Automatisch openend browser venster met reclame

[XtcFm]

Zoasl de titel zegt; ik heb last van een browserscherm dat opent met reclame.

Ik heb diverse anti spyware dingen gedaan.

O.a. HitmanPro, Adaware, de links op dit forum (onder http://www.helpmij.nl/forum/showthread.php?t=389661).

Diverse zaken worden iedere keer verwijderd maar niets help. De ad's blijven komen. Vooral tijdens het googelen.

Hij haalt zijn ad's op http://ads.right-ads.com

Vervolgens moet je ook nog eens 10 keer op OK klikken voor het venster daadwerkelijk wordt afgesloten.

Wie o wie heeft een oplossing? (Behalve windows XP opnieuw installaeren want dat ga ik als volgende stap doen)

Uitdraai van HiJack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:50, on 31-10-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1252615249811
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1252615243262
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O20 - Winlogon Notify: !saswinlogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Intelligente achtergrondsoverdrachtservice (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Automatische updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6165 bytes

 

[srpchulp]

Ik heb heel goeie ervaringen met A-squared free http://www.downloadstad.nl/download/A-Squared_Free.html en de gratis versie van bitdefender http://www.bitdefender.com/PRODUCT-14-en--BitDefender-Free-Edition.html

Deze twee pakketten hebben mij meerdere keren uit de brand geholpen waar andere av(betaalde)producten het lieten afweten.

 

[lightframe]

Ik heb heel goeie ervaringen met A-squared free http://www.downloadstad.nl/download/A-Squared_Free.html en de gratis versie van bitdefender http://www.bitdefender.com/PRODUCT-14-en--BitDefender-Free-Edition.html

Deze twee pakketten hebben mij meerdere keren uit de brand geholpen waar andere av(betaalde)producten het lieten afweten.

a-squared Free kun je ook gewoon op de Nederlandse website van Emsi vinden;
http://www.emsisoft.nl/asquaredfree/.

XtcFm,

Mocht het met a-squared Free niet lukken, plaatse je log dan hier op NUCIA

 

[kape]

Download Combofix naar je Bureaublad.

Lees hier meer over correct gebruik van Combofix.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

• 
  Dubbelklik op Combofix.exe om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
  Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op Ja om het scannen op malware te starten.
  Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.

Post dit logje in je volgende antwoord.

 

[XtcFm]

Herinstallatie

Dank voor al jullie suggesties.

Helaas bleven de ADS in een nieuw browserscherm terugkomen. Als ik iets op google zocht sprong de advertentie meteen omhoog nadat ik ENTER had gegeven. Een hardnekkig ding. Mijn PC stroomde over van anti Spy/Malware en anti virus software maar niets hielp helaas.

Ik heb mijn HDD NTFS geformatteerd en windhoos XP Prof. opnieuw geinstalleerd.

Free at last! :thumb:

Omslachtig maar doeltreffend.
Ik weet ook waar ik niet meer op moet klikken want daar krijg ik alleen maar ellende van!

Rick

 

[XtcFm]

Niet te geloven

Niet te geloven maar hetzelfde probleem doet zich weer voor.

Ik heb het idee dat een USB stick ook een trojan bevatte waardoor deze dus terug komt op het moment dat ik deze in de PC steek voor backups.

Wie o wie kan helpen? Ik ga niet weer windows herinstalleren.

Wat heb ik allemaal al ondernomen;

-Windows opgestart in Veilige Modus' en alle rotzooi uit MSconfig uitgevinkt (raidhost.exe, a.exe, b.exe, c.exe)
-de files weggegooid uit het register en de TEMP directory
-scans met een scala aan malware programma's; ad-aware, hitman-pro, online Kaspersky,Mcaffee, Norton, etc en de hierboven genoemde programma's.

Niks heeft geholpen. Als ik nu zelf in de adresbalk ga typen en, nadat de PC heeft 'Auto aangevuld' op helpmij_forum klik, vult de PC op de plek van www.helpmij.nl/forum ook de reclamewebsite in.

Een ontzettend hardnekkig onding waar ik maar niet vanaf schijn te komen.

Rick

HiJack This log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:28, on 1-12-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\framework.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [framework] framework.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Videohost] C:\DOCUME~1\RICKWE~1\LOCALS~1\Temp\c.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/static/m/cab/2.8.3/GarminAxControl.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1257082903282
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257084334458
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5818/mcfscan.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

--
End of file - 6264 bytes

P.s.

Ik heb nogmaals MBAM en en ComboFix gedraait omdat ik een post op dit dorum zag van iemand met hetzelfde euvel en het lijkt nu zowaar opgelost!

Ik kan weer gewoon Google gebruiken (tot nu toe tenminste..)

Hier dan even de Logs:

MBAM

Malwarebytes' Anti-Malware 1.41
Database versie: 3268
Windows 5.1.2600 Service Pack 3

1-12-2009 19:32:33
mbam-log-2009-12-01 (19-32-26).txt

Scan type: Snelle Scan
Objecten gescand: 118929
Verstreken tijd: 7 minute(s), 17 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 5
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 9

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
c:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> No action taken.

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\Documents and Settings\Rick Wesselink\Application Data\install.config.exe (Trojan.Kryptik) -> No action taken.
C:\Documents and Settings\Rick Wesselink\Local Settings\Temp\Keymaker.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Rick Wesselink\Local Settings\Temp\sshnas.dll (Trojan.FakeAV) -> No action taken.
C:\Documents and Settings\Rick Wesselink\Local Settings\Temporary Internet Files\Content.IE5\CC4OYM0L\xlscheck332[1].exe (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Rick Wesselink\Local Settings\Temp\hi.bat (Malware.Trace) -> No action taken.
C:\WINDOWS\raidhost.exe (Backdoor.IRCBot) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> No action taken.

ComboFix

ComboFix 09-12-01.01 - Rick Wesselink 01-12-2009 19:40.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.31.1043.18.511.342 [GMT 1:00]
Gestart vanuit: c:\documents and settings\Rick Wesselink\Bureaublad\ComboFix.exe
.

((((((((((((((((((((((((((((((((((   Andere Verwijderingen   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2214830922-1529914589-3069053530-500
c:\windows\framework.exe

Besmet exemplaar van c:\windows\system32\DRIVERS\atapi.sys werd aangetroffen en gedesinfecteerd  
Hersteld exemplaar van - Kitty ate it :p 
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((   Bestanden Gemaakt van 2009-11-01 to 2009-12-01  ))))))))))))))))))))))))))))))
.

2009-12-01 18:22 . 2009-12-01 18:22	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\Malwarebytes
2009-12-01 18:22 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-01 18:22 . 2009-12-01 18:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-01 18:22 . 2009-12-01 18:22	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-01 18:22 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-01 18:12 . 2009-12-01 18:12	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\Windows Search
2009-12-01 17:51 . 2009-12-01 17:51	--------	d-----w-	c:\program files\Trend Micro
2009-12-01 16:47 . 2009-12-01 16:47	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Windows Search
2009-12-01 16:16 . 2009-12-01 16:16	--------	dc----w-	c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-01 16:10 . 2009-12-01 16:10	--------	d-sh--w-	c:\documents and settings\Administrator\PrivacIE
2009-12-01 16:10 . 2009-12-01 16:10	--------	d-sh--w-	c:\documents and settings\Administrator\IECompatCache
2009-12-01 16:09 . 2009-12-01 16:09	--------	d-sh--w-	c:\documents and settings\Administrator\IETldCache
2009-11-30 22:10 . 2009-11-30 22:10	--------	d-----w-	c:\program files\MSXML 4.0
2009-11-30 20:31 . 2009-11-30 20:31	147456	--sh--w-	c:\documents and settings\Rick Wesselink\Application Data\install.toolbar.exe
2009-11-29 16:59 . 2009-11-29 16:59	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\Nero
2009-11-29 16:44 . 2009-11-29 16:58	--------	d-----w-	c:\program files\Nero
2009-11-29 16:43 . 2009-11-29 16:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Nero
2009-11-29 16:43 . 2009-11-29 16:56	--------	d-----w-	c:\program files\Common Files\Nero
2009-11-29 16:16 . 2009-11-29 16:16	--------	d-----w-	c:\program files\uTorrent
2009-11-29 16:15 . 2009-11-29 17:04	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\uTorrent
2009-11-28 09:22 . 2009-11-28 09:22	143360	--sh--w-	c:\documents and settings\Rick Wesselink\Application Data\setup.exe
2009-11-24 23:37 . 2009-11-24 23:37	--------	d-----w-	c:\program files\OpenGL 2_0
2009-11-24 23:32 . 2009-11-24 23:40	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\XBMC
2009-11-24 23:31 . 2009-11-24 23:32	--------	d-----w-	c:\program files\XBMC
2009-11-14 19:22 . 2009-11-14 19:22	--------	d-----w-	c:\documents and settings\Rick Wesselink\Local Settings\Application Data\STDUViewer
2009-11-14 19:22 . 2009-11-14 19:22	--------	d-----w-	c:\program files\Common Files\STDUtility
2009-11-14 19:22 . 2009-11-14 19:22	--------	d-----w-	c:\program files\STDU Viewer
2009-11-14 19:22 . 2006-07-11 17:35	348160	----a-w-	c:\windows\system32\msvcr71.dll
2009-11-11 01:51 . 2009-11-11 01:51	214167816	----a-w-	c:\documents and settings\Rick Wesselink\Application Data\Nero-9.4.26.0_trial.exe
2009-11-08 17:23 . 2009-11-08 17:23	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
2009-11-08 14:24 . 2009-11-08 14:24	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\GARMIN
2009-11-08 13:56 . 2009-11-08 13:56	--------	d-----w-	c:\windows\Sun
2009-11-08 13:55 . 2009-11-08 13:55	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-11-08 13:55 . 2009-11-08 13:55	--------	d-----w-	c:\program files\Java
2009-11-08 13:54 . 2009-11-08 13:54	152576	----a-w-	c:\documents and settings\Rick Wesselink\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-07 14:40 . 2009-11-07 14:40	--------	d-----w-	c:\documents and settings\Rick Wesselink\Local Settings\Application Data\PCHealth
2009-11-07 13:08 . 2009-11-07 14:03	--------	d-----w-	c:\program files\Microsoft Works
2009-11-07 13:07 . 2009-11-07 13:07	--------	d-----w-	c:\program files\Microsoft.NET
2009-11-07 13:05 . 2009-11-07 13:05	--------	d-----w-	c:\program files\Microsoft Visual Studio 8
2009-11-07 13:04 . 2009-11-07 13:08	--------	d-----w-	c:\windows\SHELLNEW
2009-11-07 13:03 . 2009-11-07 13:03	--------	d-----w-	c:\documents and settings\Rick Wesselink\Local Settings\Application Data\Microsoft Help
2009-11-07 13:03 . 2009-11-11 17:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-11-07 13:01 . 2009-11-07 13:01	--------	d-----r-	C:\MSOCache
2009-11-07 12:58 . 2008-04-13 18:45	26368	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-11-04 16:18 . 2009-11-04 16:18	--------	d-----w-	c:\windows\McAfee.com
2009-11-03 21:04 . 2009-08-16 15:08	178176	----a-w-	c:\windows\system32\unrar.dll
2009-11-03 20:54 . 2008-04-14 17:02	26624	----a-w-	c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-11-03 16:22 . 2009-11-07 14:38	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-11-03 16:22 . 2009-11-03 16:22	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\InstallShield
2009-11-03 15:46 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-11-01 21:20 . 2009-11-01 21:20	60	----a-w-	c:\windows\system32\SYSDRV.DAT
2009-11-01 21:13 . 2008-04-14 17:03	9728	----a-w-	c:\windows\system32\proxycfg.exe
2009-11-01 21:12 . 2009-06-25 08:27	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-11-01 21:10 . 2008-04-14 17:02	632832	----a-w-	c:\windows\system32\autoconv.exe
2009-11-01 21:09 . 2009-11-01 21:21	--------	d-----w-	c:\windows\CACHE

.
(((((((((((((((((((((((((((((((((((((((   Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-01 18:48 . 2009-11-01 16:05	24	----a-w-	c:\windows\system32\DVCStateBkp-{00000000-00000000-0000000C-00001102-00000004-00511102}.dat
2009-12-01 18:48 . 2009-11-01 16:05	24	----a-w-	c:\windows\system32\DVCState-{00000000-00000000-0000000C-00001102-00000004-00511102}.dat
2009-12-01 17:24 . 2009-11-01 21:10	96512	----a-w-	c:\windows\system32\drivers\atapi.sys
2009-11-29 16:42 . 2009-11-16 20:12	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\LimeWire
2009-11-29 16:26 . 2009-11-29 16:26	5	----a-w-	c:\windows\system32\YoItzVlad.tmp
2009-11-10 19:37 . 2009-11-01 14:56	69232	----a-w-	c:\documents and settings\Rick Wesselink\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-07 14:40 . 2002-11-06 17:40	537198	----a-w-	c:\windows\system32\perfh013.dat
2009-11-07 14:40 . 2002-11-06 17:40	101340	----a-w-	c:\windows\system32\perfc013.dat
2009-11-07 13:08 . 2009-11-01 16:15	--------	d-----w-	c:\program files\MSBuild
2009-11-03 21:15 . 2009-11-01 16:11	--------	d-----w-	c:\program files\Windows Desktop Search
2009-11-01 16:28 . 2009-11-01 16:28	--------	d-----w-	c:\program files\Microsoft
2009-11-01 16:27 . 2009-11-01 16:27	--------	d-----w-	c:\program files\Windows Live
2009-11-01 16:27 . 2009-11-01 16:27	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-11-01 16:25 . 2009-11-01 16:25	--------	d-----w-	c:\program files\Common Files\Windows Live
2009-11-01 16:15 . 2009-11-01 16:15	--------	d-----w-	c:\program files\Reference Assemblies
2009-11-01 16:12 . 2009-11-01 16:12	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\Windows Desktop Search
2009-11-01 16:10 . 2009-11-01 16:10	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-11-01 15:53 . 2002-11-06 16:54	86327	----a-w-	c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-01 15:39 . 2009-11-01 15:32	--------	d-----w-	c:\program files\Creative
2009-11-01 15:21 . 2009-11-01 15:21	137	----a-w-	c:\documents and settings\Rick Wesselink\Local Settings\Application Data\fusioncache.dat
2009-11-01 15:15 . 2009-11-01 15:13	--------	d-----w-	c:\documents and settings\Rick Wesselink\Application Data\Winamp
2009-11-01 15:13 . 2009-11-01 15:13	--------	d-----w-	c:\program files\Winamp
2009-11-01 15:08 . 2009-11-01 15:07	--------	d-----w-	c:\program files\Common Files\Adobe
2009-11-01 14:31 . 2009-11-01 14:31	--------	d-----w-	c:\program files\EuroTool
2009-11-01 13:31 . 2009-11-01 13:31	--------	d-----w-	c:\program files\Snelkoppelingen naar programma's
2009-11-01 13:25 . 2009-11-01 13:25	2232	----a-w-	c:\windows\java\Packages\Data\1JDZ7DV1.DAT
2009-11-01 13:25 . 2009-11-01 13:25	155995	----a-w-	c:\windows\java\Packages\S3NDZ93V.ZIP
2009-11-01 13:25 . 2009-11-01 13:25	2678	----a-w-	c:\windows\java\Packages\Data\NLBT3VHF.DAT
2009-11-01 13:25 . 2009-11-01 13:25	2678	----a-w-	c:\windows\java\Packages\Data\PBR531Z7.DAT
2009-11-01 13:25 . 2009-11-01 13:25	2678	----a-w-	c:\windows\java\Packages\Data\KJBNH3BN.DAT
2009-11-01 13:25 . 2009-11-01 13:25	2678	----a-w-	c:\windows\java\Packages\Data\HJJPJVJD.DAT
2009-11-01 13:25 . 2009-11-01 13:25	2678	----a-w-	c:\windows\java\Packages\Data\9RJ5V753.DAT
2009-10-08 13:57 . 2009-11-01 21:13	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2009-10-08 13:57 . 2008-07-29 18:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2009-10-08 13:57 . 2009-11-01 21:13	220160	----a-w-	c:\windows\system32\oleacc.dll
2009-09-25 05:50 . 2009-09-25 05:50	81920	------w-	c:\windows\system32\ieencode.dll
2009-09-17 12:51 . 2009-09-17 12:51	2373416	----a-w-	c:\documents and settings\All Users\Application Data\Nero\Nero 9\DrWeb\DrWeb32.dll
2009-09-17 11:58 . 2009-09-17 11:58	2373416	----a-w-	c:\documents and settings\All Users\Application Data\Nero\Nero\DrWeb\DrWeb32.dll
2009-09-11 14:20 . 2009-11-01 21:13	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:05 . 2009-11-01 21:13	58880	----a-w-	c:\windows\system32\msasn1.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Opstartpunten   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-11-01 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Matrox Powerdesk"="c:\windows\System32\PDesk\PDesk.exe" [2001-09-21 622592]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"Disc Detector"="c:\program files\Creative\ShareDLL\CtNotify.exe" [2001-08-01 191488]
"UpdReg"="c:\windows\Updreg.exe" [2000-05-11 90112]
"CTStartup"="c:\program files\Creative\Splash Screen\CTEaxSpl.EXE" [2001-09-15 28672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-08 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [1-11-2009 16:37 1758336]
R3 G550DH;G550DH;c:\windows\system32\drivers\g550dhm.sys [1-11-2009 14:22 324747]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.8.3/GarminAxControl.CAB
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHANS VERWIJDERD - - - -

HKLM-Run-framework - framework.exe
AddRemove-{3a7d4152-a878-4252-9235-87d4555e1563} - c:\program files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe  REMOVESERIALNUMBER=8M01-2085-KK25-2LEE-0UHL-8MPA-6H4U-EHAL



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-01 19:50
Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ... 

scannen van verborgen autostart items ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Disc Detector = c:\program files\Creative\ShareDLL\CtNotify.exe?X???????????????? C?????Disc Detector?B???A???????A?  ????B???@???@?? C???????@?????????@?B???A???????A?P ????B???@?????P?????@?? ??????~?:~??????????@???????????????????B?????\ ????????????????????????????B 
  CTStartup = c:\program files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4???????L:3?????\??? ??? ???\???\???????????5?:~e?:~\???\????????w`??????C@?\???\??????s????\??????s\???0:3?A??s0:3??C@?x???`|?w\?????@ 

scannen van verborgen bestanden ... 

Scan succesvol afgerond
verborgen bestanden: 0

**************************************************************************
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'explorer.exe'(2296)
c:\windows\System32\PDesk\PDKERNEL.DLL
c:\windows\system32\PDesk\PDTOOLS.DLL
c:\windows\system32\PDesk\PDRESENG.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\program files\Creative\ShareDLL\MediaDet.Exe
c:\windows\system32\CTsvcCDA.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\mgabg.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Voltooingstijd: 2009-12-01 19:52 - machine werd herstart
ComboFix-quarantined-files.txt  2009-12-01 18:52

Pre-Run: 119.498.911.744 bytes beschikbaar
Post-Run: 121.417.461.760 bytes beschikbaar

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 599FCB131416007CCE4FD352ADC5CD25

 

[kape]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [framework] framework.exe
O4 - HKCU\..\Run: [Videohost] C:\DOCUME~1\RICKWE~1\LOCALS~1\Temp\c.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Verwijder volgende vetgedrukte bestand :

C:\WINDOWS\framework.exe

En dan Malwarebytes er nog eens overheen. Maar nu wel de aangeduide items verwijderen. Want de melding "no action taken" zou er op kunnen wijzen dat je dat bij de eerste run niet gedaan hebt.

 

[XtcFm]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [framework] framework.exe
O4 - HKCU\..\Run: [Videohost] C:\DOCUME~1\RICKWE~1\LOCALS~1\Temp\c.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Verwijder volgende vetgedrukte bestand :

C:\WINDOWS\framework.exe

En dan Malwarebytes er nog eens overheen. Maar nu wel de aangeduide items verwijderen. Want de melding "no action taken" zou er op kunnen wijzen dat je dat bij de eerste run niet gedaan hebt.

Klopt. Dit log was voor het verwijderen. ik dat inmiddels gedaan en zaken als Framework.exe etc weggegooid. Ook heb ik deze uit het register gehaald.

C:\DOCUME~1\RICKWE~1\LOCALS~1\Temp\c.exe is ook weggegooid en uit het register gehaald.

Alles werkt weer naar behoren gelukkig. Ik zal vanavond het gekuiste HijackThis log plaatsen