vastlopen en/of geen verbinding internet en problemen met email

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator".
Selecteer “Do a system scan only”.
Vink alleen de items aan die hieronder zijn genoemd:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.
R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.
Plaats dan een nieuw logje.

Beste Kweezie wabbit,
Bedankt voor je reactie.
Hier het logje na verwijderen van boven genoemde. Bij de eerste 3 items stond het achterste stuk tekst in het rood er niet achter. Heb ze toch verwijderd. Hoop dat dat niet onverstandig was?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:24:20, on 15-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\IncrediMail\Bin\IncMail.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4586 bytes

Alles mooi opgeruimd
Nu gaan we nog iets dieper graven naar "verstekelingen"

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
  Klik hier
  
  Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
• Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
  
  **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
• Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:



Klik op Ja om verder te gaan met het scannen naar malware.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Beste Kweezie wabbit,

Paar kleine puntjes die niet geheel volgens de aanwijzingen zijn verlopen.
- Weet niet zeker of alle beschermende prog's waren afgesloten
- Combofix werd niet op bureaublad opgeslagen maar werd wel uitgevoerd.
- Combofix prog wel gevonden, stond in de download lijst, heb snelkoppeling op bureau gemaakt (nadat het prog al had gescant) Er staat nu dus een snelkoppeling op bureaublad, en daarnaast staat ie dus nog steeds in de download lijst vanwaar het programma blijkbaar heeft gedraaid. (Denk ik)
- Combofix vroeg inderdaad om Microsoft Windows Recovery Console aanmaken omdat die er niet was of omdat ie geupdated moest worden. Beide schermen zijn verschenen. Beide op 'Ja' geklikt. Daarna scan laten uitvoeren. En log werd getoond. Deze heb ik iig handmatig op het bureaublad opgeslagen.

Ik weet dus niet hoe problematisch het is dat het prog Combofix niet op het bureaublad stond terwijl een scan werd uitgevoerd.
Hier iig het logje dat verscheen:

ComboFix 12-03-16.03 - Margret 16-03-2012 13:29:09.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.630 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\Downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Margret\Application Data\PriceGong
c:\documents and settings\Margret\WINDOWS
c:\windows\system32\roboot.exe
c:\windows\system32\SET17D.tmp
c:\windows\system32\SET189.tmp
c:\windows\system32\SET196.tmp
.
.
((((((((((((((((((((((((( Files Created from 2012-02-16 to 2012-03-16 )))))))))))))))))))))))))))))))
.
.
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [28-10-2011 19:35 2152152]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [28-10-2011 19:35 15232]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2012-03-16 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-10-28 18:35]
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://mystart.incredimail.com?a=1jR7ZZo3cSX
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-16 13:34
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2012-03-16 13:37:04
ComboFix-quarantined-files.txt 2012-03-16 12:37
.
Pre-Run: 64.832.512.000 bytes free
Post-Run: 65.092.272.128 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 6322E1464A0779C511E5760F8037771C

Dit ziet er ook goed uit.

Hoe is met de vastlopers en de andere problemen?

De boel lijkt weer lekker soepel te lopen.
Geen vastlopers tijdens het surfen op internet gehad en incredimail heeft ook niet vervelend meer gedaan met incomplete bewerkingen of telkens zeuren om invoeren wachtwoord.
Ik zeg TOPPIE!!!!
Hoe handel ik nu verder qua Combofix? Verwijderen of laten staan?
Ik neem aan dat het dus niet zo problematisch was dat de uitvoer niet geheel volgens de opgegeven aanwijzingen zijn verlopen...?!

Voor nu lijkt alles weer soepel te lopen!
En daarvoor GROTE dank!!!!

---------- Post toegevoegd om 14:47 ---------- Vorige post was om 14:41 ----------

Als ik verder geen acties hoef te ondernemen, mag ik het topic als OPGELOST markeren?
Ik wacht nog even op laatste aanwijzingen.
Kweezie wabbit, hartelijk dank voor het onder de loep nemen van mijn probleem en het helpen oplossen!
TOPPIE!!!

Groetjes,
Margret

Ik heb te vroeg gejuicht vrees ik. Alles leek goed en soepel te lopen tot s'avonds.
Firefox liep weer vast. En ja hoor, ook Incredimail begon weer te sputteren.
Had live watch van Ad-aware weer enabled. Ook mediaget gaf meldingen over netwerkverbindingen die mogelijk tot problemen zouden kunnen leiden.
Beide wilde ik verwijderen om daarna opnieuw te instaleren. Was geen succes.
Herstelpunt uitgevoerd van vrijdag 22uur. Geen succes.
Toen herstel punt van donderdagmiddag dat ging wel goed en opnieuw een hijackthis scan uitgevoerd om de aangegeven 8items te verwijderen. Nog geen MBAM scan gedraait, kon net geen update doen. Gaf error.
Nu via de ipconfig bypass weer verbinding met internet, om de laatste bevindingen te kunnen plaatsen.
Morgen nog maar weer eens stoeien met de pc.
Wordt vervolgd...

Maak eens een nieuw logje met hijackthis en ook eentje met combofix.

Ha Kweezie wabbit,
Een goede morgen en bedankt voor de snelle reactie.
Zojuist een hijackscan en combofixscan uitgevoerd.
Ik denk zelf dat Adware antivirus het probleem was. Deze inmiddels met succes kunnen verwijderen.
Mediget echter nog niet kunnen verwijderen.
Maar nu met Adware gedeïnstaleerd 'lijkt' de boel weer te lopen.
Ik ontving ook weer email (van pchelpforum).
Heb nu twee andere antivirusprog's gedownload maar nog niet geinstalleerd.
Antivira en AVG. Nog aanbevelingen welke van de twee ik het beste kan gaan gebruiken?
Hier iig de twee logjes. Ik ben vanmiddag pas weer in de gelegenheid om met de pc te stoeien.
Alvast bedankt voor het werpen van een blik op de logjes.
(tot later in de middag?!)
Groeten Margret


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:36:27, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4343 bytes

ComboFix 12-03-16.03 - Margret 17-03-2012 9:46.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.618 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Margret\Application Data\PriceGong
c:\documents and settings\Margret\WINDOWS
C:\RECYCLER(2)
c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\Dc5(2)\InfoCenter-20120316.log
c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\INFO2
c:\windows\system32\roboot.exe
.
.
((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 )))))))))))))))))))))))))))))))
.
.
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://dutch.ircfast.com/nl/index.php?rvs=hompag
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)
SafeBoot-Lavasoft Ad-Aware Service
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-17 09:50
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2012-03-17 09:52:57
ComboFix-quarantined-files.txt 2012-03-17 08:52
ComboFix2.txt 2012-03-16 12:37
.
Pre-Run: 64.537.923.584 bytes free
Post-Run: 64.544.993.280 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0A41AAAE4417B6EE96B8E25DC06BA16D