vastlopen en/of geen verbinding internet en problemen met email

Beste Kweezie wabbit,

Heb (met je aanwijzingen en suggesties) weer met de pc gestoeid.
Onder andere vele overbodige prog's getracht te verwijderen en/of sporen daarvan.
(pc pitstop, eset, spy bot, mediaget, incredimail toolbar enzo)
In de lijst voor verwijderen/wijzigen van prog's valt incredimail toolbar niet te verwijderen. Reageert niet.
Op advies van het download center opnieuw geïnstalleerd om te kunnen verwijderen. Helaas, nog steeds zichtbaar en onverwijderbaar in de lijst met prog's.
Mediaget stond niet in deze lijst en kon ik op die wijze dus niet verwijderen.
Via zoeken wel locatiemap gevonden, maar bij eerdere succesloze verwijderpoging (gisteren) nu niet weer die mappen geprobeerd te verwijderen. In deze locatiemap overigens ook enige sporen van de andere genoemde prog's zien staan.
Nog niet getracht die vanuit daar te verwijderen (ivm allerlei tegen gesputter toen ik dat met mediaget probeerde te doen)

Het icoontje van MediaGet is nu inmiddels wel weg onder in de taakbalk na allerlei ccleaner uitvoeringen.
Heb ook weer Hijack (2×) en Combofix gedraaid, hier de logjes.
Ben benieuwd naar je bevindingen.
Ik zal nu AVG installeren (lijkt me wel wijsheid, anders kunnen we weer van voor af aan beginnen)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:05:43, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3825 bytes

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:32:47, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3858 bytes

ComboFix 12-03-16.03 - Margret 17-03-2012 19:36:53.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.668 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 )))))))))))))))))))))))))))))))
.
.
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-17 18:27 . 2012-03-17 18:27 16384 c:\windows\Temp\Perflib_Perfdata_108.dat
+ 2004-08-04 12:00 . 2012-03-17 18:31 76804 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2012-03-17 18:31 475770 c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-17 19:42
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(3008)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2012-03-17 19:44:21
ComboFix-quarantined-files.txt 2012-03-17 18:44
ComboFix2.txt 2012-03-17 08:52
ComboFix3.txt 2012-03-16 12:37
.
Pre-Run: 64.688.992.256 bytes free
Post-Run: 64.674.230.272 bytes beschikbaar
.
- - End Of File - - 7D2F94E08DACF62A3C738946F687CDB3



Alles werkt momenteel overigens wel, maar voor hoe lang...?

---------- Post toegevoegd om 20:25 ---------- Vorige post was om 20:15 ----------

Wel typisch dat bij de hijack van 19:06uur er End of file - 3825 bytes staat,
en bij de laatste scan om 19:33uur End of file - 3858 bytes ???

Na het installeren van AVG moet ik even bij tanken hoor. Het sleutelen aan de pc valt niet mee.
(Het is me wel duidelijk dat er heel wat sporen en troep van oude prog's her en der verscholen zitten)
Wederom alvast bedankt voor het bekijken van de log's en de adviezen.
Wordt vervolgd...

Welke van onderstaande programma's mogen verdwijnen?

PCPitstop
Spotnet
PackageAware
ESET
Spybot - Search & Destroy
Media Get
MailFrontier
IncrediMail_MediaBar
Lavasoft Ad-Aware

Probeer ze eerst op de voorziene manier te verwijderen.
Ruim na de verwijderingen het register op met CCleaner.

Download CCleaner. (Als je het nog niet hebt)

Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op.
Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'.
Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”.
Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”.
Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”.
Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft.
Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Maak dan een nieuw logje met combofix om te zien welke restjes er nog moeten opgeruimd worden.

Een goede morgen kweezie wabbit,

Wat mij betreft mogen ze allemaal weg.
Met voorziene manier verwijderen bedoel je via de lijst prog's verwijderen of wijzigen neem ik aan?
De enige die ik in deze lijst zie staan van het bovenstaande lijstje is de 'Incredimail mediabar toolbar' die zich vanuit hier niet laat verwijderen. Selecteren>verwijderen>....gebeurd niks.
In de Alle programma's lijst via Start > alle prog's zie ik ook geen een staan en dus geen uninstal mogelijkheid.
Waar ik nog onderdelen zie staan is: Deze computer> Lokal stadion (C:)>Documents and Settings> All Users & Margret > Application Data.
Is het toch mogelijk om de mappen die hier staan met de bovengenoemde prog's gewoon te verwijderen? (Want de mediaget map op deze wijze verwijderen wilde namelijk niet. Begon de pc tegen te sputteren.)
Dus als volgt te werk gaan: selecteren> verwijderen> prullenbak leegmaken> opnieuw opstarten> ccleaner erover heen.
(Eventueel de stap prullenbak leegmaken paar keer herhalen omdat die snel vol zal lopen)
Zou dit een optie zijn?
Ik ga het gewoon proberen en dan zie ik wel of de pc gaat tegen sputteren en met welke melding dat gepaard gaat.

---------- Post toegevoegd om 10:51 ---------- Vorige post was om 10:46 ----------

De Application Data map is overigens 'transparant'/in gebruik??. Als ik de map in ga zijn de mappen niet transparant/in gebruik??
Mogelijk dat daarom de pc gaat tegensputteren bij het pogen de mappen te verwijderen?
Moeilijk moeilijk moeilijk...
Ik ga het gewoon proberen. AVG overigens wel met succes geïnstalleerd vandaar dat wat mij betreft al het overbodige weg mag. AVG is al een zwaar genoeg programma. Geeft niks, als het maar goed werkt.

We gaan proberen of we ze met combofix weg krijgen.

Open een nieuw kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Folder::
c:\documents and settings\All Users\Application Data\PCPitstop
c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
c:\documents and settings\Margret\Local Settings\Application Data\ESET
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spotnet
c:\documents and settings\All Users\Application Data\Media Get LLC
c:\documents and settings\All Users\Application Data\MailFrontier
c:\documents and settings\All Users\Application Data\ESET
c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
c:\program files\IncrediMail_MediaBar_Nederlands_2

Driver::
Lavasoft Kernexplore
Lavasoft helper driver

File::
c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys


Sla dit bestand op in de map c:\documents and settings\Margret\My Documents\downloads\ als CFScript

Sleep CFScript.txt in ComboFix.exe
Dit zal ComboFix doen herstarten. Start de pc opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Beste Kweezie wabbit,

Ik was dus eigenhandig aan de slag gegaan om achterblijvers te verwijderen.
De werkwijze die ik heb gehanteerd was als volgt:
Via zoeken elk item opgezocht>bijbehorende map>elk item naar prullenbak>prullenbak geleegd.
In lijst van prog's wijzigen of verwijderen stond nog steeds de 'Incredimail toolbar' maar zowaar, ik kon 'm nu wel verwijderen, Yeej!
Via zoeken geen sporen/mappen/bestanden die corresponderen met de items namen gevonden.
Hijackscan uitgevoerd en log aangemaakt.
Dito voor Combofix, toen stuitte ik op een klein probleempje, vergeten AVG tijdelijk uit te schakelen, die detecteerde Combofix als bedreiging onder de naam Handle.3xe, in quarantaine geplaatst, maar combofix liep toen niet verder (logisch, wordt lastig in quarantaine), combofix gesloten, combofix hersteld uit de quarantaine van AVG, AVG tijdelijk uitgeschakeld, opnieuw combofix scan, logje gemaakt.
Op zich dus allemaal goed gegaan. Ik zie nu pas de aanwijzingen die ik 'eigenlijk?' had moeten volgen?
Ik plaats de logjes, onderneem niks, en wacht netjes advies af of bovengenoemde nog uitgevoerd dient te worden.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:34:48, on 18-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
C:\Program Files\AVG\AVG2012\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\AVG\AVG2012\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
C:\Program Files\AVG\AVG2012\avgnsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4666 bytes

ComboFix 12-03-16.03 - Margret 18-03-2012 11:54:01.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.560 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((( Files Created from 2012-02-18 to 2012-03-18 )))))))))))))))))))))))))))))))
.
.
2012-03-17 19:35 . 2012-03-17 19:35 -------- d-----w- c:\documents and settings\Margret\Application Data\AVG2012
2012-03-17 19:31 . 2012-03-18 09:23 -------- d-----w- c:\windows\system32\drivers\AVG
2012-03-17 19:31 . 2012-03-17 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-16 19:56 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-18 09:17 . 2012-03-18 09:17 16384 c:\windows\Temp\Perflib_Perfdata_258.dat
+ 2004-08-04 12:00 . 2012-03-18 09:21 76804 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat
+ 2011-09-13 05:30 . 2011-09-13 05:30 32592 c:\windows\system32\drivers\avgrkx86.sys
+ 2011-08-08 05:08 . 2011-08-08 05:08 40016 c:\windows\system32\drivers\avgmfx86.sys
+ 2011-10-04 05:21 . 2011-10-04 05:21 16720 c:\windows\system32\drivers\AVGIDSShim.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 24272 c:\windows\system32\drivers\AVGIDSFilter.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 23120 c:\windows\system32\drivers\AVGIDSEH.sys
- 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2012-03-18 09:21 475770 c:\windows\system32\perfh009.dat
+ 2011-07-11 00:14 . 2011-07-11 00:14 295248 c:\windows\system32\drivers\avgtdix.sys
+ 2011-10-07 05:23 . 2011-10-07 05:23 230608 c:\windows\system32\drivers\avgldx86.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 134608 c:\windows\system32\drivers\AVGIDSDriver.sys
+ 2012-03-17 19:37 . 2012-03-17 19:37 2186240 c:\windows\Installer\3a202f.msi
+ 2012-03-17 19:32 . 2012-03-17 19:32 4698112 c:\windows\Installer\3a2027.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11-7-2011 1:14 23120]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13-9-2011 6:30 32592]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-10-2011 6:23 230608]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11-7-2011 1:14 295248]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2-8-2011 6:09 192776]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11-7-2011 1:14 134608]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11-7-2011 1:14 24272]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4-10-2011 6:21 16720]
S2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12-10-2011 6:25 4433248]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-18 12:00
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(3212)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2012-03-18 12:02:14
ComboFix-quarantined-files.txt 2012-03-18 11:02
ComboFix2.txt 2012-03-17 18:44
ComboFix3.txt 2012-03-17 08:52
ComboFix4.txt 2012-03-16 12:37
.
Pre-Run: 64.295.280.640 bytes free
Post-Run: 64.281.935.872 bytes beschikbaar
.
- - End Of File - - C2D3A897A90FA5BD6018B63CF7D7FC06

Ik wacht het af.

---------- Post toegevoegd om 12:25 ---------- Vorige post was om 12:20 ----------

Oh ja, voor ik de hijack en combofix scan's had gedraaid heb ik ook eerst ccleaner er overheen gehaald.

---------- Post toegevoegd om 12:26 ---------- Vorige post was om 12:25 ----------

Ik zie een door jou genoemde lavasoft ad aware kernel, potverdikkie.

Bij Folder en File heb ik aangegeven items niet gevonden.
Hoe of waar vind ik Driver:: ?
(Mijn laatste posts met meest recente logs lijken te zijn verdwenen, opnieuw plaatsen?)

---------- Post toegevoegd om 12:43 ---------- Vorige post was om 12:42 ----------

Oh nee, ik zie ze al.

Hoi Kweezie wabbit,

Ik weer, heb via zoeken gezocht (alleen gezocht, niks ondernomen) naar de genoemde driver.
Niet gevonden.
Wel oude Northon Antivirus drivers uit 2006, die mogen wel weg neem ik aan?
Het surfen loopt trouwens wel goed (opbouwen pagina loopt mogelijk door AVG misschien wat langzaam, maar daar valt voor mij mee te leven) het werkt en loopt niet vast, dat is het belangrijkste, mail ook gewoon kunnen ontvangen.
Gezien dat oorspronkelijk mijn hulpvraag was. (En we nu toch iets van topic zijn geraakt ?).
En ook voor die hulp uiteraard DANK!!!
Kan me ook voorstellen dat er meer mensen zijn die graag je hulp willen. (Dat ik niet je gehele aandacht opeis, is natuurlijk ook niet de bedoeling).
Internet en mailen loopt in principe...

Open een nieuw kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::
c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys

Folder::
c:\program files\Lavasoft

Driver::
Lavasoft Kernexplore
Lavasoft helper driver


Sla dit bestand op in de map c:\documents and settings\Margret\My Documents\downloads\ als CFScript

Sleep CFScript.txt in ComboFix.exe
Dit zal ComboFix doen herstarten. Start de pc opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

In de firewall zitten nog regels voor incredimail.
Als je incredimail niet (meer) gebruikt, mag je deze regels ook verwijderen.

Incredimail gebruik ik wel, dat is mijn email programma. (de toolbar bij internet was ongewenst)

Vanaf waar/welke locatie moet ik de vetgedrukte items: de driver, de map en het bestand kopiëren?
Moet ik die tekst vanuit je bericht hier kopiëren???? Kan het me haast niet voorstellen...
Een kladblokbestand openen, die stap lukt me, en dan...?