MargretSteenbok
-
Items
19 -
Registratiedatum
-
Laatst bezocht
Inhoudstype
Profielen
Forums
Store
Alles dat geplaatst werd door MargretSteenbok
-
Aaah, thanx for the flowers! ;-) En wie weet tot ziens in de huiskamer of mailbox. Signing off! Margret
-
Een goede smorgens Kweezie wabbit, Als ik het goed begrijp is nu dus alles wat nog gedaan diende te worden uitgevoerd. Dat het een verkoop strategie van AVG is, nam ik al aan. Wilde toch even checken of het niet al teveel kwaad kon en zo ik begrijp handelt CCleaner deze fouten al af. Gelukkig. Dan ben ik voor nu helemaal uit de brand geholpen. Alles werkt weer naar wens en behoren. De laatste verwijder stappen uitgevoerd. Ik kan weer computerplezier ervaren ! Dank je wel! En wie weet tot een volgende keer (wat ik voorlopig natuurlijk niet hoop). Groetjes, Margret
-
Hoi Kweezie wabbit, - Combofix volgens de aanwijzingen succesvol verwijderd (moest wel AVG weer ff uitschakelen). - Geen map C:\Qoobox kunnen vinden via zoeken (dus was/is er waarschijnlijk niet of niet meer). - Hijackthis vanuit 'prog lijst wijzigen of verwijderen' verwijderd (zonder een kundig iemand die meekijkt kan ik daar verder toch niet zoveel mee) - MBAM ge-update en snele scan gedraaid, niets gevonden - CCleaner bleek een nieuwe versie van te zijn, oude 3.15 verwijderd en nieuwe 3.16 geïnstalleerd, laten zoeken naar fouten en schoonmaken, ook in het register. Daar gaf hij aan(bij eerdere schoonmaakbeurten trouwens ook) dat bepaalde fouten niet hersteld/verwijderd konden worden. Geboden oplossing luidde dan: Verwijder registersleutel of Verwijder registerwaarden. Wanneer ik door ging met herstellen/schoonmaken werden ze echter niet meer getoond. Zijn ze dan toch verwijderd/hersteld/schoongemaakt? Of moet ik dat dan toch op de vetgedrukte manieren zelf doen? Zo ja, (toch zelf moeten doen) hoe gaat dat dan in zijn werk? het verwijderen van registerwaarden en/of registersleutels? Kan ik hier beter een nieuwe discussie voor openen in een andere discussielijn neem ik aan? Dan nog een ander daaraan gerelateerd puntje (van zo'n +/- 801 stuks). Met de AVG een pc analyse laten uitvoeren en daar werden dus 801 fouten gevonden van oude sporen/sleutels/resten en dergelijken. Echter voor het kunnen repareren werd naar de betaalversie van AVG verwezen. Kan CCleaner dat niet? Ik heb naast een AVG pc analyse ook een AVG scan uitgevoerd, die had verder geen bedreigingen gevonden. Dito voor MBAB, geen geïnfecteerde bestanden gevonden. Volgens de AVG pc analyse nog een heleboel oude achtergebleven sporen/restjes/registersleutels/registerwaarden heb ik de indruk. De computer loopt verder nog steeds naar wens. Ik kan mailen en mail ontvangen zonder gedoe met Bewerking incompleet of poorten die uit zichzelf verspringen of gejengel om wachtwoord invoeren. Ik kan ook gewoon het internet op zonder dat hij na 10minuten of na drie keer van site te zijn veranderd vastloopt. Voorlopig even zo laten? Dat ik me een volgende keer op het verwijderen van oude registersleutels en/of registerwaarden ga buigen? kweetnie hoe ingewikkeld die procedure is. Ik wacht een laatste raad/advies/tip nog even af. Groetjes, Margret
-
Oeps , sorry dat ik zo voorbarig was met het sluiten van de discussie. Heb de pc pas net weer aan na de laatste pc-stoei sessie van gistermiddag. Ik heb dus nog aardig wat pc gesleutel voor de boeg zo ik lees. Daar zal ik morgen werk van maken. Mocht ik daarbij nog tegen probleempjes of onduidelijkheden lopen, zal ik het melden. Als ik alle genoemde stappen goed heb kunnen afronden en doorlopen laat ik het uiteraard ook weten, waarna ik de discussie netjes zal afsluiten. Bedankt voor het heropenen en het attenderen op de nog te verrichten werkzaamheden. Het zou jammer van al het gesleutel en de geïnvesteerde tijd zijn geweest als ik door het overslaan van deze laatste stappen weer van vooraf aan kon beginnen. Goed, wordt nog even vervolgd dus... Voor vanavond niet meer, maar morgen. Toedels.
-
Alles loopt goed! Emailen gaat oke! Internetten geen vastlopers meer ervaren! Volgens mij als zeeeeer welkome bijkomstigheid een heleboel oude troep en sporen opgeruimd. Ik durf het haast niet te zeggen maar doe het toch.. :top:TOPPIE!!!! Dank voor alle hulp Kweezie wabbit! ;-) Dan nu het moment om afscheid te nemen met gemengde gevoelens (grinnik). De discussie kan nu echt en zeer voldaan worden gesloten en met een mooie markering OPGELOST worden afgevlagd!!! Groetjes, Margret
-
En? mag ik door voor de wasmachine...? Of voor een laptop, is hier toepasselijker, grinnik! ---------- Post toegevoegd om 14:18 ---------- Vorige post was om 14:17 ---------- Nope! ---------- Post toegevoegd om 14:19 ---------- Vorige post was om 14:18 ---------- Nope, ik weet niet waar EFC van is/voor staat/ voor dient.... ff google? ---------- Post toegevoegd om 14:23 ---------- Vorige post was om 14:19 ---------- Of gewoon ff naar het progje/file toegaan...duhh. Ja ik weet waar het voor is/voor staat. Het is een programmatje om je ecological footprint uit te rekenen. In principe geen bezwaarlijk programma, of maak je ergens uit op dat het interfereert met andere prog's/goede werking pc?
-
Ik was er al achter gekomen;-)xD Heb ook eerlijk aangegeven enige ervaring, bij lange na geeeeeen expert. Soms wat moeite met LETTERLIJKE AANWIJZINGEN ---------- Post toegevoegd om 14:12 ---------- Vorige post was om 14:11 ---------- op te volgen. Drukte per ongeluk op verkeerde knop. Scan van combofix als volgt: ComboFix 12-03-16.03 - Margret 18-03-2012 13:53:55.4.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.556 [GMT 1:00] Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe Command switches used :: c:\documents and settings\Margret\My Documents\downloads\CFScript.txt AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF} AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . FILE :: "c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys" . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_Lavasoft_Kernexplorer -------\Service_Lavasoft Kernexplorer . . ((((((((((((((((((((((((( Files Created from 2012-02-18 to 2012-03-18 ))))))))))))))))))))))))))))))) . . 2012-03-17 19:35 . 2012-03-17 19:35 -------- d-----w- c:\documents and settings\Margret\Application Data\AVG2012 2012-03-17 19:31 . 2012-03-18 09:23 -------- d-----w- c:\windows\system32\drivers\AVG 2012-03-17 19:31 . 2012-03-17 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012 2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU 2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst 2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst 2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys 2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator 2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC 2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys 2012-01-11 19:06 . 2012-02-16 19:56 3072 ------w- c:\windows\system32\iacenc.dll 2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll 2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . . ((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 ))))))))))))))))))))))))))))))))))))))))) . + 2012-03-18 13:01 . 2012-03-18 13:01 16384 c:\windows\Temp\Perflib_Perfdata_208.dat + 2004-08-04 12:00 . 2012-03-18 13:06 76804 c:\windows\system32\perfc009.dat - 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat + 2011-09-13 05:30 . 2011-09-13 05:30 32592 c:\windows\system32\drivers\avgrkx86.sys + 2011-08-08 05:08 . 2011-08-08 05:08 40016 c:\windows\system32\drivers\avgmfx86.sys + 2011-10-04 05:21 . 2011-10-04 05:21 16720 c:\windows\system32\drivers\AVGIDSShim.sys + 2011-07-11 00:14 . 2011-07-11 00:14 24272 c:\windows\system32\drivers\AVGIDSFilter.sys + 2011-07-11 00:14 . 2011-07-11 00:14 23120 c:\windows\system32\drivers\AVGIDSEH.sys - 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat + 2004-08-04 12:00 . 2012-03-18 13:06 475770 c:\windows\system32\perfh009.dat - 2012-03-16 22:30 . 2012-03-16 22:30 198552 c:\windows\system32\FNTCACHE.DAT + 2012-03-18 13:01 . 2012-03-18 13:01 198552 c:\windows\system32\FNTCACHE.DAT + 2011-07-11 00:14 . 2011-07-11 00:14 295248 c:\windows\system32\drivers\avgtdix.sys + 2011-10-07 05:23 . 2011-10-07 05:23 230608 c:\windows\system32\drivers\avgldx86.sys + 2011-07-11 00:14 . 2011-07-11 00:14 134608 c:\windows\system32\drivers\AVGIDSDriver.sys + 2012-03-17 19:37 . 2012-03-17 19:37 2186240 c:\windows\Installer\3a202f.msi + 2012-03-17 19:32 . 2012-03-17 19:32 4698112 c:\windows\Installer\3a2027.msi . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VTTimer"="VTTimer.exe" [2005-03-08 53248] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] "AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"= "c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"= . R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11-7-2011 1:14 23120] R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13-9-2011 6:30 32592] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296] R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-10-2011 6:23 230608] R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11-7-2011 1:14 295248] R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12-10-2011 6:25 4433248] R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2-8-2011 6:09 192776] R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11-7-2011 1:14 134608] R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11-7-2011 1:14 24272] R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4-10-2011 6:21 16720] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384] S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504] . Contents of the 'Scheduled Tasks' folder . 2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . . ------- Supplementary Scan ------- . IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 212.54.40.25 212.54.35.25 FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: network.proxy.type - 0 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-03-18 14:02 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- . - - - - - - - > 'explorer.exe'(2332) c:\windows\system32\WININET.dll c:\windows\system32\ieframe.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Other Running Processes ------------------------ . c:\progra~1\AVG\AVG2012\avgrsx.exe c:\program files\AVG\AVG2012\avgcsrvx.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\AVG\AVG2012\avgnsx.exe c:\windows\system32\VTTimer.exe c:\windows\system32\rundll32.exe c:\windows\AGRSMMSG.exe . ************************************************************************** . Completion time: 2012-03-18 14:08:14 - machine was rebooted ComboFix-quarantined-files.txt 2012-03-18 13:08 ComboFix2.txt 2012-03-18 11:02 ComboFix3.txt 2012-03-17 18:44 ComboFix4.txt 2012-03-17 08:52 ComboFix5.txt 2012-03-18 12:52 . Pre-Run: 64.284.176.384 bytes free Post-Run: 64.160.976.896 bytes beschikbaar . - - End Of File - - 83817EEBD873D704650E1464B6ABFE4F
-
Incredimail gebruik ik wel, dat is mijn email programma. (de toolbar bij internet was ongewenst) Vanaf waar/welke locatie moet ik de vetgedrukte items: de driver, de map en het bestand kopiëren? Moet ik die tekst vanuit je bericht hier kopiëren???? Kan het me haast niet voorstellen... Een kladblokbestand openen, die stap lukt me, en dan...?
-
Hoi Kweezie wabbit, Ik weer, heb via zoeken gezocht (alleen gezocht, niks ondernomen) naar de genoemde driver. Niet gevonden. Wel oude Northon Antivirus drivers uit 2006, die mogen wel weg neem ik aan? Het surfen loopt trouwens wel goed (opbouwen pagina loopt mogelijk door AVG misschien wat langzaam, maar daar valt voor mij mee te leven) het werkt en loopt niet vast, dat is het belangrijkste, mail ook gewoon kunnen ontvangen. Gezien dat oorspronkelijk mijn hulpvraag was. (En we nu toch iets van topic zijn geraakt xD?). En ook voor die hulp uiteraard DANK!!! Kan me ook voorstellen dat er meer mensen zijn die graag je hulp willen. (Dat ik niet je gehele aandacht opeis, is natuurlijk ook niet de bedoeling). Internet en mailen loopt in principe...
-
Bij Folder en File heb ik aangegeven items niet gevonden. Hoe of waar vind ik Driver:: ? (Mijn laatste posts met meest recente logs lijken te zijn verdwenen, opnieuw plaatsen?) ---------- Post toegevoegd om 12:43 ---------- Vorige post was om 12:42 ---------- Oh nee, ik zie ze al.
-
Beste Kweezie wabbit, Ik was dus eigenhandig aan de slag gegaan om achterblijvers te verwijderen. De werkwijze die ik heb gehanteerd was als volgt: Via zoeken elk item opgezocht>bijbehorende map>elk item naar prullenbak>prullenbak geleegd. In lijst van prog's wijzigen of verwijderen stond nog steeds de 'Incredimail toolbar' maar zowaar, ik kon 'm nu wel verwijderen, Yeej! Via zoeken geen sporen/mappen/bestanden die corresponderen met de items namen gevonden. Hijackscan uitgevoerd en log aangemaakt. Dito voor Combofix, toen stuitte ik op een klein probleempje, vergeten AVG tijdelijk uit te schakelen, die detecteerde Combofix als bedreiging onder de naam Handle.3xe, in quarantaine geplaatst, maar combofix liep toen niet verder (logisch, wordt lastig in quarantaine), combofix gesloten, combofix hersteld uit de quarantaine van AVG, AVG tijdelijk uitgeschakeld, opnieuw combofix scan, logje gemaakt. Op zich dus allemaal goed gegaan. Ik zie nu pas de aanwijzingen die ik 'eigenlijk?' had moeten volgen? Ik plaats de logjes, onderneem niks, en wacht netjes advies af of bovengenoemde nog uitgevoerd dient te worden. Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 11:34:48, on 18-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\PROGRA~1\AVG\AVG2012\avgrsx.exe C:\Program Files\AVG\AVG2012\avgcsrvx.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\AVG\AVG2012\avgwdsvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\AVG\AVG2012\avgtray.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe C:\Program Files\AVG\AVG2012\avgnsx.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\IncrediMail\bin\IncMail.exe C:\Program Files\IncrediMail\Bin\ImApp.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe" O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4666 bytes ComboFix 12-03-16.03 - Margret 18-03-2012 11:54:01.3.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.560 [GMT 1:00] Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF} AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . . ((((((((((((((((((((((((( Files Created from 2012-02-18 to 2012-03-18 ))))))))))))))))))))))))))))))) . . 2012-03-17 19:35 . 2012-03-17 19:35 -------- d-----w- c:\documents and settings\Margret\Application Data\AVG2012 2012-03-17 19:31 . 2012-03-18 09:23 -------- d-----w- c:\windows\system32\drivers\AVG 2012-03-17 19:31 . 2012-03-17 19:38 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012 2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU 2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst 2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst 2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys 2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator 2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC 2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys 2012-01-11 19:06 . 2012-02-16 19:56 3072 ------w- c:\windows\system32\iacenc.dll 2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll 2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . . ((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 ))))))))))))))))))))))))))))))))))))))))) . + 2012-03-18 09:17 . 2012-03-18 09:17 16384 c:\windows\Temp\Perflib_Perfdata_258.dat + 2004-08-04 12:00 . 2012-03-18 09:21 76804 c:\windows\system32\perfc009.dat - 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat + 2011-09-13 05:30 . 2011-09-13 05:30 32592 c:\windows\system32\drivers\avgrkx86.sys + 2011-08-08 05:08 . 2011-08-08 05:08 40016 c:\windows\system32\drivers\avgmfx86.sys + 2011-10-04 05:21 . 2011-10-04 05:21 16720 c:\windows\system32\drivers\AVGIDSShim.sys + 2011-07-11 00:14 . 2011-07-11 00:14 24272 c:\windows\system32\drivers\AVGIDSFilter.sys + 2011-07-11 00:14 . 2011-07-11 00:14 23120 c:\windows\system32\drivers\AVGIDSEH.sys - 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat + 2004-08-04 12:00 . 2012-03-18 09:21 475770 c:\windows\system32\perfh009.dat + 2011-07-11 00:14 . 2011-07-11 00:14 295248 c:\windows\system32\drivers\avgtdix.sys + 2011-10-07 05:23 . 2011-10-07 05:23 230608 c:\windows\system32\drivers\avgldx86.sys + 2011-07-11 00:14 . 2011-07-11 00:14 134608 c:\windows\system32\drivers\AVGIDSDriver.sys + 2012-03-17 19:37 . 2012-03-17 19:37 2186240 c:\windows\Installer\3a202f.msi + 2012-03-17 19:32 . 2012-03-17 19:32 4698112 c:\windows\Installer\3a2027.msi . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VTTimer"="VTTimer.exe" [2005-03-08 53248] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] "AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"= "c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"= "c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"= . R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11-7-2011 1:14 23120] R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13-9-2011 6:30 32592] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296] R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-10-2011 6:23 230608] R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11-7-2011 1:14 295248] R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2-8-2011 6:09 192776] R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11-7-2011 1:14 134608] R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11-7-2011 1:14 24272] R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4-10-2011 6:21 16720] S2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12-10-2011 6:25 4433248] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384] S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?] S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504] . Contents of the 'Scheduled Tasks' folder . 2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . . ------- Supplementary Scan ------- . IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 212.54.40.25 212.54.35.25 FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: network.proxy.type - 0 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-03-18 12:00 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- . - - - - - - - > 'explorer.exe'(3212) c:\windows\system32\WININET.dll c:\windows\system32\ieframe.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Completion time: 2012-03-18 12:02:14 ComboFix-quarantined-files.txt 2012-03-18 11:02 ComboFix2.txt 2012-03-17 18:44 ComboFix3.txt 2012-03-17 08:52 ComboFix4.txt 2012-03-16 12:37 . Pre-Run: 64.295.280.640 bytes free Post-Run: 64.281.935.872 bytes beschikbaar . - - End Of File - - C2D3A897A90FA5BD6018B63CF7D7FC06 Ik wacht het af. ---------- Post toegevoegd om 12:25 ---------- Vorige post was om 12:20 ---------- Oh ja, voor ik de hijack en combofix scan's had gedraaid heb ik ook eerst ccleaner er overheen gehaald. ---------- Post toegevoegd om 12:26 ---------- Vorige post was om 12:25 ---------- Ik zie een door jou genoemde lavasoft ad aware kernel, potverdikkie.
-
Een goede morgen kweezie wabbit, Wat mij betreft mogen ze allemaal weg. Met voorziene manier verwijderen bedoel je via de lijst prog's verwijderen of wijzigen neem ik aan? De enige die ik in deze lijst zie staan van het bovenstaande lijstje is de 'Incredimail mediabar toolbar' die zich vanuit hier niet laat verwijderen. Selecteren>verwijderen>....gebeurd niks. In de Alle programma's lijst via Start > alle prog's zie ik ook geen een staan en dus geen uninstal mogelijkheid. Waar ik nog onderdelen zie staan is: Deze computer> Lokal stadion (C:)>Documents and Settings> All Users & Margret > Application Data. Is het toch mogelijk om de mappen die hier staan met de bovengenoemde prog's gewoon te verwijderen? (Want de mediaget map op deze wijze verwijderen wilde namelijk niet. Begon de pc tegen te sputteren.) Dus als volgt te werk gaan: selecteren> verwijderen> prullenbak leegmaken> opnieuw opstarten> ccleaner erover heen. (Eventueel de stap prullenbak leegmaken paar keer herhalen omdat die snel vol zal lopen) Zou dit een optie zijn? Ik ga het gewoon proberen en dan zie ik wel of de pc gaat tegen sputteren en met welke melding dat gepaard gaat. ---------- Post toegevoegd om 10:51 ---------- Vorige post was om 10:46 ---------- De Application Data map is overigens 'transparant'/in gebruik??. Als ik de map in ga zijn de mappen niet transparant/in gebruik?? Mogelijk dat daarom de pc gaat tegensputteren bij het pogen de mappen te verwijderen? Moeilijk moeilijk moeilijk... Ik ga het gewoon proberen. AVG overigens wel met succes geïnstalleerd vandaar dat wat mij betreft al het overbodige weg mag. AVG is al een zwaar genoeg programma. Geeft niks, als het maar goed werkt.
-
Beste Kweezie wabbit, Heb (met je aanwijzingen en suggesties) weer met de pc gestoeid. Onder andere vele overbodige prog's getracht te verwijderen en/of sporen daarvan. (pc pitstop, eset, spy bot, mediaget, incredimail toolbar enzo) In de lijst voor verwijderen/wijzigen van prog's valt incredimail toolbar niet te verwijderen. Reageert niet. Op advies van het download center opnieuw geïnstalleerd om te kunnen verwijderen. Helaas, nog steeds zichtbaar en onverwijderbaar in de lijst met prog's. Mediaget stond niet in deze lijst en kon ik op die wijze dus niet verwijderen. Via zoeken wel locatiemap gevonden, maar bij eerdere succesloze verwijderpoging (gisteren) nu niet weer die mappen geprobeerd te verwijderen. In deze locatiemap overigens ook enige sporen van de andere genoemde prog's zien staan. Nog niet getracht die vanuit daar te verwijderen (ivm allerlei tegen gesputter toen ik dat met mediaget probeerde te doen) Het icoontje van MediaGet is nu inmiddels wel weg onder in de taakbalk na allerlei ccleaner uitvoeringen. Heb ook weer Hijack (2×) en Combofix gedraaid, hier de logjes. Ben benieuwd naar je bevindingen. Ik zal nu AVG installeren (lijkt me wel wijsheid, anders kunnen we weer van voor af aan beginnen) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:05:43, on 17-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 3825 bytes Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:32:47, on 17-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 3858 bytes ComboFix 12-03-16.03 - Margret 17-03-2012 19:36:53.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.668 [GMT 1:00] Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . . ((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 ))))))))))))))))))))))))))))))) . . 2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository 2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU 2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst 2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst 2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys 2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2 2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2 2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC 2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner 2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll 2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys 2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl 2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll 2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . . ((((((((((((((((((((((((((((( SnapShot@2012-03-17_08.50.44 ))))))))))))))))))))))))))))))))))))))))) . + 2012-03-17 18:27 . 2012-03-17 18:27 16384 c:\windows\Temp\Perflib_Perfdata_108.dat + 2004-08-04 12:00 . 2012-03-17 18:31 76804 c:\windows\system32\perfc009.dat - 2004-08-04 12:00 . 2012-03-17 07:30 76804 c:\windows\system32\perfc009.dat + 2004-08-04 12:00 . 2012-03-17 18:31 475770 c:\windows\system32\perfh009.dat - 2004-08-04 12:00 . 2012-03-17 07:30 475770 c:\windows\system32\perfh009.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VTTimer"="VTTimer.exe" [2005-03-08 53248] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"= "c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"= . R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384] S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?] S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504] . Contents of the 'Scheduled Tasks' folder . 2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . . ------- Supplementary Scan ------- . IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 212.54.40.25 212.54.35.25 FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: network.proxy.type - 0 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-03-17 19:42 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- . - - - - - - - > 'explorer.exe'(3008) c:\windows\system32\WININET.dll c:\windows\system32\ieframe.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Completion time: 2012-03-17 19:44:21 ComboFix-quarantined-files.txt 2012-03-17 18:44 ComboFix2.txt 2012-03-17 08:52 ComboFix3.txt 2012-03-16 12:37 . Pre-Run: 64.688.992.256 bytes free Post-Run: 64.674.230.272 bytes beschikbaar . - - End Of File - - 7D2F94E08DACF62A3C738946F687CDB3 Alles werkt momenteel overigens wel, maar voor hoe lang...? ---------- Post toegevoegd om 20:25 ---------- Vorige post was om 20:15 ---------- Wel typisch dat bij de hijack van 19:06uur er End of file - 3825 bytes staat, en bij de laatste scan om 19:33uur End of file - 3858 bytes ??? Na het installeren van AVG moet ik even bij tanken hoor. Het sleutelen aan de pc valt niet mee. (Het is me wel duidelijk dat er heel wat sporen en troep van oude prog's her en der verscholen zitten) Wederom alvast bedankt voor het bekijken van de log's en de adviezen. Wordt vervolgd...
-
Ha Kweezie wabbit, Een goede morgen en bedankt voor de snelle reactie. Zojuist een hijackscan en combofixscan uitgevoerd. Ik denk zelf dat Adware antivirus het probleem was. Deze inmiddels met succes kunnen verwijderen. Mediget echter nog niet kunnen verwijderen. Maar nu met Adware gedeïnstaleerd 'lijkt' de boel weer te lopen. Ik ontving ook weer email (van pchelpforum). Heb nu twee andere antivirusprog's gedownload maar nog niet geinstalleerd. Antivira en AVG. Nog aanbevelingen welke van de twee ik het beste kan gaan gebruiken? Hier iig de twee logjes. Ik ben vanmiddag pas weer in de gelegenheid om met de pc te stoeien. Alvast bedankt voor het werpen van een blik op de logjes. (tot later in de middag?!) Groeten Margret Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 9:36:27, on 17-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\PCPitstop\Info Center\InfoCenter.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\IncrediMail\bin\IncMail.exe C:\Program Files\IncrediMail\Bin\ImApp.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4343 bytes ComboFix 12-03-16.03 - Margret 17-03-2012 9:46.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.618 [GMT 1:00] Running from: c:\documents and settings\Margret\My Documents\downloads\ComboFix.exe AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\All Users\Application Data\TEMP c:\documents and settings\Margret\Application Data\PriceGong c:\documents and settings\Margret\WINDOWS C:\RECYCLER(2) c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\Dc5(2)\InfoCenter-20120316.log c:\recycler(2)\S-1-5-21-1390067357-515967899-839522115-1003(2)\INFO2 c:\windows\system32\roboot.exe . . ((((((((((((((((((((((((( Files Created from 2012-02-17 to 2012-03-17 ))))))))))))))))))))))))))))))) . . 2012-03-16 23:13 . 2012-03-16 23:13 -------- d-----w- c:\windows\system32\wbem\Repository 2012-03-16 23:12 . 2012-03-16 23:16 -------- d-----w- c:\documents and settings\All Users\Application Data\PCPitstop 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Spotnet 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\PackageAware 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Microsoft Help 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\ESET 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\Apple 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spotnet 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Media Get LLC 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET 2012-03-16 23:12 . 2012-03-16 23:12 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU 2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst 2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst 2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys 2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2 2012-03-06 11:31 . 2012-03-16 23:50 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2 2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC 2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner 2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll 2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys 2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl 2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll 2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VTTimer"="VTTimer.exe" [2005-03-08 53248] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"= "c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"= . R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384] S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?] S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504] . Contents of the 'Scheduled Tasks' folder . 2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . . ------- Supplementary Scan ------- . mStart Page = hxxp://dutch.ircfast.com/nl/index.php?rvs=hompag IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 212.54.40.25 212.54.35.25 FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: network.proxy.type - 0 . - - - - ORPHANS REMOVED - - - - . WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file) SafeBoot-Lavasoft Ad-Aware Service . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-03-17 09:50 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . Completion time: 2012-03-17 09:52:57 ComboFix-quarantined-files.txt 2012-03-17 08:52 ComboFix2.txt 2012-03-16 12:37 . Pre-Run: 64.537.923.584 bytes free Post-Run: 64.544.993.280 bytes free . WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 0A41AAAE4417B6EE96B8E25DC06BA16D
-
Ik heb te vroeg gejuicht vrees ik. Alles leek goed en soepel te lopen tot s'avonds. Firefox liep weer vast. En ja hoor, ook Incredimail begon weer te sputteren. Had live watch van Ad-aware weer enabled. Ook mediaget gaf meldingen over netwerkverbindingen die mogelijk tot problemen zouden kunnen leiden. Beide wilde ik verwijderen om daarna opnieuw te instaleren. Was geen succes. Herstelpunt uitgevoerd van vrijdag 22uur. Geen succes. Toen herstel punt van donderdagmiddag dat ging wel goed en opnieuw een hijackthis scan uitgevoerd om de aangegeven 8items te verwijderen. Nog geen MBAM scan gedraait, kon net geen update doen. Gaf error. Nu via de ipconfig bypass weer verbinding met internet, om de laatste bevindingen te kunnen plaatsen. Morgen nog maar weer eens stoeien met de pc. Wordt vervolgd...
-
De boel lijkt weer lekker soepel te lopen. Geen vastlopers tijdens het surfen op internet gehad en incredimail heeft ook niet vervelend meer gedaan met incomplete bewerkingen of telkens zeuren om invoeren wachtwoord. Ik zeg TOPPIE!!!! Hoe handel ik nu verder qua Combofix? Verwijderen of laten staan? Ik neem aan dat het dus niet zo problematisch was dat de uitvoer niet geheel volgens de opgegeven aanwijzingen zijn verlopen...?! Voor nu lijkt alles weer soepel te lopen! En daarvoor GROTE dank!!!! ---------- Post toegevoegd om 14:47 ---------- Vorige post was om 14:41 ---------- Als ik verder geen acties hoef te ondernemen, mag ik het topic als OPGELOST markeren? Ik wacht nog even op laatste aanwijzingen. Kweezie wabbit, hartelijk dank voor het onder de loep nemen van mijn probleem en het helpen oplossen! :top:TOPPIE!!! Groetjes, Margret
-
Beste Kweezie wabbit, Paar kleine puntjes die niet geheel volgens de aanwijzingen zijn verlopen. - Weet niet zeker of alle beschermende prog's waren afgesloten - Combofix werd niet op bureaublad opgeslagen maar werd wel uitgevoerd. - Combofix prog wel gevonden, stond in de download lijst, heb snelkoppeling op bureau gemaakt (nadat het prog al had gescant) Er staat nu dus een snelkoppeling op bureaublad, en daarnaast staat ie dus nog steeds in de download lijst vanwaar het programma blijkbaar heeft gedraaid. (Denk ik) - Combofix vroeg inderdaad om Microsoft Windows Recovery Console aanmaken omdat die er niet was of omdat ie geupdated moest worden. Beide schermen zijn verschenen. Beide op 'Ja' geklikt. Daarna scan laten uitvoeren. En log werd getoond. Deze heb ik iig handmatig op het bureaublad opgeslagen. Ik weet dus niet hoe problematisch het is dat het prog Combofix niet op het bureaublad stond terwijl een scan werd uitgevoerd. Hier iig het logje dat verscheen: ComboFix 12-03-16.03 - Margret 16-03-2012 13:29:09.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.959.630 [GMT 1:00] Running from: c:\documents and settings\Margret\My Documents\Downloads\ComboFix.exe AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\All Users\Application Data\TEMP c:\documents and settings\Margret\Application Data\PriceGong c:\documents and settings\Margret\WINDOWS c:\windows\system32\roboot.exe c:\windows\system32\SET17D.tmp c:\windows\system32\SET189.tmp c:\windows\system32\SET196.tmp . . ((((((((((((((((((((((((( Files Created from 2012-02-16 to 2012-03-16 ))))))))))))))))))))))))))))))) . . 2012-03-15 16:01 . 2012-03-15 16:03 -------- d-----w- c:\documents and settings\Margret\Application Data\Belastingdienst 2012-03-15 16:00 . 2012-03-15 16:00 -------- d-----w- c:\program files\Belastingdienst 2012-03-10 17:07 . 2011-10-28 18:35 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys 2012-03-09 20:55 . 2011-10-29 20:27 16432 ----a-w- c:\windows\system32\lsdelete.exe 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\Photo Notifier and Animation Creator 2012-03-06 11:31 . 2012-03-10 12:26 -------- d-----w- c:\documents and settings\Margret\Local Settings\Application Data\IncrediMail_MediaBar_Nederlands_2 2012-03-06 11:31 . 2012-03-06 11:31 -------- d-----w- c:\program files\IncrediMail_MediaBar_Nederlands_2 2012-02-28 13:49 . 2012-02-28 13:49 -------- d-----w- c:\program files\EFC 2012-02-21 14:22 . 2012-02-21 14:22 -------- d-----w- c:\program files\CCleaner 2012-02-16 19:56 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll 2012-02-16 19:56 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll . . . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-13 18:17 . 2012-02-13 18:17 388096 ----a-r- c:\documents and settings\Margret\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2012-02-03 09:22 . 2004-08-04 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys 2012-01-09 16:20 . 2008-09-14 17:33 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2011-12-20 12:24 . 2011-12-20 12:24 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-12-20 12:23 . 2011-01-23 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-12-19 08:13 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2011-12-19 08:13 . 2004-08-04 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl 2011-12-19 08:13 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-12-19 08:13 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll 2012-02-21 10:13 . 2011-05-10 14:07 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 2004-08-04 12:00 73728 --sha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MediaGet2"="c:\documents and settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe" [2012-03-16 8138472] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VTTimer"="VTTimer.exe" [2005-03-08 53248] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Info Center"="c:\program files\PCPitstop\Info Center\InfoCenter.exe" [2011-09-26 24216] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\IncrediMail\\temp\\bin\\IncMail.exe"= "c:\\Documents and Settings\\Margret\\My Documents\\Incredimail Back-up\\bin\\IncMail.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Documents and Settings\\Margret\\Local Settings\\Application Data\\MediaGet2\\mediaget.exe"= . R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10-3-2012 18:07 64512] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16-9-2008 7:41 717296] R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [28-10-2011 19:35 2152152] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384] S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?] S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [28-10-2011 19:35 15232] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504] . Contents of the 'Scheduled Tasks' folder . 2012-03-16 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-10-28 18:35] . 2011-03-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2170 series5E771253C1676EBED677BF361FDFC537825E15B8291204264.job - c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . . ------- Supplementary Scan ------- . uStart Page = hxxp://mystart.incredimail.com?a=1jR7ZZo3cSX IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 212.54.40.25 212.54.35.25 FF - ProfilePath - c:\documents and settings\Margret\Application Data\Mozilla\Firefox\Profiles\5ggfazbr.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: network.proxy.type - 0 . - - - - ORPHANS REMOVED - - - - . WebBrowser-{95324E44-4B0A-47A9-8F77-9C6415E51C29} - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-03-16 13:34 Windows 5.1.2600 Service Pack 3 NTFS . scanning hidden processes ... . scanning hidden autostart entries ... . scanning hidden files ... . scan completed successfully hidden files: 0 . ************************************************************************** . Completion time: 2012-03-16 13:37:04 ComboFix-quarantined-files.txt 2012-03-16 12:37 . Pre-Run: 64.832.512.000 bytes free Post-Run: 65.092.272.128 bytes free . WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 6322E1464A0779C511E5760F8037771C
-
Beste Kweezie wabbit, Bedankt voor je reactie. Hier het logje na verwijderen van boven genoemde. Bij de eerste 3 items stond het achterste stuk tekst in het rood er niet achter. Heb ze toch verwijderd. Hoop dat dat niet onverstandig was? Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:24:20, on 15-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\PCPitstop\Info Center\InfoCenter.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\IncrediMail\Bin\ImApp.exe C:\Program Files\IncrediMail\Bin\IncMail.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4586 bytes
-
Beste helpers, Sinds enkele weken problemen met verbinding krijgen met internet. Ik gebruik Firefox. Mogelijk na een update van Firefox dat bepaalde instellingen zijn veranderd. Soms wel even verbinding maar dan na 10min blijft ie hangen/loopt vast. Via uitvoer> command> ipconfig/release en daarna ipconfig/renew werkt het weer. Maar dat is natuurlijk geen normale gang van zaken. Soort gelijk probleem met email. (Heeft volgens mij met zelfde euvel te maken) Ik gebruik Incredi Mail. Vaak melding 'bewerking incompleet' of dat ik wachtwoord moet invoeren waar na ontvangen van mail wel gebeurd. Bij verzenden blijft post hangen in 'postvak uit' wederom met melding bewerking incompleet. De out-going poort is in sommige gevallen dan van 25 naar 587 versprongen. Vele malen al scan uitgevoerd, maar wordt niks gevonden. Hier alvast HijackThis log (waar ik verder geen verstand van heb welke regel een probleem zou kunnen vormen, mogelijk een Toolbar?) MBAM scan vindt niks. Iemand een idee waar het probleem zit en/of welke settings ik moet veranderen? Alvast bedankt voor de moeite. mbam-log-2012-03-14 (08-16-28).txt Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Databaseversie: v2012.03.14.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Margret :: MARGRET-XXXXXX [administrator] 14-3-2012 8:16:28 mbam-log-2012-03-14 (08-16-28).txt Scantype: Snelle scan Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM | P2P Uitgeschakelde scanopties: Objecten gescand: 176628 Verstreken tijd: 7 minuut/minuten, 43 seconde(n) Geheugenprocessen gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Geheugenmodulen gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Registersleutels gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Registerwaarden gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Registerdata gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Mappen gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) Bestanden gedetecteerd: 0 (Geen kwaadaardige objecten gedetecteerd) (einde) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 7:39:55, on 14-3-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17108) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\PCPitstop\Info Center\InfoCenter.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\ALCXMNTR.EXE C:\WINDOWS\AGRSMMSG.exe C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\IncrediMail\bin\IncMail.exe C:\Program Files\IncrediMail\Bin\ImApp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com?a=1jR7ZZo3cSX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dutch.ircfast.com/nl/index.php?rvs=hompag R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbIncr.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [info Center] C:\Program Files\PCPitstop\Info Center\InfoCenter.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Margret\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - Winlogon Notify: dca62aaa517 - C:\WINDOWS\System32\hpzcon0732.dll (file missing) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5582 bytes hijackthis scanlog wo 14mrt2012.txt
