Login loop (kan windows xp niet meer opstarten)

[Tobin]

Hey mensen,

Ik zit met een serieus probleem, sinds enkele dagen heb ik gemerkt dat ik met een virus zat. Na wat opzoekingwerk ben ik waarschijnlijk getroffen door dit virus (mischien andere naam maar ik herken wel al die files) http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=viewVirusDetailsInfoDirectly&fid=151023

Aangezien ik dit virus er niet afkreeg met AVG antivirus heb ik dan een trial version gedownload van Kaspersky AV (heeft me in het verleden al goed gehopen toen) en toen zijn de problemen pas begonnen.

Na een aantal waarschuwingen (en verwijdering van een aantal files die staan in bovenstaande link) startte windows opeens vanzelf terug op en kreeg ik te maken met mijn probleem, namelijk de login loop (na "welkom" druk ik op mijn enige account en kreeg ik laden instellingen bla bla) maar op dat moment ging hij niet naar mijn bureaublad maar bleef hij op het inlog scherm en meldde ie zich direct af.

Na wat opzoekingwerk kwam ik uit op dit probleem

http://support.microsoft.com/default.aspx?scid=kb;en-us;892893

Ik heb die oplossing geprobeerd maar die brengt geen soelaas.

Waarschijnlijk heeft mijn probleem te maken met een file "userinit.exe" die zich bevindt in de windows/system32 folder die het inloggen regelt en is die "sleutel" in het register veranderd of zelfs verwijderd (heb nog mensen tegengekomen op google groups) met ditzelfde probleem nl dat die registersleutel weg is.

Aangezien ik niet alles wil herinstallen (wat een herinstall met mijn reovery CD meebrengt) heb ik dan maar een tweede versie op mijn partitie D geplaats en zit ik via de deze op het internet.

Ben voor het moment ERD commander aan het downloaden (heeft daar iemand ervaring mee?) om zo naar die registersleutel te gaan en eventueel aan te passen.

als er iemand opmerkingen heeft of oplossingen: fire away want ik wil zeker geen herinstall doen, ik moet eigenlijk in mijn register raken en daarom hoop ik dat dit zal lukken met ERD commander

Sorry voor de lange post (voor diegene die hem gans gelezen hebben ) maar wou mijn situatie zo volledig mogelijk uitleggen.

[meon]

Als je 5x ctrl+alt+del doet in het welcome-scherm kan je ook als administrator aanmelden, helpt dat?

[Astralon]

Met ERD commander USERINIT.exe vervangen in originele Windows door USERINIT.EXE van de nieuwe Windows.

Je kan met ERD commander ook nog in de registry op zoek naar RUN, RUN ONCE voor zowel HKEY_LOCAL_MACHINE en HKEY_CURRENT_USER en kijken of er nog andere "vieze" dingen geladen worden.

[kaween]

Met ERD heb je ook nog toegang tot je XP herstelpunten; let wel op, deze werken niet 100% identiek aan de wijze waarop het in XP gebeurd.

Bij 2003 bijvoorbeeld wordt je complete documentenmap naar de erd-undo map verplaatst.

[Tobin]

Met ERD commander USERINIT.exe vervangen in originele Windows door USERINIT.EXE van de nieuwe Windows.

Je kan met ERD commander ook nog in de registry op zoek naar RUN, RUN ONCE voor zowel HKEY_LOCAL_MACHINE en HKEY_CURRENT_USER en kijken of er nog andere "vieze" dingen geladen worden.

Ben ik van plan om te doen maar is die ERD commander gemakkelijk te gebruiken of moet je een sterke technisch pc achtergrond hebben om het te gebruiken? Heb al gezocht naar een goede tutorial om het op de juiste manier te doen maar heb er nog geen gevonden.

Als je 5x ctrl+alt+del doet in het welcome-scherm kan je ook als administrator aanmelden, helpt dat?

Nee dat helpt niet, hij laadt zogezegd weer de instellingen maar hij meldt zich ook automatisch weer af dus dat er niet anders opzit om de pc uit te schakelen.

[kaween]

Als alle andere dingen falen :

Een herinstall kan je ook wel vermijden via een repair-install. Zijn wel een paar vereisten aan : XP2 geinstalleerd, en een XP SP2 install CD.

Je kan dan een in-place install doen (dus -niet- kiezen voor Repair, maar gewoon install bevolgen; als je de juiste versie hebt, zal je een install window krijgen met je bestaande locatie als selectie, en die kan je dan via een in-place install repareren); alle data, documenten en settings blijven dan bewaard.

[kaween]

ERD laad een mini-XP, vergelijkbaar met BartPE. Daar zit een registry editor in, waarmee je extern je beschadigde Registry kan proberen te editeren. Het techlevel wat je daarvoor nodig hebt is hetzelfde als dat van een gewone native registry edit.

[Tobin]

Als alle andere dingen falen :

Een herinstall kan je ook wel vermijden via een repair-install. Zijn wel een paar vereisten aan : XP2 geinstalleerd, en een XP SP2 install CD.

Je kan dan een in-place install doen (dus -niet- kiezen voor Repair, maar gewoon install bevolgen; als je de juiste versie hebt, zal je een install window krijgen met je bestaande locatie als selectie, en die kan je dan via een in-place install repareren); alle data, documenten en settings blijven dan bewaard.

Heb een OEM windows versie dus heb enkel een recovery CD rom, zonder de SP updates aangezien mijn PC al een aantal jaar oud is.

Ik zal die ERD commander proberen te gebruiken en ik laat iets weten of het lukt.

[Tobin]

Een kleine update,

Ik ga morgen die ERD commander uitvoeren aangezien ik nu geen tijd meer heb, maar ik heb wel een hijack log teruggevonden die ik op vrijdag nog heb laten uitvoeren (het probleem is begonnen op zaterdagnamiddag).

Code: Selecteer alles

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Allerlei\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\internst.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto


O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\RunServices: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar4.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar4.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar4.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar4.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar4.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar4.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: VC Poker - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\VCPOKE~1\client.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - D:\Program Files\MANSION\Villa\MANSION.exe
O9 - Extra 'Tools' menuitem: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - D:\Program Files\MANSION\Villa\MANSION.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E666CD48-AF8A-4A55-B9BB-0AFC9E6AD70B}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

het ding die er vooral bij mij uitspringt is deze regel (ook de winlogon torjan regel maar die is nu normaal weggewerkt met die kaspersky scan via mij D windows versie)

F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\internst.exe

Kan iemand mij vertellen of er iets merkwaardigs aan de hand is met deze 2 regels? Op verschillende websites heb ik gezien dat er maar 1 "," achter userinit.exe moet staan (in het register).

[Tobin]

Hier zijn we weer,

Heb uurtje geleden een boot iso gemaakt met ERD commander om te kijken wat een nu echt mis was.

Wat me opviel was:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon

bij gegevens van userinit staat hier:

%SystemRoot%\system32\userinit.exe,

Edit: nog effe dubbelgecheckt en ik zie dat het type hier REG_EXPAND_SZ is terwijl het in mijn register op de D schijf REG_SZ is
----> Ik weet niet of het kan helpen maar ik kan het maar vermelden.

Dus hier ga ik die systemroot veranderen door C:\WINDOWS


Maar de echte "boosdoener" denkik was de "value" van de naam "Shell".

Die staat namelijk op "explorer.exe 1". Om te vergelijken heb ik effe het register op mijn werkende d windows versie en daar staat ie op "explorer.exe".

Ben ik op de goede weg om ervan uit te gaan dat hier mijn probleem ligt. Wat doet die shell eigenlijk?

Als iemand hier antwoord zou kunnen opgeven (bijv door het zelf effe te checken), dank bij voorbaat.

[crapiecorn]

Als ik zo een dingen lees ben ik toch blij dat ik af en toe een ghost maak.

[BungaMan]

Edit: nog effe dubbelgecheckt en ik zie dat het type hier REG_EXPAND_SZ is terwijl het in mijn register op de D schijf REG_SZ is
----> Ik weet niet of het kan helpen maar ik kan het maar vermelden.

REG_EXPAND_SZ is om aan te duiden dat het environmental variabelen bevat. Die moeten vertaald/expanded worden eer ze door een programma kunnen gebruikt worden. Niks abnormaals aan.

[Tobin]

Hier is mijn afsluitende update,

Wel na veel trial and error ben ik er eindelijk in geslaagd om alles weer in orde te krijgen. De uiteindelijke oplossing lag erin om een system restore te doen naar een dag vóór mijn uiteindelijke crash met ERD.

Dan de files te deleten in ERD die dit virus met zich meebracht en vervolgens manueel een 30 tal seutels in het register te veranderen (gelukkig dat ik een website gevonden heb die de files en de getroffen sleutels beschreef anders zat ik hier nog te zoeken).

Wel nog 1 vraagje, ik zit zogezegd met een dual boot (op C en D) maar als ik mijn pc opstart krijg ik geep optie meer om één van de twee te kiezen. Hoe komt dat, ik zou gewoon in mijn D windows nog eens willen geraken om all programma's te unistallen op mijn D schijf. Kan je eigenlijk die windows uninstallen op die D schijf of moet ik alles gewoon deleten wat met windows te maken heeft (zoals doc and settings, windows/systems folders).

Al bij al had ik mischien beter een herinstall gedaan en alles terug geïnstalleerd maar deze beproeving is een goede les geweest (zal wel vaker mijn register backuppen enzo).

Met deze post wil ik dan ook iedereen bedanken die mij geholpen heeft (alhowel het niet atijd gemakkelijk moet zijn om advies te geven wanneer het gaat om zo'n specifieke problemen).

Wel nog mijn ene vraagje beantwoorden aub

[Astralon]

De system restore heeft waarschijnlijk ook je C:\boot.ini teruggezet zodat je terug een single boot hebt. Die boot.ini ziet er dan ongeveer zo uit:

Code: Selecteer alles

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Als je nu terug de installatie op D: wil activeren kan je boot.ini uitbreiden naar:

Code: Selecteer alles

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional SOS" /fastdetect /NoExecute=OptIn

Alleen de laatste lijn is manueel toegevoegd.

Wel voorzichtig zijn met dit bestand te wijzigen of je kan helemaal opnieuw beginnen. Ik maak zelf altijd een kopij naar bvb boot.ini.org zodat ik het eventueel terug kan zetten met ERD.

Anderzijds zou ik in jouw geval gewoon alles van de D weghalen want de instellingen, default, enz... van de programma's worden in de registry opgeslaan. En de registry zelf staat op D:\Windows. Dus de mappen "Program Files" en "Windows" verwijderen van D: lijkt me het makkelijkst.