kape

Eigenlijk was het dat wat ik al een beetje verwacht had. Gooi die hele Norton-zooi eraf (best met de Norton Removal Tool) en download zo snel als je kan een virusscanner type AVG Free of Antivir (licht en betrouwbaar ... en gratis) Want zonder bescherming het net op is wel het domste wat je in deze tijden kan doen. Je hebt de gevolgen aan den lijve ondervonden. Snel downloaden ... als ik jou was !

Er bestaat wel behoorlijk wat betwisting over Hitman Pro, maar massa's gebruikers hebben er geen problemen mee. Waarom zou je die dan niet meer mogen gebruiken ? Persoonlijk ben ik er geen fan van, maar dan is ieders keuze. Dit is absolute bullshit. Kom eens met bewijzen af en niet met wilde veronderstellingen.

In CCleaner : mag je het woordje "problemen" vervangen door "register" : foutje, sorry en dan gewoon uitvoeren wat er beschreven is. Wat mij betreft zijn we er door ... tenzij jij nog hier of daar een probleem te melden hebt. Blijft voor mij de onbeantwoorde vraag hoe je zo zwaar besmet bent geraakt, terwijl je toch een Norton Internet Security op je PC zitten hebben. Maar dat zullen wel de wonderen van de computerwereld zijn

We zijn er bijna (hoop ik). Open Kladblok, kopiëer en plak het volgende vetgedrukte in een leeg venster:File:: C:\WINDOWS\imsins.BAK Sla dit op op je Bureaublad als CFScript . Sleep CFScript in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als daarom gevraagd wordt. Download CCleaner. Iinstalleer het en start het op. Klik in de linkse kolom op “Opties” . Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Problemen” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af.. Post tenslotte de inhoud van de nieuwe Combofix.txt in je volgende antwoord.

We zijn er bijna (hoop ik). Open Kladblok, kopiëer en plak de volgende vetgedrukte tekst in een leeg venster: File:: C:\WINDOWS\system32\ctl3dv.dll C:\WINDOWS\system32\RVAXO.bat C:\WINDOWS\system32\drvnep.dll C:\asswegsh.exe C:\WINDOWS\system32\drivers\kpihvhgk.dat Folder:: C:\RVAXO Registry:: [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7ACED46D-F203-443D-BD06-1622E7FCF7D5}] Sla dit op op je Bureaublad als CFScript.txt Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als daarom gevraagd wordt. Er zitten nog sporen van twee andere pokerprogramma’s in de logs : C:\Program Files\Full Tilt Poker C:\Program Files\e-texaspoker client Als je deze twee niet gebruikt mag je beide mappen kopiëren en mee in het kladblok plakken in de rubriek “Folder::” Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties” . Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Problemen” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af.. Post de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw HijackThislogje en laat eens horen hoe het nu allemaal werkt.

Schitterend Dit ziet er al perfect uit Nu nog dat nieuw logje van Combofix (als het niet te veel gevraagd is) aan een nieuw berichtje hangen. En daarna denken we dan wel eens hard na over dat van die bijlagen. Met welk mailprogramma werk je, overigens ?

Als die Deamon Search niet bewust is, moet je die ook nog even fixen met HJT. Start Hijackthis op en kies voor 'Do a system scan only' en selecteer : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Web Search :: DAEMON-Search.com Klik op 'Fix checked' om het item te verwijderen. Het lijkt me dan ook nog nodig dat je zelf een nieuwe startpagina instelt. Maar dat moet je zelf even bekijken. En Pokerstars en Unibet zijn niet echt een probleem als je ze zelf hebt gedownload en continu gebruikt.

Doe gewoon even verder met al de rest en dan kijken we wel wat er nog (eventueel) niet lukt. Meldt dat dan ook in je volgende bericht bij de logjes.

Oei … lang geleden dat ik nog een PC met zo’n pak rotzooi heb onder ogen gekregen. Die Combofix heeft behoorlijk huisgehouden en al flink wat opgekuist. Maar er is nog wat werk aan de winkel. Wil je nu alles wat hieronder staat eerst even uitvoeren en daarbij een aantal nieuwe logs maken. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\system32\bpkwb.dll (file missing) O2 - BHO: (no name) - {7ACED46D-F203-443D-BD06-1622E7FCF7D5} - C:\WINDOWS\system32\ctl3dv.dll O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe Klik op 'Fix checked' om de items te verwijderen. Die keylogger is toch één van de oorzaken van een deel van je problemen. Dus zal je hem toch moeten opkuisen. Kan je hem via Software verwijderen, dan is dit perfect. Zo niet, het vetgedrukte bestand verwijderen via Verkenner C:\WINDOWS\system32\bpk.exe Verwijder ook alvast de Messenger Plus van deze PC via Configuratiescherm > Software. Deze is geinstalleerd met rotzooi erin. Wacht nog even vooraleer je deze terug installeert (zonder de spyware) tot deze PC terug in orde is en dan kan je de Messenger (zonder extra publiciteit) terug downloaden. Download SmitfraudFix.zip. Pak het uit naar je bureaublad. Start je PC op in Veilige Modus, open de map SmitfraudFix en dubbelklik op Smitfraudfix.cmd. Kies optie 2 (Clean) om alle besmette bestanden te laten verwijderen. Als er gevraagd wordt om het register op te kuisen, sta je dit toe. Er wordt ook onderzocht of het bestandje wininet.dll besmet is. Indien dit het geval is, zal je de vraag krijgen om deze te vervangen. Type dan Y in achter de prompt en druk op Enter. De kans bestaat dat je PC herstart wordt in normale modus. Is dit niet het geval doe je dit handmatig zodat het zijn taak volledig kan uitvoeren. Er zal een tekstbestandje openen met de resultaten van de fix. (c:\rapport.txt). Sla dit op je bureaublad op. Herstart de computer in normale modus. Laat opnieuw Combofix los op je PC. Nu graag volgende rapporten en logs in een volgende bericht posten : -rapport van Smitfraud -een nieuw log van HiJackThis -het nieuwe log van Combofix

@ PSolutions, Stuur je hierover een PM.

Op het eerste zicht geen al te groot onheil aan boord. Maar dit mag je eerst eens uitvoeren ... en laat dan eens horen of er iets gewijzigd is in de situatie ? Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - Online Casino | Online Casino | www.intercasino.com | Secure Online Gambling, Online Poker & Betting at the Best Online Casino & Internet Poker Room | Secure Online Gambling, Online Poker & Betting at the Best Online Casino & Internet Poker Room (file missing) (HKCU) O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - Online Casino | Online Casino | www.intercasino.com | Secure Online Gambling, Online Poker & Betting at the Best Online Casino & Internet Poker Room | Secure Online Gambling, Online Poker & Betting at the Best Online Casino & Internet Poker Room (file missing) (HKCU) Klik op 'Fix checked' om de items te verwijderen. Met Windows verkenner volgend vetgedrukte map verwijderen : C:\Program Files\PartyGaming Twee vraagjes : is Web Search :: DAEMON-Search.com een bewuste keuze als startpagina ? zijn Poker Stars en Unibet Poker programma’s waarmee je effectief werkt ? Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected.

Wat die firewall betreft : ga naar Start -> Uitvoeren, typ hier in services.msc en kijk of Windows Firewall (WF) / Internet-verbinding delen (ICS) op automatisch en gestart staat. Of heb je toevallig Windows Live One Care op je PC geïnstalleerd ? Dan wordt de XP-firewall uitgeschakeld en krijg je deze foutmelding. En nu het je gelukt is om alle foute bestanden te verwijderen, wil je dan eens opnieuw een kraakvers log van HiJackThis en Combofix maken. Dan kunnen we opnieuw beginnen met propere gegevens. Laat ook eens weten waar je nu nog problemen mee hebt, want het is ondertussen zo'n lang verhaal dat we de draad een beetje aan het kwijtraken zijn door de verschillende problemen. Of wat je nog graag opgelost zou zien ?

Als de suggestie van PSolutions geen oplossing biedt, maak dan eens een log aan met HiJackThis Plaats het log in een volgend bericht en dan kijken we wel verder.

RVAXO heeft zijn werk goed gedaan. Open de map RVAXO op je bureaublad en dubbelklik Uninstall.cmd Daarmee verwijder je alles van RVAXO. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O4 - HKLM\..\Run: [c0790c1a] rundll32.exe "C:\WINDOWS\system32\unahsnvk.dll",b Klik op 'Fix checked' om de items te verwijderen. Download Combofix.exe en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan Je hebt ook een massa programma's die onnodig mee opstarten. Download Codestuff Starter. Start Codestuff Starter op. Selecteer het tabblad Automatisch OPstarten en vink volgende items uit. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" –atboottime O4 - HKLM\..\Run: [snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Wat dat FBI-bootscreen betreft (ken ik eigenlijk zelf niet zo goed), heb ik deze oplossing gevonden : kijk in Configuratiescherm > Systeem > tabblad Geavanceerd > Opstart en herstelinstellingen. Klik daar op instellingen en bij "Lijst met besturingssystemen x seconden weergeven" het vinkje weghalen. Probeer dat alvast eens uit. De fout Runner Error Runner file name (LogitechDesktopMessenger.exe) lacks a '-' (the app id seperator) verschijnt normaal als bij het opstarten gezocht wordt naar deze file, maar dat je die niet meer op je PC hebt omdat de software verwijderd is. Zoek eens of dat bestand LogitechDesktopMessenger.exe nog ergens te vinden is ? Post daarna het log van Combofix en een nieuw log van HJT aub ?

Dat moet je toch even verduidelijken. Wat heb je gevonden ? Heb je de bestanden uit een vorig bericht gevonden en kunnen verwijderen ? Of enkel de uitleg die ik je gegeven heb ? Want we zouden er toch eerst in moeten slagen om al die foute bestanden weg te krijgen. Welke firewall gebruik je : Windows, ZoneAlarm ??? Om je te kunnen helpen zal je toch de exacte foutmelding eens moeten doorgeven, want zo is het koffiedik-kijken. Mmmm, ik kom wel even langs

Smakelijk :):)

Alle eerder gemelde bestanden zitten nog op je computer, dus zou je die ook moeten kunnen vinden via Verkenner. Tenzij om één of andere reden deze niet zichtbaar zouden zijn. Stel eens via Deze Computer -> Extra -> Mapopties volgende mogelijkheden beschikbaar : - inhoud systeemmappen weergeven = aanvinken - verborgen bestanden en mappen weergeven = aanvinken. Dan PC terug opstarten. Probeer eens of je dan de bestanden uit mijn eerder bericht te zien krijgt en deze kan verwijderen ?

WhenUSave zit nog op je PC. Kan je die verwijderen via Configuratiescherm -> Software ? Anders via Verkenner : C:\Program Files\Save Start Hijackthis nog eens op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download: RVAXO.exe Sla het bestand op je bureaublad op, dubbelklik het en kies voor "Unzip" om het uit te pakken. Open nu de map RVAXO op je bureaublad en dubbeklik RVAXO.cmd Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal. Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen. Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw. Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig. Post tenslotte het log-bestandje van RVAXO en een nieuw HJT-log. Die keylogger heb je laten staan, heb ik opgemerkt. Geen probleem. En wat die ccApp betreft : dat is je real time protector van Norton Antivirus. Hoe zit het inmiddels met de snelheid van je PC, want er is toch al één en ander verwijderd ?

Het wordt er nog vreemder op. Wil je eens opnieuw een log met Combofix maken en dat hier plaatsen. Ik stuur je ondertussen ook een persoonlijk bericht met een speciaal vraagje.

OK, eerst die One Step. Als je hem via Software niet kan verwijderen, doe je dit via Windows Verkenner door volgende vetgedrukte map te deleten : C:\Program Files\OneStepSearch Indien dit niet onmiddellijk lukt kan het zijn dat je de service OneStep Search Service eerst moet uitschakelen. Via HJT mag je dan ook volgende lijn fixen : O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Program Files\OneStepSearch\onestep.exe En wat die keylogger betreft :Blazing Tools Keylogger registreert niet alleen je keystrokes, maar kan ze ook verzenden en is dus een veiligheidsrisico. Als je deze bewust gebruikt, mag je hem dus schrappen in het lijstje van te fixen items. Maar persoonlijk ben ik daar absoluut geen voorstander van ... maar het is uiteraard jouw PC.

Sorry, jongens ... dit was me even ontsnapt. Waarschijnlijk omdat het niet in de spyware- en virussectie stond. Maar goed ... Yannick zat al op het goede spoor, maar er is nog meer te doen. Even een volledig overzicht : Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O3 - Toolbar: Zango - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Zango\bin\10.0.370.0\HostIE.dll (file missing) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe O4 - HKLM\..\Run: [ZangoOE] C:\Program Files\Zango\bin\10.0.370.0\OEAddOn.exe O4 - HKLM\..\Run: [ZangoSA] "C:\Program Files\Zango\bin\10.0.370.0\ZangoSA.exe" O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" O4 - Startup: TA_Start.lnk = C:\Documents and Settings\Compaq_Eigenaar\Local Settings\Temp\BundleDownloader\22.ex_ O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing) O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing) O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Program Files\Bodog Poker\BPGame.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Als je PartyPoker bewust hebt gedownload en gebruikt, mag je de onderstaande lijntjes in HJT laten bestaan. Is dit niet het geval dan mag je deze ook met HJT fixen. O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe Volgende vetgedrukte mappen en./of bestande mag je via Windows Verkenner verwijderen C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32\bpk.exe C:\Program Files\Zango C:\Program Files\Save Indien PartyPoker niet gebruikt wordt, moet je ook volgende vetgedrukte map nog verwijderen : C:\Program Files\PartyGaming Blijft er nog een extra vraag : heb je OneStep bewust gedownload of is dit ook een toevallige download. Want dit is een programma met een erg bedenkelijke reputatie dat je beter niet op je PC hebt staan. Laat maar weten, dan volgen de instructies om ook dat (eventueel) te verwijderen. Nog dit : je Java software is verouderd. oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren: Download Java Runtime Environment (JRE) 6u3 [*]Scroll omlaag naar : "Java Runtime Environment (JRE) 6u3". [*]Klik op de "Download" knop aan de rechterkant. [*]Vink aan: "Accept License Agreement". [*]De pagina zal herladen. [*]Klik op de link om Windows Offline Installation te downloaden met Meerdere-talen, en bewaar het naar je Bureaublad. [*]Sluit alle programma's die eventueel open zijn - Zeker je web browser! [*]Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst. [*]Vink alles aan met Java Runtime Environment (JRE of J3SE) in de naam. [*]Klik dan op Verwijderen of op de Wijzig/Verwijder knop. [*]Herhaal dit tot alle oudere versies verdwenen zijn. [*]Na het verwijderen van alle oudere versies, herstart je pc. [*]Dubbelklik vervolgens op jre-6u3-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Maak dan een nieuw log van HiJackThis en hang dit in een volgend bericht. Dan kijken we verder …

OK, probeer dan eens of je de verschillende bestanden - dat lange lijstje - onder de rubriek "file" gewoon via Windows Verkenner kan verwijderen ?

Vreemd. Probeer eens het volgende. Open weer een kladblokscherm en plak er enkel dit in : File:: C:\WINDOWS\imsins.BAK Opslaan als CFScript.txt en slepen naar Combofix. En kijk dan eens of hetzelfde gebeurt ?

Open een kladblokbestand en kopieer daar onderstaande vetgedrukte tekst in: File:: C:\WINDOWS\imsins.BAK C:\WINDOWS\DUMPab1f.tmp C:\WINDOWS\DUMPab00.tmp C:\WINDOWS\DUMPa582.tmp C:\WINDOWS\DUMPa488.tmp C:\WINDOWS\DUMPc1d4.tmp C:\WINDOWS\DUMPbcc3.tmp C:\WINDOWS\DUMPb9d5.tmp C:\WINDOWS\DUMPb580.tmp C:\WINDOWS\DUMPa505.tmp C:\WINDOWS\DUMPa4f5.tmp C:\WINDOWS\DUMP8193.tmp C:\WINDOWS\DUMP36ee.tmp C:\WINDOWS\DUMPb215.tmp C:\WINDOWS\DUMP3c6c.tmp C:\WINDOWS\DUMPb2c0.tmp C:\WINDOWS\DUMPb030.tmp C:\WINDOWS\DUMPb04f.tmp C:\WINDOWS\DUMPb987.tmp C:\WINDOWS\DUMPb34d.tmp C:\WINDOWS\DUMPaf65.tmp C:\WINDOWS\DUMPb021.tmp C:\WINDOWS\DUMPaff2.tmp C:\WINDOWS\DUMPb011.tmp C:\WINDOWS\DUMPb10b.tmp C:\WINDOWS\DUMP32c8.tmp C:\WINDOWS\DUMP3f2b.tmp C:\WINDOWS\DUMP3373.tmp C:\WINDOWS\DUMPa812.tmp C:\WINDOWS\DUMPaf07.tmp C:\WINDOWS\DUMPbe3a.tmp Folder:: C:\Program Files\Macrogaming\SweetIM Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM] -ra------ 2007-10-14 18:09 103712 C:\Program Files\Macrogaming\SweetIM\SweetIM.exe Sla het kladblokbestand op op je bureaublad als: CFScript.txt Sleep dit bestand in het logo van Combofix. Dit zal Combofix doen herstarten. Start opnieuw op als daarom gevraagd wordt. Post de inhoud van het nieuwe log Combofix.txt en een nieuw log van HiJackThis. De rest van je vragen zullen we – al je het goed vindt - aanpakken nadat de resultaten van deze acties gekend zijn.

Tja, een beetje ervaring zeker. En heel wat studie over HJT en spyware. In jouw geval zat het probleem niet in de drie lijntjes die ik je op het einde nog heb laten fixen (dat is eigenlijk maar opkuiswerk), maar wel in je eerste log van HJT. Als je daar kijkt naar deze service : O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe, dan zie je (alleen aan de structuur al) dat er iets mis is. Bovendien is het bestand "svchost" een klassieker in de wereld van de besmettingen. En dan is het uitzoeken met welk tooltje je dit kan opkuisen. In dit geval heeft SDFix de oplossing geboden. In jet log van SDFix zie je dat het deze O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe verwijderd heeft ... en daar lag de kern van je probleem. Wil je wat meer weten over HJT en de verschillende infecties kan je misschien hier al eens wat lezen.Ook ik ben tevreden dat we dat zaakje netjes hebben kunnen oplossen (op een snelle en redelijk "eenvoudige" manier). En je vraag hoe die besmetting is binnengekomen, moet ik helaas onbeantwoord laten. De wondere wereld van de PC en de virus- en andere scanners, zeker