Probleem: icthis virus

[Tropic]

Hey

Telkens ik op mijn pc werk krijg ik van die security alerts dat er spyware is gevonden en wanneer ik aan het surfen ben krijg ik steeds pop ups. Ik denk dat het gelegen is aan de volgende map: C:/ Program files/ Online Add on.

Ik heb er echter geen idee van hoe ik deze weg krijg. Krijg steeds de melding dat de bestanden in gebruik zijn.

Graag jullie raad!!!!

Alvast bedankt

tropic

[Tropic]

Na wat surfen kwam ik op hijackthis uit die het volgende resultaat gaf:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:52:15, on 9/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\VirusHeat 3.9\VirusHeat 3.9.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\Grisoft\AVG7\avgwb.dat

C:\Program Files\Online Add-on\icmntr.exe

C:\Program Files\Online Add-on\icthis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B862223} - C:\Program Files\Helper\1202589825.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Online Add-on\icthis.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O22 - SharedTaskScheduler: didact - {747e1fbe-b70f-441d-bbca-6e536c04924a} - C:\WINDOWS\system32\wuuawkz.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--

End of file - 3561 bytes

[Yannick]

er was 1 ding wat mij meteen in het oog spring, en dat is virus heat.

dit is nou niet zo een best iets zoals hier te lezen is

voor de rest van het hijack this logje laten we het over aan onze expert(s).

zij zullen u zo snel mogelijk van een antwoord voorzien!

[Tropic]

Enig idee hoe ik deze van men pc krijg?

Mijn AVG virusscanner vindt hem namelijk niet terug.

Alvast bedankt voor het antwoord.

[Yannick]

als u de link volgt staat daar een uitgebreide andleiding hoe u deze weg kunt krijgen

ik zou verder even wachten op kape, hij kan u zekerweten van een heldere analyse voorzien

[Dark_Basics]

Dingen die gefixed mogen worden met hijackthis

C:\Program Files\Online Add-on\icmntr.exe

C:\Program Files\Online Add-on\icthis.exe

O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B862223} - C:\Program Files\Helper\1202589825.dll

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Online Add-on\icthis.exe

[kape]

Download Combofix.exe en zet het op je Bureaublad.

Download SmitfraudFix.zip. Pak het uit naar je bureaublad.

Start je PC op in Veilige Modus, open de map SmitfraudFix en dubbelklik op Smitfraudfix.cmd.

Kies optie 2 (Clean) om alle besmette bestanden te laten verwijderen. Als er gevraagd wordt om het register op te kuisen, sta je dit toe.

Er wordt ook onderzocht of het bestandje wininet.dll besmet is. Indien dit het geval is, zal je de vraag krijgen om deze te vervangen. Type dan Y in achter de prompt en druk op Enter. De kans bestaat dat je PC herstart wordt in normale modus. Is dit niet het geval doe je dit handmatig zodat het zijn taak volledig kan uitvoeren.

Er zal een tekstbestandje openen met de resultaten van de fix. ( c:\rapport.txt). Sla dit op je bureaublad op.

Herstart de computer in normale modus.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd (indien nog aanwezig) :

O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B862223} - C:\Program Files\Helper\1202589825.dll

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Online Add-on\icthis.exe

O22 - SharedTaskScheduler: didact - {747e1fbe-b70f-441d-bbca-6e536c04924a} - C:\WINDOWS\system32\wuuawkz.dll

Klik op 'Fix checked' om de items te verwijderen.

Verwijder volgende vetgedrukte map (of uninstall het programma via Software (indien nog aanwezig) :

C:\Program Files\Online Add-on

C:\Program Files\VirusHeat 3.9

Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan.

Hang dan aan een volgend bericht het log van Combofix, Smitfraud en een nieuw log van HiJackThis.

[kape]

@ Dark_Basics,

Dingen die gefixed mogen worden met hijackthis. C:\Program Files\Online Add-on\icmntr.exe

C:\Program Files\Online Add-on\icthis.exe

Gewoon een vraagje. Hoe denk je die te fixen in HJT ?

[Tropic]

Hierbij de logbestanden:

Smitfraudfix

SmitFraudFix v2.286

Scan done at 19:16:36,31, ma 11/02/2008

Run from C:\Documents and Settings\Gijs\Mijn documenten\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [versie 5.1.2600] - Windows_NT

The filesystem type is FAT32

Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{747e1fbe-b70f-441d-bbca-6e536c04924a}"="didact"

[HKEY_CLASSES_ROOT\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]

@="C:\WINDOWS\system32\wuuawkz.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{747e1fbe-b70f-441d-bbca-6e536c04924a}\InProcServer32]

@="C:\WINDOWS\system32\wuuawkz.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\wuuawkz.dll -> Hoax.Win32.Renos.gen.o

C:\WINDOWS\system32\wuuawkz.dll -> Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOCUME~1\ALLUSE~1\MENUST~1\Online Security Guide.url Deleted

C:\DOCUME~1\ALLUSE~1\MENUST~1\Security Troubleshooting.url Deleted

C:\DOCUME~1\ALLUSE~1\BUREAU~1\Online Security Guide.url Deleted

C:\DOCUME~1\ALLUSE~1\BUREAU~1\Security Troubleshooting.url Deleted

C:\Program Files\Helper\ Deleted

C:\Program Files\Online Add-on\ Deleted

C:\Program Files\VirusHeat 3.9\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D84EA966-FA90-40DA-8F01-E76C536191AC}: DhcpNameServer=195.130.129.161 195.130.130.161

HKLM\SYSTEM\CS1\Services\Tcpip\..\{D84EA966-FA90-40DA-8F01-E76C536191AC}: DhcpNameServer=195.130.129.161 195.130.130.161

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D84EA966-FA90-40DA-8F01-E76C536191AC}: DhcpNameServer=195.130.129.161 195.130.130.161

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.130.129.161 195.130.130.161

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.130.129.161 195.130.130.161

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.130.129.161 195.130.130.161

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:30:15, on 11/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--

End of file - 3542 bytes

Combofix

ComboFix 08-02.05.3 - Gijs 2008-02-11 19:33:56.1 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.2.1252.31.1043.18.73 [GMT 1:00]

Gestart vanuit: C:\Documents and Settings\Gijs\Bureaublad\ComboFix.exe

* Nieuw herstelpunt werd aangemaakt

WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!

.

(((((((((((((((((((( Bestanden Gemaakt van 2008-01-11 to 2008-02-11 ))))))))))))))))))))))))))))))

.

2008-02-11 19:16 . 2008-02-11 19:16 1,534 --a------ C:\WINDOWS\system32\tmp.reg

2008-02-11 19:15 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-02-11 19:15 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-02-11 19:15 . 2008-02-08 23:55 85,504 --a------ C:\WINDOWS\system32\VACFix.exe

2008-02-11 19:15 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-02-11 19:15 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-02-11 19:15 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-02-11 19:15 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten

2008-02-11 19:02 . 2008-02-07 21:49 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad

2008-02-10 09:43 . 2008-02-10 09:43 <DIR> d-------- C:\Program Files\SUPERAntiSpyware

2008-02-10 09:43 . 2008-02-10 09:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com

2008-02-10 09:10 . 2008-02-10 09:10 <DIR> d-------- C:\Program Files\Spyware Doctor

2008-02-10 09:10 . 2008-02-10 09:10 <DIR> d-------- C:\Documents and Settings\Gijs\Application Data\PC Tools

2008-02-10 09:10 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-02-10 09:10 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-02-10 09:10 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-02-10 09:10 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-02-09 23:12 . 2008-02-09 23:12 <DIR> d-------- C:\Program Files\Trend Micro

2008-02-09 22:16 . 2008-02-09 22:16 <DIR> dr-h----- C:\$VAULT$.AVG

2008-02-09 21:44 . 2008-02-09 21:44 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\TEMP

2008-02-09 20:49 . 2008-02-09 20:49 <DIR> d-------- C:\Program Files\Google

2008-02-09 18:34 . 2008-02-09 22:14 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-02-07 23:31 . 2008-02-07 23:31 <DIR> d-------- C:\Documents and Settings\Gijs\Application Data\Ahead

2008-02-07 23:26 . 2008-02-07 23:26 <DIR> d-------- C:\Program Files\Nero

2008-02-07 23:26 . 2008-02-07 23:26 <DIR> d-------- C:\Program Files\Common Files\Ahead

2008-02-07 23:22 . 2008-02-07 23:22 <DIR> d--hs---- C:\Recycled

2008-02-07 23:16 . 2008-02-07 23:16 <DIR> d-------- C:\Documents and Settings\Gijs\Application Data\AVG7

2008-02-07 23:15 . 2008-02-07 23:16 <DIR> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7

2008-02-07 23:15 . 2008-02-07 23:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-02-07 23:15 . 2008-02-07 23:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\avg7

2008-02-07 23:15 . 2008-02-07 23:15 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll

2008-02-07 23:15 . 2008-02-07 23:15 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll

2008-02-07 23:01 . 2008-02-07 23:01 395 --a------ C:\WINDOWS\ODBC.INI

2008-02-07 23:00 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-07 21:59 --------- d-----w C:\Program Files\Microsoft.NET

2008-02-07 21:33 --------- d-----w C:\Program Files\microsoft frontpage

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32 94208]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:15 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-07 23:17 579072]

"NWEReboot"="" []

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]

"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2007-12-10 14:53 1103752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:03 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-07 23:15 219136]

R3 S3SAVAGE4M;S3SAVAGE4M;C:\WINDOWS\system32\DRIVERS\s3sav4m.sys [2001-08-17 20:50]

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-11 19:36:57

Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:

ZwClose

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

Voltooingstijd: 2008-02-11 19:38:10

Na het gebruik van SmitFraudFix was volgens mij alles al weg. Ik heb in de 2 andere programmas alvast niks teruggevonden van wat je gezegd hebt.

Hopelijk is hiermee het probleem opgelost.

[kape]

Na het gebruik van SmitFraudFix was volgens mij alles al weg. Ik heb in de 2 andere programmas alvast niks teruggevonden van wat je gezegd hebt.

Dat klopt, alles van de besmetting is in de eerste run van SmitFraudFix al opgekuist en je log van HJT is kraaknet nu. Houden zo