vastlopen en/of geen verbinding internet en problemen met email

Beste helpers,

Sinds enkele weken problemen met verbinding krijgen met internet.

Ik gebruik Firefox. Mogelijk na een update van Firefox dat bepaalde instellingen zijn veranderd.

Soms wel even verbinding maar dan na 10min blijft ie hangen/loopt vast.

Via uitvoer> command> ipconfig/release en daarna ipconfig/renew werkt het weer.

Maar dat is natuurlijk geen normale gang van zaken.

Soort gelijk probleem met email. (Heeft volgens mij met zelfde euvel te maken)

Ik gebruik Incredi Mail. Vaak melding 'bewerking incompleet' of dat ik wachtwoord moet invoeren waar na ontvangen van mail wel gebeurd. Bij verzenden blijft post hangen in 'postvak uit' wederom met melding bewerking incompleet. De out-going poort is in sommige gevallen dan van 25 naar 587 versprongen.

Vele malen al scan uitgevoerd, maar wordt niks gevonden.

Hier alvast HijackThis log (waar ik verder geen verstand van heb welke regel een probleem zou kunnen vormen, mogelijk een Toolbar?)

MBAM scan vindt niks.

Iemand een idee waar het probleem zit en/of welke settings ik moet veranderen?

Alvast bedankt voor de moeite.

mbam-log-2012-03-14 (08-16-28).txt

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

Databaseversie: v2012.03.14.01

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Margret :: MARGRET-XXXXXX [administrator]

14-3-2012 8:16:28

mbam-log-2012-03-14 (08-16-28).txt

Scantype: Snelle scan

Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM | P2P

Uitgeschakelde scanopties:

Objecten gescand: 176628

Verstreken tijd: 7 minuut/minuten, 43 seconde(n)

Geheugenprocessen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

(einde)

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 7:39:55, on 14-3-2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17108)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\IncrediMail\bin\IncMail.exe

C:\Program Files\IncrediMail\Bin\ImApp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com?a=1jR7ZZo3cSX

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag

R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 5582 bytes

hijackthis scanlog wo 14mrt2012.txt

14 maart 2012 aangepast door MargretSteenbok
volledig scanlogbestandje ipv bijlagelink

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator".

Selecteer “Do a system scan only”.

Vink alleen de items aan die hieronder zijn genoemd:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.

R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Plaats dan een nieuw logje.

Beste Kweezie wabbit,

Bedankt voor je reactie.

Hier het logje na verwijderen van boven genoemde. Bij de eerste 3 items stond het achterste stuk tekst in het rood er niet achter. Heb ze toch verwijderd. Hoop dat dat niet onverstandig was?

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:24:20, on 15-3-2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17108)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\IncrediMail\Bin\ImApp.exe

C:\Program Files\IncrediMail\Bin\IncMail.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 4586 bytes

Alles mooi opgeruimd

Nu gaan we nog iets dieper graven naar "verstekelingen"

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
  Klik hier
  Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  
• Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
  **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  
• Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
  

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Beste Kweezie wabbit,

Paar kleine puntjes die niet geheel volgens de aanwijzingen zijn verlopen.

- Weet niet zeker of alle beschermende prog's waren afgesloten

- Combofix werd niet op bureaublad opgeslagen maar werd wel uitgevoerd.

- Combofix prog wel gevonden, stond in de download lijst, heb snelkoppeling op bureau gemaakt (nadat het prog al had gescant) Er staat nu dus een snelkoppeling op bureaublad, en daarnaast staat ie dus nog steeds in de download lijst vanwaar het programma blijkbaar heeft gedraaid. (Denk ik)

- Combofix vroeg inderdaad om Microsoft Windows Recovery Console aanmaken omdat die er niet was of omdat ie geupdated moest worden. Beide schermen zijn verschenen. Beide op 'Ja' geklikt. Daarna scan laten uitvoeren. En log werd getoond. Deze heb ik iig handmatig op het bureaublad opgeslagen.

Ik weet dus niet hoe problematisch het is dat het prog Combofix niet op het bureaublad stond terwijl een scan werd uitgevoerd.

Hier iig het logje dat verscheen:

ComboFix 12-03-16.03 - Margret 16-03-2012 13:29:09.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.630 [GMT 1:00]

Running from: c:\documents and settings\Margret\My Documents\Downloads\ComboFix.exe

AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\Margret\Application Data\PriceGong

c:\documents and settings\Margret\WINDOWS

c:\windows\system32\roboot.exe

c:\windows\system32\SET17D.tmp

c:\windows\system32\SET189.tmp

c:\windows\system32\SET196.tmp

.

.

((((((((((((((((((((((((( Files Created from 2012-02-16 to 2012-03-16 )))))))))))))))))))))))))))))))

.

.

2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst

2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst

2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys

2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe

2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator

2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator

2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2

2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2

2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC

2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner

2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll

2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys

2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys

2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl

2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl

2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll

2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

.

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-08 53248]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=

"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=

.

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]

R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [28-10-2011 19:35 2152152]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]

S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [28-10-2011 19:35 15232]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]

.

Contents of the 'Scheduled Tasks' folder

.

2012-03-16 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-10-28 18:35]

.

2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://mystart.incredimail.com?a=1jR7ZZo3cSX

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 212.54.40.25 212.54.35.25

FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - about:home

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHANS REMOVED - - - -

.

WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-16 13:34

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

Completion time: 2012-03-16 13:37:04

ComboFix-quarantined-files.txt 2012-03-16 12:37

.

Pre-Run: 64.832.512.000 bytes free

Post-Run: 65.092.272.128 bytes free

.

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 6322E1464A0779C511E5760F8037771C

Dit ziet er ook goed uit.

Hoe is met de vastlopers en de andere problemen?

De boel lijkt weer lekker soepel te lopen.

Geen vastlopers tijdens het surfen op internet gehad en incredimail heeft ook niet vervelend meer gedaan met incomplete bewerkingen of telkens zeuren om invoeren wachtwoord.

Ik zeg TOPPIE!!!!

Hoe handel ik nu verder qua Combofix? Verwijderen of laten staan?

Ik neem aan dat het dus niet zo problematisch was dat de uitvoer niet geheel volgens de opgegeven aanwijzingen zijn verlopen...?!

Voor nu lijkt alles weer soepel te lopen!

En daarvoor GROTE dank!!!!

---------- Post toegevoegd om 14:47 ---------- Vorige post was om 14:41 ----------

Als ik verder geen acties hoef te ondernemen, mag ik het topic als OPGELOST markeren?

Ik wacht nog even op laatste aanwijzingen.

Kweezie wabbit, hartelijk dank voor het onder de loep nemen van mijn probleem en het helpen oplossen!

:top:TOPPIE!!!

Groetjes,

Margret

Ik heb te vroeg gejuicht vrees ik. Alles leek goed en soepel te lopen tot s'avonds.

Firefox liep weer vast. En ja hoor, ook Incredimail begon weer te sputteren.

Had live watch van Ad-aware weer enabled. Ook mediaget gaf meldingen over netwerkverbindingen die mogelijk tot problemen zouden kunnen leiden.

Beide wilde ik verwijderen om daarna opnieuw te instaleren. Was geen succes.

Herstelpunt uitgevoerd van vrijdag 22uur. Geen succes.

Toen herstel punt van donderdagmiddag dat ging wel goed en opnieuw een hijackthis scan uitgevoerd om de aangegeven 8items te verwijderen. Nog geen MBAM scan gedraait, kon net geen update doen. Gaf error.

Nu via de ipconfig bypass weer verbinding met internet, om de laatste bevindingen te kunnen plaatsen.

Morgen nog maar weer eens stoeien met de pc.

Wordt vervolgd...

Maak eens een nieuw logje met hijackthis en ook eentje met combofix.

Ha Kweezie wabbit,

Een goede morgen en bedankt voor de snelle reactie.

Zojuist een hijackscan en combofixscan uitgevoerd.

Ik denk zelf dat Adware antivirus het probleem was. Deze inmiddels met succes kunnen verwijderen.

Mediget echter nog niet kunnen verwijderen.

Maar nu met Adware gedeïnstaleerd 'lijkt' de boel weer te lopen.

Ik ontving ook weer email (van pchelpforum).

Heb nu twee andere antivirusprog's gedownload maar nog niet geinstalleerd.

Antivira en AVG. Nog aanbevelingen welke van de twee ik het beste kan gaan gebruiken?

Hier iig de twee logjes. Ik ben vanmiddag pas weer in de gelegenheid om met de pc te stoeien.

Alvast bedankt voor het werpen van een blik op de logjes.

(tot later in de middag?!)

Groeten Margret

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 9:36:27, on 17-3-2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17108)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\IncrediMail\bin\IncMail.exe

C:\Program Files\IncrediMail\Bin\ImApp.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 4343 bytes

ComboFix 12-03-16.03 - Margret 17-03-2012 9:46.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.618 [GMT 1:00]

Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe

AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\Margret\Application Data\PriceGong

c:\documents and settings\Margret\WINDOWS

C:\RECYCLER(2)

c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\Dc5(2)\InfoCenter-20120316.log

c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\INFO2

c:\windows\system32\roboot.exe

.

.

((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 )))))))))))))))))))))))))))))))

.

.

2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository

2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET

2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU

2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst

2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst

2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys

2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe

2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator

2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator

2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2

2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2

2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC

2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner

2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll

2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys

2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys

2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl

2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl

2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll

2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

.

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VTTimer"="VTTimer.exe" [2005-03-08 53248]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=

"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=

.

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]

S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]

.

Contents of the 'Scheduled Tasks' folder

.

2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

.

.

------- Supplementary Scan -------

.

mStart Page = hxxp://dutch.ircfast.com/nl/index.php?rvs=hompag

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 212.54.40.25 212.54.35.25

FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - about:home

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHANS REMOVED - - - -

.

WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)

SafeBoot-Lavasoft Ad-Aware Service

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-17 09:50

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

Completion time: 2012-03-17 09:52:57

ComboFix-quarantined-files.txt 2012-03-17 08:52

ComboFix2.txt 2012-03-16 12:37

.

Pre-Run: 64.537.923.584 bytes free

Post-Run: 64.544.993.280 bytes free

.

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 0A41AAAE4417B6EE96B8E25DC06BA16D