Spring naar inhoud

Guest's Foto
Welkom,
Guest
Wenst u zich te registreren?


Foto
- - - - -

vastlopen en/of geen verbinding internet en problemen met email


  • Dit onderwerp is gesloten Dit onderwerp is gesloten
32 reacties op dit onderwerp

#1 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 14 maart 2012 - 08:46


Beste helpers,

Sinds enkele weken problemen met verbinding krijgen met internet.
Ik gebruik Firefox. Mogelijk na een update van Firefox dat bepaalde instellingen zijn veranderd.
Soms wel even verbinding maar dan na 10min blijft ie hangen/loopt vast.
Via uitvoer> command> ipconfig/release en daarna ipconfig/renew werkt het weer.
Maar dat is natuurlijk geen normale gang van zaken.
Soort gelijk probleem met email. (Heeft volgens mij met zelfde euvel te maken)
Ik gebruik Incredi Mail. Vaak melding 'bewerking incompleet' of dat ik wachtwoord moet invoeren waar na ontvangen van mail wel gebeurd. Bij verzenden blijft post hangen in 'postvak uit' wederom met melding bewerking incompleet. De out-going poort is in sommige gevallen dan van 25 naar 587 versprongen.
Vele malen al scan uitgevoerd, maar wordt niks gevonden.
Hier alvast HijackThis log (waar ik verder geen verstand van heb welke regel een probleem zou kunnen vormen, mogelijk een Toolbar?)
MBAM scan vindt niks.

Iemand een idee waar het probleem zit en/of welke settings ik moet veranderen?
Alvast bedankt voor de moeite.
Bijgevoegd Bestand  mbam-log-2012-03-14 (08-16-28).txt   2,11KB   49 downloads

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Databaseversie: v2012.03.14.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Margret :: MARGRET-XXXXXX [administrator]

14-3-2012 8:16:28
mbam-log-2012-03-14 (08-16-28).txt

Scantype: Snelle scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM | P2P
Uitgeschakelde scanopties:
Objecten gescand: 176628
Verstreken tijd: 7 minuut/minuten, 43 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

(einde)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 7:39:55, on 14-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast....php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incre...m?a=1jR7ZZo3cSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast....php?rvs=hompag
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dutch.ircfast....php?rvs=hompag
R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5582 bytes

Bijgevoegde Bestanden


Bewerkt door MargretSteenbok, 14 maart 2012 - 21:39.
volledig scanlogbestandje ipv bijlagelink


#2 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 15 maart 2012 - 13:32

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator".
Selecteer “Do a system scan only”.
Vink alleen de items aan die hieronder zijn genoemd:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.
R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing)


Klik op 'Fix checked' om de items te verwijderen.
Plaats dan een nieuw logje.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#3 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 15 maart 2012 - 16:30

Beste Kweezie wabbit,
Bedankt voor je reactie.
Hier het logje na verwijderen van boven genoemde. Bij de eerste 3 items stond het achterste stuk tekst in het rood er niet achter. Heb ze toch verwijderd. Hoop dat dat niet onverstandig was?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:24:20, on 15-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\IncrediMail\Bin\IncMail.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4586 bytes

#4 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 16 maart 2012 - 12:23

Alles mooi opgeruimd :top:
Nu gaan we nog iets dieper graven naar "verstekelingen"

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op
  • Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
    Klik hier

    Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  • Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  • ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

    **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  • Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Geplaatste Afbeelding

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Geplaatste Afbeelding

Klik op Ja om verder te gaan met het scannen naar malware.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#5 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 16 maart 2012 - 13:57

Beste Kweezie wabbit,

Paar kleine puntjes die niet geheel volgens de aanwijzingen zijn verlopen.
- Weet niet zeker of alle beschermende prog's waren afgesloten
- Combofix werd niet op bureaublad opgeslagen maar werd wel uitgevoerd.
- Combofix prog wel gevonden, stond in de download lijst, heb snelkoppeling op bureau gemaakt (nadat het prog al had gescant) Er staat nu dus een snelkoppeling op bureaublad, en daarnaast staat ie dus nog steeds in de download lijst vanwaar het programma blijkbaar heeft gedraaid. (Denk ik)
- Combofix vroeg inderdaad om Microsoft Windows Recovery Console aanmaken omdat die er niet was of omdat ie geupdated moest worden. Beide schermen zijn verschenen. Beide op 'Ja' geklikt. Daarna scan laten uitvoeren. En log werd getoond. Deze heb ik iig handmatig op het bureaublad opgeslagen.

Ik weet dus niet hoe problematisch het is dat het prog Combofix niet op het bureaublad stond terwijl een scan werd uitgevoerd.
Hier iig het logje dat verscheen:

ComboFix 12-03-16.03 - Margret 16-03-2012 13:29:09.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.630 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\Downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Margret\Application Data\PriceGong
c:\documents and settings\Margret\WINDOWS
c:\windows\system32\roboot.exe
c:\windows\system32\SET17D.tmp
c:\windows\system32\SET189.tmp
c:\windows\system32\SET196.tmp
.
.
((((((((((((((((((((((((( Files Created from 2012-02-16 to 2012-03-16 )))))))))))))))))))))))))))))))
.
.
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [28-10-2011 19:35 2152152]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [28-10-2011 19:35 15232]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2012-03-16 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-10-28 18:35]
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://mystart.incredimail.com?a=1jR7ZZo3cSX
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-16 13:34
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2012-03-16 13:37:04
ComboFix-quarantined-files.txt 2012-03-16 12:37
.
Pre-Run: 64.832.512.000 bytes free
Post-Run: 65.092.272.128 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 6322E1464A0779C511E5760F8037771C

#6 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 16 maart 2012 - 14:30

Dit ziet er ook goed uit.

Hoe is met de vastlopers en de andere problemen?

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#7 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 16 maart 2012 - 14:47



De boel lijkt weer lekker soepel te lopen.
Geen vastlopers tijdens het surfen op internet gehad en incredimail heeft ook niet vervelend meer gedaan met incomplete bewerkingen of telkens zeuren om invoeren wachtwoord.
Ik zeg TOPPIE!!!!
Hoe handel ik nu verder qua Combofix? Verwijderen of laten staan?
Ik neem aan dat het dus niet zo problematisch was dat de uitvoer niet geheel volgens de opgegeven aanwijzingen zijn verlopen...?!

Voor nu lijkt alles weer soepel te lopen!
En daarvoor GROTE dank!!!!

---------- Post toegevoegd om 14:47 ---------- Vorige post was om 14:41 ----------

Als ik verder geen acties hoef te ondernemen, mag ik het topic als OPGELOST markeren?
Ik wacht nog even op laatste aanwijzingen.
Kweezie wabbit, hartelijk dank voor het onder de loep nemen van mijn probleem en het helpen oplossen!:adore:
:top:TOPPIE!!!:top:

Groetjes,:-)
Margret

#8 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 17 maart 2012 - 01:14

Ik heb te vroeg gejuicht vrees ik. Alles leek goed en soepel te lopen tot s'avonds.
Firefox liep weer vast. En ja hoor, ook Incredimail begon weer te sputteren.
Had live watch van Ad-aware weer enabled. Ook mediaget gaf meldingen over netwerkverbindingen die mogelijk tot problemen zouden kunnen leiden.
Beide wilde ik verwijderen om daarna opnieuw te instaleren. Was geen succes.
Herstelpunt uitgevoerd van vrijdag 22uur. Geen succes.
Toen herstel punt van donderdagmiddag dat ging wel goed en opnieuw een hijackthis scan uitgevoerd om de aangegeven 8items te verwijderen. Nog geen MBAM scan gedraait, kon net geen update doen. Gaf error.
Nu via de ipconfig bypass weer verbinding met internet, om de laatste bevindingen te kunnen plaatsen.
Morgen nog maar weer eens stoeien met de pc.
Wordt vervolgd...

#9 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 17 maart 2012 - 08:15

Maak eens een nieuw logje met hijackthis en ook eentje met combofix.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#10 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 17 maart 2012 - 10:08

Ha Kweezie wabbit,
Een goede morgen en bedankt voor de snelle reactie.
Zojuist een hijackscan en combofixscan uitgevoerd.
Ik denk zelf dat Adware antivirus het probleem was. Deze inmiddels met succes kunnen verwijderen.
Mediget echter nog niet kunnen verwijderen.
Maar nu met Adware gedeïnstaleerd 'lijkt' de boel weer te lopen.
Ik ontving ook weer email (van pchelpforum).
Heb nu twee andere antivirusprog's gedownload maar nog niet geinstalleerd.
Antivira en AVG. Nog aanbevelingen welke van de twee ik het beste kan gaan gebruiken?
Hier iig de twee logjes. Ik ben vanmiddag pas weer in de gelegenheid om met de pc te stoeien.
Alvast bedankt voor het werpen van een blik op de logjes.
(tot later in de middag?!)
Groeten Margret


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:36:27, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4343 bytes

ComboFix 12-03-16.03 - Margret 17-03-2012 9:46.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.618 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Margret\Application Data\PriceGong
c:\documents and settings\Margret\WINDOWS
C:\RECYCLER(2)
c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\Dc5(2)\InfoCenter-20120316.log
c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\INFO2
c:\windows\system32\roboot.exe
.
.
((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 )))))))))))))))))))))))))))))))
.
.
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://dutch.ircfast.com/nl/index.php?rvs=hompag
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file)
SafeBoot-Lavasoft Ad-Aware Service
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-17 09:50
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2012-03-17 09:52:57
ComboFix-quarantined-files.txt 2012-03-17 08:52
ComboFix2.txt 2012-03-16 12:37
.
Pre-Run: 64.537.923.584 bytes free
Post-Run: 64.544.993.280 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0A41AAAE4417B6EE96B8E25DC06BA16D

#11 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 17 maart 2012 - 10:44

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator".
Selecteer “Do a system scan only”.
Vink alleen de items aan die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware.
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized


Klik op 'Fix checked' om de items te verwijderen.

Probeer nu om mediaget te verwijderen.


Waarom gebruik je PCPitstop?

Verder zie ik sporen van ESET (ook een virusscanner)
Avira en AVG zijn allebei goede virusscanners. Ik gebruik zelf ook AVG.
Als je AVg gebruikt, heb je gelijk spyware bescherming en dan kan je spybot ook verwijderen.

Na alle verwijderingen en installaties doe je een registeropruiming.
Download CCleaner. (Als je het nog niet hebt)
Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op.
Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'.
Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”.
Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”.
Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”.
Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft.
Sluit hierna CCleaner terug af.
Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Maak dan nieuwe logjes van hijackthis en combofix.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#12 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 17 maart 2012 - 20:25

Beste Kweezie wabbit,

Heb (met je aanwijzingen en suggesties) weer met de pc gestoeid.
Onder andere vele overbodige prog's getracht te verwijderen en/of sporen daarvan.
(pc pitstop, eset, spy bot, mediaget, incredimail toolbar enzo)
In de lijst voor verwijderen/wijzigen van prog's valt incredimail toolbar niet te verwijderen. Reageert niet.
Op advies van het download center opnieuw geïnstalleerd om te kunnen verwijderen. Helaas, nog steeds zichtbaar en onverwijderbaar in de lijst met prog's.
Mediaget stond niet in deze lijst en kon ik op die wijze dus niet verwijderen.
Via zoeken wel locatiemap gevonden, maar bij eerdere succesloze verwijderpoging (gisteren) nu niet weer die mappen geprobeerd te verwijderen. In deze locatiemap overigens ook enige sporen van de andere genoemde prog's zien staan.
Nog niet getracht die vanuit daar te verwijderen (ivm allerlei tegen gesputter toen ik dat met mediaget probeerde te doen)

Het icoontje van MediaGet is nu inmiddels wel weg onder in de taakbalk na allerlei ccleaner uitvoeringen.
Heb ook weer Hijack (2×) en Combofix gedraaid, hier de logjes.
Ben benieuwd naar je bevindingen.
Ik zal nu AVG installeren (lijkt me wel wijsheid, anders kunnen we weer van voor af aan beginnen)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:05:43, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3825 bytes

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:32:47, on 17-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3858 bytes

ComboFix 12-03-16.03 - Margret 17-03-2012 19:36:53.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.668 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 )))))))))))))))))))))))))))))))
.
.
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-17 18:27 . 2012-03-17 18:27 16384 c:\windows\Temp\Perflib_Perfdata_108.dat
+ 2004-08-04 12:00 . 2012-03-17 18:31 76804 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2012-03-17 18:31 475770 c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-17 19:42
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(3008)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2012-03-17 19:44:21
ComboFix-quarantined-files.txt 2012-03-17 18:44
ComboFix2.txt 2012-03-17 08:52
ComboFix3.txt 2012-03-16 12:37
.
Pre-Run: 64.688.992.256 bytes free
Post-Run: 64.674.230.272 bytes beschikbaar
.
- - End Of File - - 7D2F94E08DACF62A3C738946F687CDB3



Alles werkt momenteel overigens wel, maar voor hoe lang...?

---------- Post toegevoegd om 20:25 ---------- Vorige post was om 20:15 ----------

Wel typisch dat bij de hijack van 19:06uur er End of file - 3825 bytes staat,
en bij de laatste scan om 19:33uur End of file - 3858 bytes ???

Na het installeren van AVG moet ik even bij tanken hoor. Het sleutelen aan de pc valt niet mee.
(Het is me wel duidelijk dat er heel wat sporen en troep van oude prog's her en der verscholen zitten)
Wederom alvast bedankt voor het bekijken van de log's en de adviezen.
Wordt vervolgd...

#13 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 18 maart 2012 - 07:44

Welke van onderstaande programma's mogen verdwijnen?

PCPitstop
Spotnet
PackageAware
ESET
Spybot - Search & Destroy
Media Get
MailFrontier
IncrediMail_MediaBar
Lavasoft Ad-Aware

Probeer ze eerst op de voorziene manier te verwijderen.
Ruim na de verwijderingen het register op met CCleaner.

Download CCleaner. (Als je het nog niet hebt)

Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op.
Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'.
Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”.
Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”.
Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”.
Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft.
Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Maak dan een nieuw logje met combofix om te zien welke restjes er nog moeten opgeruimd worden.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#14 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 18 maart 2012 - 10:51

Een goede morgen kweezie wabbit,

Wat mij betreft mogen ze allemaal weg.
Met voorziene manier verwijderen bedoel je via de lijst prog's verwijderen of wijzigen neem ik aan?
De enige die ik in deze lijst zie staan van het bovenstaande lijstje is de 'Incredimail mediabar toolbar' die zich vanuit hier niet laat verwijderen. Selecteren>verwijderen>....gebeurd niks.
In de Alle programma's lijst via Start > alle prog's zie ik ook geen een staan en dus geen uninstal mogelijkheid.
Waar ik nog onderdelen zie staan is: Deze computer> Lokal stadion (C:)>Documents and Settings> All Users & Margret > Application Data.
Is het toch mogelijk om de mappen die hier staan met de bovengenoemde prog's gewoon te verwijderen? (Want de mediaget map op deze wijze verwijderen wilde namelijk niet. Begon de pc tegen te sputteren.)
Dus als volgt te werk gaan: selecteren> verwijderen> prullenbak leegmaken> opnieuw opstarten> ccleaner erover heen.
(Eventueel de stap prullenbak leegmaken paar keer herhalen omdat die snel vol zal lopen)
Zou dit een optie zijn?
Ik ga het gewoon proberen en dan zie ik wel of de pc gaat tegen sputteren en met welke melding dat gepaard gaat.

---------- Post toegevoegd om 10:51 ---------- Vorige post was om 10:46 ----------

De Application Data map is overigens 'transparant'/in gebruik??. Als ik de map in ga zijn de mappen niet transparant/in gebruik??
Mogelijk dat daarom de pc gaat tegensputteren bij het pogen de mappen te verwijderen?
Moeilijk moeilijk moeilijk...
Ik ga het gewoon proberen. AVG overigens wel met succes geïnstalleerd vandaar dat wat mij betreft al het overbodige weg mag. AVG is al een zwaar genoeg programma. Geeft niks, als het maar goed werkt.

#15 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 18 maart 2012 - 11:27

We gaan proberen of we ze met combofix weg krijgen.

Open een nieuw kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Folder::
c:\documents and settings\All Users\Application Data\PCPitstop
c:\documents and settings\Margret\Local Settings\Application Data\Spotnet
c:\documents and settings\Margret\Local Settings\Application Data\PackageAware
c:\documents and settings\Margret\Local Settings\Application Data\ESET
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
c:\documents and settings\All Users\Application Data\Spotnet
c:\documents and settings\All Users\Application Data\Media Get LLC
c:\documents and settings\All Users\Application Data\MailFrontier
c:\documents and settings\All Users\Application Data\ESET
c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2
c:\program files\IncrediMail_MediaBar_Nederlands_2

Driver::
Lavasoft Kernexplore
Lavasoft helper driver

File::
c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys



Sla dit bestand op in de map c:\documents and settings\Margret\My Documents\downloads\ als CFScript

Sleep CFScript.txt in ComboFix.exe
Dit zal ComboFix doen herstarten. Start de pc opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#16 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 18 maart 2012 - 12:26

Beste Kweezie wabbit,

Ik was dus eigenhandig aan de slag gegaan om achterblijvers te verwijderen.
De werkwijze die ik heb gehanteerd was als volgt:
Via zoeken elk item opgezocht>bijbehorende map>elk item naar prullenbak>prullenbak geleegd.
In lijst van prog's wijzigen of verwijderen stond nog steeds de 'Incredimail toolbar' maar zowaar, ik kon 'm nu wel verwijderen, Yeej!
Via zoeken geen sporen/mappen/bestanden die corresponderen met de items namen gevonden.
Hijackscan uitgevoerd en log aangemaakt.
Dito voor Combofix, toen stuitte ik op een klein probleempje, vergeten AVG tijdelijk uit te schakelen, die detecteerde Combofix als bedreiging onder de naam Handle.3xe, in quarantaine geplaatst, maar combofix liep toen niet verder (logisch, wordt lastig in quarantaine), combofix gesloten, combofix hersteld uit de quarantaine van AVG, AVG tijdelijk uitgeschakeld, opnieuw combofix scan, logje gemaakt.
Op zich dus allemaal goed gegaan. Ik zie nu pas de aanwijzingen die ik 'eigenlijk?' had moeten volgen?
Ik plaats de logjes, onderneem niks, en wacht netjes advies af of bovengenoemde nog uitgevoerd dient te worden.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:34:48, on 18-3-2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17108)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
C:\Program Files\AVG\AVG2012\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\AVG\AVG2012\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
C:\Program Files\AVG\AVG2012\avgnsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\Bin\ImApp.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4666 bytes

ComboFix 12-03-16.03 - Margret 18-03-2012 11:54:01.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.560 [GMT 1:00]
Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
((((((((((((((((((((((((( Files Created from 2012-02-18 to 2012-03-18 )))))))))))))))))))))))))))))))
.
.
2012-03-17 19:35 . 2012-03-17 19:35 -------- d-----w- c:\documents and settings\Margret\Application Data\AVG2012
2012-03-17 19:31 . 2012-03-18 09:23 -------- d-----w- c:\windows\system32\drivers\AVG
2012-03-17 19:31 . 2012-03-17 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple
2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst
2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst
2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC
2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-16 19:56 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-03-18 09:17 . 2012-03-18 09:17 16384 c:\windows\Temp\Perflib_Perfdata_258.dat
+ 2004-08-04 12:00 . 2012-03-18 09:21 76804 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat
+ 2011-09-13 05:30 . 2011-09-13 05:30 32592 c:\windows\system32\drivers\avgrkx86.sys
+ 2011-08-08 05:08 . 2011-08-08 05:08 40016 c:\windows\system32\drivers\avgmfx86.sys
+ 2011-10-04 05:21 . 2011-10-04 05:21 16720 c:\windows\system32\drivers\AVGIDSShim.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 24272 c:\windows\system32\drivers\AVGIDSFilter.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 23120 c:\windows\system32\drivers\AVGIDSEH.sys
- 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2012-03-18 09:21 475770 c:\windows\system32\perfh009.dat
+ 2011-07-11 00:14 . 2011-07-11 00:14 295248 c:\windows\system32\drivers\avgtdix.sys
+ 2011-10-07 05:23 . 2011-10-07 05:23 230608 c:\windows\system32\drivers\avgldx86.sys
+ 2011-07-11 00:14 . 2011-07-11 00:14 134608 c:\windows\system32\drivers\AVGIDSDriver.sys
+ 2012-03-17 19:37 . 2012-03-17 19:37 2186240 c:\windows\Installer\3a202f.msi
+ 2012-03-17 19:32 . 2012-03-17 19:32 4698112 c:\windows\Installer\3a2027.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"=
"c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11-7-2011 1:14 23120]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13-9-2011 6:30 32592]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-10-2011 6:23 230608]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11-7-2011 1:14 295248]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2-8-2011 6:09 192776]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11-7-2011 1:14 134608]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11-7-2011 1:14 24272]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4-10-2011 6:21 16720]
S2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12-10-2011 6:25 4433248]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
.
Contents of the 'Scheduled Tasks' folder
.
2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
.
------- Supplementary Scan -------
.
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.54.40.25 212.54.35.25
FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-18 12:00
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(3212)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2012-03-18 12:02:14
ComboFix-quarantined-files.txt 2012-03-18 11:02
ComboFix2.txt 2012-03-17 18:44
ComboFix3.txt 2012-03-17 08:52
ComboFix4.txt 2012-03-16 12:37
.
Pre-Run: 64.295.280.640 bytes free
Post-Run: 64.281.935.872 bytes beschikbaar
.
- - End Of File - - C2D3A897A90FA5BD6018B63CF7D7FC06

Ik wacht het af.

---------- Post toegevoegd om 12:25 ---------- Vorige post was om 12:20 ----------

Oh ja, voor ik de hijack en combofix scan's had gedraaid heb ik ook eerst ccleaner er overheen gehaald.

---------- Post toegevoegd om 12:26 ---------- Vorige post was om 12:25 ----------

Ik zie een door jou genoemde lavasoft ad aware kernel, potverdikkie.

#17 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 18 maart 2012 - 12:43

Bij Folder en File heb ik aangegeven items niet gevonden.
Hoe of waar vind ik Driver:: ?
(Mijn laatste posts met meest recente logs lijken te zijn verdwenen, opnieuw plaatsen?)

---------- Post toegevoegd om 12:43 ---------- Vorige post was om 12:42 ----------

Oh nee, ik zie ze al.

#18 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 18 maart 2012 - 13:10

Hoi Kweezie wabbit,

Ik weer, heb via zoeken gezocht (alleen gezocht, niks ondernomen) naar de genoemde driver.
Niet gevonden.
Wel oude Northon Antivirus drivers uit 2006, die mogen wel weg neem ik aan?
Het surfen loopt trouwens wel goed (opbouwen pagina loopt mogelijk door AVG misschien wat langzaam, maar daar valt voor mij mee te leven) het werkt en loopt niet vast, dat is het belangrijkste, mail ook gewoon kunnen ontvangen.
Gezien dat oorspronkelijk mijn hulpvraag was. (En we nu toch iets van topic zijn geraakt xD?).
En ook voor die hulp uiteraard DANK!!!
Kan me ook voorstellen dat er meer mensen zijn die graag je hulp willen. (Dat ik niet je gehele aandacht opeis, is natuurlijk ook niet de bedoeling).
Internet en mailen loopt in principe...

#19 kweezie wabbit

kweezie wabbit

    Supervisor

  • Supervisor
  • 25726 berichten

Geplaatst 18 maart 2012 - 13:17

Open een nieuw kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::
c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys

Folder::
c:\program files\Lavasoft

Driver::
Lavasoft Kernexplore
Lavasoft helper driver



Sla dit bestand op in de map c:\documents and settings\Margret\My Documents\downloads\ als CFScript

Sleep CFScript.txt in ComboFix.exe
Dit zal ComboFix doen herstarten. Start de pc opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

In de firewall zitten nog regels voor incredimail.
Als je incredimail niet (meer) gebruikt, mag je deze regels ook verwijderen.

Als je tevreden bent over ons, vertel het dan aan gans de wereld.
Als je niet tevreden bent, vertel het dan alleen aan ons.


Bezoek onze VIDEOZONE: info in woord en beeld !


#20 MargretSteenbok

MargretSteenbok

    Lid

  • Lid
  • PipPip
  • 19 berichten

Geplaatst 18 maart 2012 - 13:41

Incredimail gebruik ik wel, dat is mijn email programma. (de toolbar bij internet was ongewenst)

Vanaf waar/welke locatie moet ik de vetgedrukte items: de driver, de map en het bestand kopiëren?
Moet ik die tekst vanuit je bericht hier kopiëren???? Kan het me haast niet voorstellen...
Een kladblokbestand openen, die stap lukt me, en dan...?




0 gebruiker(s) lezen dit onderwerp

0 leden, 0 gasten, 0 anonieme gebruikers

Over ons

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!