Je moet het zelf weten Maarten, maar als mijn computer 3 dagen na formatteren zo besmet moest zijn, dan koos ik voor een nieuwe installatie.

Ik zie geen antivirusprogramma op de computer en dat is al één van de oorzaken.
Gebruik geen cracks, patches of illegale software want dat is vragen om problemen.

Ik wil je van deze malware afhelpen, maar denk er toch eens goed over na.
Laat maar weten wat je wil doen.

De reden dat ik nog geen virus scanner op de computer heb zitten is omdat ik daar nog niet de kans voor heb gekregen aangezien er bij elke installatie het scherm na een 5 tal seconden weer word afgesloten. Is de beste manier gewoon om een nieuwe installatie te doen of is er een andere manier om dit te verhelpen?

Het liefst zou ik gewoon dit verhelpen ipv de hele procedure van een nieuwe installatie nog een keer te doen.

Groet

Maarten

Na installatie, en voor je contact maakt via het internet, moet je eerst een antivirusprogramma installeren.

We kunnen de infecties proberen te verwijderen, lukt meestal wel.

Ja dat ben ik helaas nu op een domme manier achtergekomen

Zou echt geweldig wezen als iemand mij kan helpen.

Groet

Maarten

Sluit alle open vensters.
Start HijackThis nog een keer en plaats een vinkje bij de volgende items:

F3 - REG:win.ini: load=C:\WINDOWS\System32\jkhhg.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvnar.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp .exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass .exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Klik daarna op "Fix checked" en sluit HijackThis af.

Download combofix.exe: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Plaats het op je bureaublad.
Dubbelklik er op om het programma te starten.
In het scherm dat verschijnt tik je een 1 in om het cleaning- en analysesproces te laten uitvoeren.
Volg de instructies op het scherm.
Als het tooltje klaar is, opent er een logfile (combofix.txt).
Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.

Hey ik heb gedaan wat je zei en het probleem lijkt opgelost te zijn. Hier zijn mijn 2 logjes :

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:47, on 20-1-2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\System32\wupeng.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200339482359
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 2378 bytes




En hier de combofix log :

ComboFix 08-01-20.1 - Maarten 2008-01-20 14:22:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1043.18.249 [GMT 1:00]
Gestart vanuit: C:\Documents and Settings\Maarten\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt

WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\autorun.exe
C:\Documents and Settings\Maarten\Application Data\printer.exe
C:\Documents and Settings\Maarten\Bureaublad\Find Spyware Remover.lnk
C:\Documents and Settings\Maarten\Bureaublad\Free Online Dating.lnk
C:\Documents and Settings\Maarten\Bureaublad\Go to Casino.lnk
C:\Documents and Settings\Maarten\Menu Start\Programma's\Opstarten\findfast.exe
C:\Program Files\Helper
C:\Program Files\Helper\Helper9.dll
C:\Program Files\lsass.exe
C:\Program Files\Messenger\msmsgs .exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\spoolsv.exe
C:\Program Files\ucleaner_setup.exe
C:\Program Files\Ultimate Cleaner
C:\WINDOWS\avp .exe
C:\WINDOWS\avp.exe
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\lsass .exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\shell.exe
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\drvnarr.dll
C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkhhg.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nnnnnnl.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\RCX14.tmp
C:\WINDOWS\system32\RCX2B.tmp
C:\WINDOWS\system32\RCXD.tmp
C:\WINDOWS\system32\RCXE.tmp
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\vtuuvtr.dll
C:\WINDOWS\system32\winbjv32.dll
C:\WINDOWS\system32\wowfx.dll

.
.
(((((((((((((((((((( Bestanden Gemaakt van 2007-12-20 to 2008-01-20 ))))))))))))))))))))))))))))))
.

2008-01-20 14:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-19 17:33 . 2008-01-19 17:33 <DIR> d-------- C:\Program Files\Trend Micro
2008-01-17 15:38 . 2008-01-17 15:38 <DIR> d-------- C:\Program Files\Lavasoft
2008-01-17 15:38 . 2008-01-17 15:38 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-17 15:37 . 2008-01-17 15:37 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-01-17 15:14 . 2008-01-20 14:15 18,944 --a------ C:\WINDOWS\avp.exe
2008-01-17 14:47 . 2008-01-17 14:47 103,424 --a------ C:\WINDOWS\system32\drvnar.dll
2008-01-17 14:38 . 2008-01-17 14:40 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-01-17 14:38 . 2008-01-17 14:38 <DIR> d-------- C:\Program Files\ATI Technologies
2008-01-17 14:38 . 2006-05-03 11:57 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-01-17 14:38 . 2008-01-17 14:38 1,022 --a------ C:\WINDOWS\ATICIM.INI
2008-01-17 14:37 . 2008-01-17 14:38 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-01-17 14:34 . 2008-01-17 14:34 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-01-14 23:08 . 2008-01-17 14:34 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-14 22:45 . 2008-01-14 22:45 <DIR> d-------- C:\Program Files\Common Files\Blizzard Entertainment
2008-01-14 22:18 . 2008-01-15 17:20 <DIR> d-------- C:\Program Files\World of Warcraft

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 21:18 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-14 19:31 --------- d-----w C:\Program Files\Lavalys
2008-01-14 19:28 --------- d--h--w C:\Program Files\Uninstall Information
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-08 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winupdate Engine"="C:\WINDOWS\System32\wupeng.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-08 13:00 13312]


*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 14:29:50
Windows 5.1.2600 Service Pack 1 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

**************************************************************************
.
Voltooingstijd: 2008-01-20 14:31:04 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-20 13:30:32
.
2008-01-17 13:31:41 --- E O F ---

Sluit alle open vensters.
Start HijackThis nog een keer en plaats een vinkje bij de volgende items:

O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\System32\wupeng.exe

Klik daarna op "Fix checked" en sluit HijackThis af.

Ik vrees wel dat je messenger om zeep is.


Installeer een virusscanner, laat je volledige computer scannen. Laat verwijderen wat de scanner vindt.

Meld je terug met een nieuwe hijackthislog.