat keine Backups.
Bei so relativ komplexen Dingen muss man immer vorher Backups machen.
Wenn Du das alles durch gearbeitet hast, dann nochmals nach der o.g. Cleanerei eine Hijackhis-Logfile hier reinstellen zur Nachkontrolle.
(Evlt. kommt noch was dazu, denn eXact Advertising.BargainsBuddy lädt auch immer wieder neue Dateien/files).

Ausserdem würde ich dir auch ein "Reinigungstool" wie z.B. clearprog
(siehe:   ClearProg 1.4.1 Final  unter www.clearprog.de) empfehlen.
Ist freeware und arbeitet sehr zuverlässig. Löscht die Surfspuren von Internet Explorer, Netscape, Mozilla, FireFox und Opera u.a,Cookies ,Verlauf, Temporäre Internetfiles (Cache), URLs usw.).

Vermute mal, dass sich so einiges auf deinem Laptop angesammelt hat,was man nicht haben muss 

Und wenn Du die Prozedur hinter dir hast, dann schleunigst auf SP2 updaten. Dein o.g. Wurmproblem wg. der RPC/DCOM-Schwachstelle
hättest du vermeiden können und mit SP2 kamen ja noch zig andere Sicherheitsfeatures dazu.

Ausserdem wurde auch schon gesagt: Browserwechsel !  Opera, Mozilla (für manche ein wenig zuviel und zu gross) oder  schlanken Firefox V.1.0

Damit surft man "ruhiger".    Viel Erfolg.


----------



## Counselor (18 Dezember 2004)

Bremsklotz schrieb:
			
		

> Mit welchem Browser gehst du ins Net? Lade dir doch den Mozilla Firefox herunter und benutze den als Browser anstatt dem IE.


Der Browserwechsel allein hilft wenig gegen Spyware. Spyware nutzt nämlich oft keine Sicherheitslücken zur Installation. Meist wird sie zusätzlich zu einer anderen Software installiert, oder der sie tarnt sich als nützliches Freewaretool (Toolbars usw). Zum Schutz gegen die Viren hätte es vermutlich ausgereicht, die Automatischen Updates aktiviert zu lassen (so wie es in der Grundeinstellung von Windows XP ist).

Unter Extras->Internetoptionen->Sicherheit solltest du für die Zone Internet über den Button 'Stufe anpassen' im Feld 'Benutzerdefinierte Einstellungen zurücksetzen' die Einstellung 'Zurücksetzen zu Hoch' auswählen und dann 'Zurücksetzen' klicken. Die Warnmeldung bestätigst du und klickst dann 2x auf OK. Vertrauenswürdige Seiten, die nicht richtig angezeigt werden, kannst du dann sukzessive zu der Zone 'Vertrauenswürdige Sites' hinzufügen.


----------



## Anonymous (19 Dezember 2004)

*Exact Advertising Bargain Buddy*

Hallo, und vielen vielen Dank für Eure Mühe.
Ich muss die vielen Informationen jetzt erst mal verdauen. Ich merke dass ich wirklich keine Ahnung habe.
Also nochmals vielen Dank und erstmal schöne Weihnachten 
Gast 

  :-?


----------



## Anonymous (26 Dezember 2004)

hier ist das Thema was jetzt kommt:
http://forum.computerbetrug.de/viewtopic.php?t=8610
DAS ANLIEGEN:
Hallo.
Mein Norton AntiVirus 2004 findet Adware wie Bargain Buddy und noch viel mehr. Aber das löschen schlägt fast immer immer fehl, bis auf wenige Ausnahmen. Ich hab auch kein Verzeichnis wie "C.\Programme\Bargain.Buddy" oder so
Mit Spybot Search & Destroy und Ad-Aware kann ich die Einträge dieser Adware auch nicht löschen.
Wie krieg ich diese Adware von meinem PC runter?
Ich hab Windows 98. 

DIE ANTWORT VON EINEM GAST:
BargainBuddy ist ein a Browser Helper Object und mit dem IE verzahnt. Angeblich auch enthalten in Net2Phone. Vermutlich ist das Teil als Task im Hintergrund aktiv. CTRL-ALT-DEL und die Taskliste zu sehen, dann erstmal töten. Dann Adaware darauf los lassen. Oder versuch einmal beim PC-Start den abgesicherten Modus, ggf. mit der manuellen Auswahl der Dienste, die Du starten willst. Dann in eine DOS-Box wechseln und versuchen die Files löschen. U. U. von einer WIN98 Start-Diskette nur DOS starten und dann versuchen manuell die Files löschen. Latürnich steckt der Mist auch in der Registry. Angeblich soll eine Datei angelex.exe (oder auch adp.exe) dafür verantwortlich sein, dass die Einträge ständig resatauriert werden. Eine DLL apuc.dll scheint ab und an ebenfalls an dem Teil beteiligt zu sein. Die Namen hängen wohl davon ab, wie man sich das Teil eingefangen hat. Details zu den Registrierungseinträgen habe ich unter http://www.pestpatrol.com/PestInfo/B/BargainBuddy.asp gefunden. Vielleicht hilft es Dir weiter.



MEINE ANTWORT:
Im angesicherten Modus hab ich schon alle programme durchlaufen lassen. Kein weiterer Erfolg. Im taskfenster ist auch nix zu sehen. Bei der Norton Protokollanzeige stehen die Adware Produkte names Adware.BargainBuddy.
Dabei steht auch der Ort, andem sich diese datein Verstecken. Kann ich sie auch so löschen indem ich ihren Standort suche? Oder könnte es passieren, dass das System danach nicht mehr richtig arbeitet.
Oder guckt euch mal das Bild unten an.
Aufdem steht unten eine Beschreibung und Quelle. Aber dieses Verzeichnis namens C:/Programme/BullsEye Network/bin/bargains.exe gibt es garnicht auf meinem PC. Es ist eine komprimierte Datei.
Wie kann ich sie sichtbar machen?
In der registri finde ich keine Einträge. Wieso?


----------



## BenTigger (26 Dezember 2004)

Hast du alle hier beschriebenen Tips schon durchprobiert?


----------



## IT-Schrauber (26 Dezember 2004)

Bitte lade Dir einmal das Tool "HiJackThis" herunter, starte den Rechner neu im abgesicherten Modus, starte dann HiJackThis, klick auf "Scan" und speicher dann das erzeugte Logfile ab. Poste dann erneut hier und haeng das Logfile an.
Das erlaubt uns viel detailiertere und hilfreichere Antworten. Solltest Du zufaellig im Grossraum Dortmund oder Heidelberg wohnen, koennte ich auch persoenlich behilflich sein  (Dann solltest Du mir eine PN hier im Forum schreiben)


----------



## Anonymous (26 Dezember 2004)

Ja bis auf das mit DOS. Ich möcht nicht in DOS gehen, obwohl ich das in der Schule gelernt hab.(Betriebssystemkurs)
Ich will nur wissen, wie ich in diese geheimen, versteckten, komprimierten Ordner komme, um alles im Normalen Modus zu löschen.


----------



## Anonymous (26 Dezember 2004)

Sorry für den Doppelpost, aber ich kann hier nix editien:
Hier das Logfile.(schätze das es das ist.Ich hab dieses Programm net. mein Vater war vorhin mit dem Memorystick da)
Danke du brauchst nicht vorbeikommen.


----------



## Anonymous (3 Januar 2005)

Danke für die "vielen" Antworten.
Hab schon wieder nen Problem. Ich will erstmal, dass hier jemand antwortet, bevor ich mi zu viel mühe mache.
Realplayer bleibt immer hägen.


----------



## jupp11 (3 Januar 2005)

Anonymous schrieb:
			
		

> Ich will erstmal, dass hier jemand antwortet, bevor ich mi zu viel mühe mache.


er  *will* erst mal Anworten haben, bevor er sich viel "mühe"  macht, ein netter Zeitgenosse 
ich würd ihn am ausgestreckten Arm ....

j.


----------



## Anonymous (3 Januar 2005)

Sorry, aber ich hatte beim letzten mal mehr Hilfe erwartet. Da konnten mir die Leute von w*w.gta-action.com mehr helfen.


Hi Leute.
Ich hab letztens den PC defragmentiert und danach hatt Realplayer nicht mehr funktioniert. Kann auch nur Zufall sein. Ich bin ziehmlich wütend, denn Realplayer verursacht nur Fehler. Wenn ich auf das normale Realplayer-Symbol auf dem Desktop klicke öffner Realplayer, so wie er auch öffnen soll. Aber wenn ich Musik mit einem Realplayer-Symbol öffnen will, hängt sich der PC auf.
Erst läd er für 2 Sekunden und es kommt nichts. Dann nach 25 Sekunden kommt dieses Fenster(erstes Bild oben) mit der Fehlermeldung. Dann schließe ich das Fenster und versuche die Musikdatei nochmal zu öffnen. Dann bleibt Realplayer total hängen(zweites Bild oben). Und dann kommt das schlimmste Problem. Wenn ich jetzt einen Doppelklick auf eine Anwendung oder Datei mache, werden mir die Eigenschaften des angeklickten Objektes gezeigt. Ich will das angeklickte aber öffnen und nicht die Eigenschaften angezeigt kriegen.
UND DANN KOMMT ETWAS NOCH SCHLIMMERES
Angenommen ich mache Doppelklick auf Aktenkoffer. Dann werden mir die Eigenschaften angezeigt Ich schließe die Eigenschaften. Dann mache ich Doppelklick auf Arbeitsplatz.Dann werden mir die Eigenschaften angezeigt Ich schließe die Eigenschaften. Dann mache ich Doppelklick auf Internet Explorer.Dann werden mir die Eigenschaften angezeigt Ich schließe die Eigenschaften.
DANN MACHE ich aber eine Rechtsklick auf eine X-beliebige Anwendung/Datei und klicke auf öffnen. Dann wird nicht nur diese Anwendung/Datei geöffnet, sondern alle anderen Sachen die ich vorher mit Doppelklick öffnen wollte. Kopf vor Wand hau Also werden alle Anwendungen/Dateien geöffnet, von denen mir vorher die Eigenschaften gezeigt worden sind.

Das mit dem Problem mit dem Eigenschaften, statt öffnen geht est nach dem Neustart wieder weg.

DAS IST EINE SCHE***. DER PC IST SO OFT KAPUTT.

HIER die kompriemierten Bilder.

Kann mir einer sagen, wie ich das alles wieder richtig hinkrieg.
Ich hatte Realplayer ja schonmal deinstalliert und neuinstlliert. Das selbe Problem wieder.


----------



## BenTigger (3 Januar 2005)

Anonymous schrieb:
			
		

> Sorry, aber ich hatte beim letzten mal mehr Hilfe erwartet. Da konnten mir die Leute von w*w.gta-action.com mehr helfen.



Aehm HALLLLOOOOO ist dir bekannt WO du dich hier befindest??

Aehm das ist das Computerbetrug/Dialerschutzforum und nicht das kostenlose Supportforum für selbstverschuldete PC Fehler.  
Hier wird gerne geholfen, wenn sich jemand auskennt, aber keiner hat einen Anspruch auf  kostenlosen PC Problemsupport. Helfen musst du dir schon selbst und zumindest die Tips selbst umsetzen.


----------



## Counselor (3 Januar 2005)

Anonymous schrieb:
			
		

> Aber wenn ich Musik mit einem Realplayer-Symbol öffnen will, hängt sich der PC auf. Erst läd er für 2 Sekunden und es kommt nichts. Dann nach 25 Sekunden kommt dieses Fenster(erstes Bild oben) mit der Fehlermeldung. Dann schließe ich das Fenster und versuche die Musikdatei nochmal zu öffnen. Dann bleibt Realplayer total hängen(zweites Bild oben).


1) Ich habe keine Lust, mir RAR Software runterzuladen. Daher kann ich die Bilder nicht sehen. Lad Sie bitte als ZIP oder JPG hoch. 
2) Explorer -> Extras -> Ordneroptionen -> Dateitypen. Dort die Realplayer Dateiendung suchen und löschen. Anschließend die Musikdateien erneut mit dem Realplayer assoziieren.


			
				Anonymous schrieb:
			
		

> Wenn ich jetzt einen Doppelklick auf eine Anwendung oder Datei mache, werden mir die Eigenschaften des angeklickten Objektes gezeigt...


Das sind alles Folgefehler des obigen Fehlers. Wenn es so weit ist, dann hilft nur ein Neustart (manchmal auch ab- und anmelden).


----------



## Anonymous (3 Januar 2005)

Hier die Bilder.


----------



## Anonymous (3 Januar 2005)

h**p://gta-action.com/forum/thread.php?threadid=17018
???


----------



## Anonymous (3 Januar 2005)

Ist dein Profil dort ernst gemeint?


----------



## Anonymous (3 Januar 2005)

Wieso wollt ihr das wissen? Woher wisst ihr, dass ich der Typ seien soll?


----------



## Anonymous (3 Januar 2005)

nicht böse sein... ich finde nur links auf dubiose Seiten nicht fein.


----------



## Anonymous (10 Januar 2005)

[
hallo, habe ich auch neu gehabt. gott sei dank hatte ich ein sauberes image.
habe dann mit xp die ganze festplatte einschl. bootsektor formatiert. jetzt ist wieder alles i.o.


----------

