[XP-SP1] Kan windows niet meer starten. - Windows clients

vrijdag 17 juni 2005 19:23

Acties:

Verwijderd

Topicstarter

Hallo,

Ik had last van de spyware Aurora / nail.exe, om dat te verwijderen werd me aangeraden in veilige modus te rebooten.

Ik geeft aan dat ik in veilige modus wil restarte (via msconfig).

De computer begint te restarten maar valt uit op een zwart scherm en restart zen eige nogis.

Ik kom op het scherm waar ik kan kiezen: veilige modus - normaal - recent werkende. Maar geen van deze mogelijkheden werken.
Wanneer ik één van de veilige modus mogelijkheden kies komt er een zwart scherm met onderaan "Press Esc to cancel loading d347bus.sys" en iet later restart de pc zen eige.
Wanneer ik normaal of recent werkende kies lukt het tot dat windows scherm met lopend balkje verschijnt. Dat balkje loopt vast, ik kan nog net dat blauw error scherm zien (een halve second, ik kan het niet lezen) en dan restart die zn eige.

Ik heb op het internet al dit gevonden maar dat helpte niet.

Ook vond ik dat d347bus.sys denk ik veroorzaakt wordt door Daemon Tools, maar ik weet niet hoe ik het kan oplossen.

Hieronder is mijn log van HijackThis net voordat ik mijn pc in velige modus wilde starten.

Ik kan nu niet meer met mijn pc werken. HELP!

(Ik ben nu met een andere pc op internet.)

code:

Logfile of HijackThis v1.99.1
Scan saved at 15:17:08, on 17/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Telemeter 3.0\telemeter3.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Red Chair Software\Notmad Explorer\notmgr.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
c:\windows\system32\unecxwi.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\Winamp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Soulseek\slsk.exe
C:\Documents and Settings\Philip\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.213.73.229:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [rdxwlc] c:\windows\system32\unecxwi.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Notmad Manager.lnk = C:\Program Files\Red Chair Software\Notmad Explorer\notmgr.exe
O4 - Startup: VoipBuster.lnk = C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Kan iemand mij hiermee aub helpen? Ik heb al een tijdje gezocht maar kan niets vinden.

vrijdag 17 juni 2005 19:34

Acties:

Motrax

Profileert

Ha, gefeliciteerd, Aurora is vrij hardnekkig

Kan je de HT-log nog tussen [code][/code]haakjes zetten? Dat is leesbaarder omdat er dan ook nummers aan de regels worden toegevoegd.

In dit forum staat er meer over:
Beveiliging & Virussen
Daar is wat meer over te vinden door te zoeken op aurora...

Ik heb al een een topicmove aan gevraagd voor je

Wat zijn dit voor exe's? Haal ze even door een online-virusscanner: http://virusscan.jotti.dhs.org/
C:\Program Files\Red Chair Software\Notmad Explorer\notmgr.exe --> Creative iets?
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\WINDOWS\System32\CTsvcCDA.EXE --> creative iets?
c:\windows\system32\unecxwi.exe --> dit is bijna gegarandeerd troep
O4 - HKLM\..\Run: [rdxwlc] c:\windows\system32\unecxwi.exe --> dit is bijna gegarandeerd troep
O4 - Startup: Notmad Manager.lnk = C:\Program Files\Red Chair Software\Notmad Explorer\notmgr.exe
Edit: de belangrijkste vergeten: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe --> dit is Aurora...

Meer rare dingen kan ik eigenlijk niet vinden. Als de exe-bestanden troep zijn, verwijderen en ook het opstarten ervan voorkomen.

Ow en als je toch bezig bent, waarom zit je nog op SP1 en niet op SP2? Daaarmee loop je al een stuk minder risico

Hoewel je Aurora wel zou zijn opgelopen met SP2...

In een ander topic staat wel wat goede informatie, ziet er hoopgevend voor je uit:

Verwijderd schreef op dinsdag 24 mei 2005 @ 14:18:
[...]

Ja klopt ik heb het verder niet onderzocht maar inderdaad klinkt niet betrouwbaar.

Ik heb een andere redelijk makkelijk manier gevonden op een andere site en deze werkt perfect. Bij mij is het Aurora programma helemaal weg. De beschrijving staat op

http://www.antispywareoff...ive/index.php/t-4956.html

Je moet de eerste aanwijzigingen volgen. dan kun je een heleboel overslaan tot download Killbot
Hierna opnieuw opstarten en mbv hackthis de laatste restjes verwijderen.Simpel gezegd:

1. Schakel MS spyware uit.
2. Open Kladblok. Kopieer de tekst uit de onderstaande box en plak die in een nieuw doocument:

@ECHO OFF
cd %windir%
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
cd %windir%\system32
attrib -s -r -h DrPMon.dll
del DrPMon.dll
exit

Kies Bestand -> Opslaan
Selecteer bij "Opslaan in": Bureaublad
Vul bij "Bestandsnaam" in: remove.bat
Selecteer bij "Opslaan als type": Alle bestanden
Klik op "Opslaan".

(Gebruik het bat-bestandje nog niet, sla het alleen even op op je bureaublad. Straks in veilige modus heb je het nodig.)

3. Download en installeer Ewido: http://download.ewido.net/ewido-setup.exe
Na de installatie start je het programma op. Je zult de melding krijgen dat de database niet aanwezig is. Klik bij die melding op "OK". Ga vervolgens naar "Update" en kies "Begin met updaten". Is het updaten klaar, sluit Ewido dan af (dus nog niet scannen, alleen de updates ophalen).

Download Pocket Killbox: http://www.atribune.org/downloads/KillBox.exe

4. Herstart de pc in veilige modus.
Kies hier eventueel voor uitleg: http://www.virushelp.nl/veilige_modus.htm

5. Scan met HijackThis ("Do a system scan only").

Vink de volgende regels aan:

F2 - REG:system.ini: Shell=Explorer.exe I:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [ikbdcz] i:\windows\system32\sjdrnx.exe
(ikzelf vond dit bestand niet; maakt niet uit)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

6. Dubbelklik op remove.bat, dat op je bureaublad staat.
Er zal even een dos-venstertje verschijnen en weer verdwijnen. Dat is de bedoeling.

7. Start Ewido. Laat het een volledige systeemscan doen en alles verwijderen wat het vindt.
Aan het einde van de scan krijg je de mogelijkheid een log te bewaren. Bewaar dat log!

8. Start Pocket Killbox door te dubbelklikken op killbox.exe.

Kopieer de volgende vetgedrukte regel en plak die in de box bij "Full Path of File to Delete":

C:\WINDOWS\Nail.exe

Kies de optie: "Delete on reboot".
Kies de optie: "End Explorer Shell While Killing File".
Klik op de rode knop met het witte kruis erin.
Killbox zal aangeven dat het bestand bij reboot zal worden verwijderd.
Ga daarmee akkoord.
Killbox zal vragen of je nu wilt rebooten.
Ga daarmee akkoord.

Je pc wordt nu opnieuw opgestart en het bestand wordt verwijderd.

9. Herstart de PC in normale modus.
10. Je krijgt een foutmelding: foutmelding kan nail.exe niet vinden.
11. Start HiJackThis en verwijder

F2 - REG:system.ini: Shell=Explorer.exe I:\WINDOWS\Nail.exe

Zorg er wel voor dat de programma's die het fixen zouden kunnen tegenhouden of ongedaan kunnen maken, zoals MS AntiSpyware en Solo, zijn uitgeschakeld en bij reboot niet met Windows mee opstarten.

Na het fixen rebooten. Dan zou de regel weg moeten zijn.

[ Voor 103% gewijzigd door Motrax op 17-06-2005 19:51 ]

vrijdag 17 juni 2005 19:49

Acties:

Verwijderd

Topicstarter

Wel die spyware is nu niet het hoofdprobleem dat was maar om heel de situatie uit te leggen.
Het probleem is: ik kan die pc nu niet meer starten.

C:\Program Files\Red Chair Software\Notmad Explorer\notmgr.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
Zijn zeker OK.

[ Voor 34% gewijzigd door Verwijderd op 17-06-2005 19:51 ]

vrijdag 17 juni 2005 19:59

Acties:

Motrax

Profileert

Verwijderd schreef op vrijdag 17 juni 2005 @ 19:49:
Wel die spyware is nu niet het hoofdprobleem dat was maar om heel de situatie uit te leggen.
Het probleem is: ik kan die pc nu niet meer starten..

Hmm... overheen gelezen eigenlijk

Via Google krijg ik 2 hits terug, eentje van een Frans forum, even door Babelfish gegooid:
http://babelfish.altavist...Fviewlasttopic-34823.html

I found only one solution (which functions:p) it is of booter on CD of Windows XP, and in Réparer (the console), to make a checking CHKDSK (to type CHKDSK and the error will be repaired), then Windows will start again normally.

redemarrer your machine, (with your Cd xp inside), and outward journey on the console of recuperation.
when you are there do one to dir d347bus.sys /s to know the way of your file
when the file has ete located tappe the following order by completant the way:
ren chemin/d347bus.sys d347bus.sys.old
once that will have been made redemarre your station and crosses the fingers.

apparament this file is related to deamon tools
it can test désinstaller this program if it arrives at booter in mode without failure while passing the loading of the file sys or to erase carément it (for example in console repair to see manipulation so above

Ik kan er niet uit opmaken dat jouw opstartprobleem spyware-gerateerd is. In ieder geval klinken de aangedragen oplossingen best redelijk. Succes dus

vrijdag 17 juni 2005 20:46

Acties:

Verwijderd

Topicstarter

Ik heb in c:\windows\system32\drivers\ de bestanden d347bus.sys en d347prt.sys gerenamed. Op dat zwart scherm komt die cancel boodschap nu niet meer, maar hij blijft wel restarten.

vrijdag 17 juni 2005 21:32

Acties:

EricJH

Je kunt vanuit het herstelconsole of als je in DOS geboot bent systeem herstel aanroepen en proberen of je het daarmee vlot trekt. Het staat hier: %SystemRoot%\System32\restore\rstrui.exe.

vrijdag 17 juni 2005 22:10

Acties:

Verwijderd

Topicstarter

Ik heb geboot van CDrom en ik kan dat precies niet. "De opdracht is niet geldig."

vrijdag 17 juni 2005 22:31

Acties:

Motrax

Profileert

Verwijderd schreef op vrijdag 17 juni 2005 @ 20:46:
Ik heb in c:\windows\system32\drivers\ de bestanden d347bus.sys en d347prt.sys gerenamed. Op dat zwart scherm komt die cancel boodschap nu niet meer, maar hij blijft wel restarten.

Hmmm en chkdsk heb je ook al uitgevoerd? En je kan nog steeds niet in safe of normale mode starten en alle opstartopties werken niet?

En gokje is nog het volgende:
Maak een leeg tekstbestand aan, rename het naar de .sys en zet het op de juiste plaats. Heel flauw, maar toch. Onzin eigenlijk. Ik was in de war met de oplossing die gegeven was voor Aurora.

Een wilde gok is het register herstellen, in de hoop dat het hiermee wel goed gaat. Je geeft aan dat je via msconfig wilde opstarten in de veilige modus. Misschien dat in het register is blijven staan dat er perse moeten worden gestart naar veilige modus.

Ik heb verder geen ideeën meer, iemand anders nog?

vrijdag 17 juni 2005 23:00

Acties:

Verwijderd

Topicstarter

Chkdsk al geprobeerd ja.

Na het renamen van die bestanden merk ik wel dat hij rapper afvalt om te restarten.

Reg command kan ik niet doen in de herstelconsole.

Ik denk ook niet dat het in het register is blijven staan dat ik in veilige modus wil restarten want ik kan steeds opnieuw kiezen. Hoewel niets werkt natuurlijk.

vrijdag 17 juni 2005 23:24

Acties:

EricJH

Verwijderd schreef op vrijdag 17 juni 2005 @ 23:00:
Chkdsk al geprobeerd ja.

Na het renamen van die bestanden merk ik wel dat hij rapper afvalt om te restarten.

Reg command kan ik niet doen in de herstelconsole.

Ik denk ook niet dat het in het register is blijven staan dat ik in veilige modus wil restarten want ik kan steeds opnieuw kiezen. Hoewel niets werkt natuurlijk.

Boot eens vanaf een bootable DOS floppy, eventueel een DOS met NTFS ondersteuning, en probeer systeemherstel eens op te starten.

Bootdisks: http://masterbootrecord.de/docs/bootdisketten.php en www.bootdisk.com .

zaterdag 18 juni 2005 00:58

Acties:

Verwijderd

Topicstarter

Kan ik dat op een CD zetten of een memory kaartje? Want ik heb geen diskettestation.