@elevator: Hmz, vaag, ik had toch al gezegd dat het probleem zich voordeed bij elke gebruiker? Hoe kan dan voor elke user individueel de shell waarde gewijzigd zijn
Dat gaat meer richting iets dat met opzet mijn register door de war schopt. Maargoed, ik heb het even gecontroleerd, en onder HKCU is het dezelfde waarde, explorer.exe, doch nu zonder hoofdletter.
@limoentje:
Ik heb een pesthekel aan Hijackthis, maar Nee, dat heb ik nog niet gedaan. Dat zal ik nu doen.
EDIT: Hmm, als Hijackthis de VB runtimes nodig heeft had ik gegokt dat ie zonder niet zou starten. Dat doet ie wel, maar met de foutmelding "An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell) Error #5 - Invalid procedure call or argument". Maar eens even de VB runtimes scoren dus
EDIT2: Okee, de errors blijven, maar het programma draait wel door. Hieronder het logje dat ie uitspuwde, in eerste instantie weinig verdachts te zien, al moet ik zeggen dat dit de eerste keer is dat ik zo'n log zie
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| Logfile of HijackThis v1.99.1
Scan saved at 13:41, on 12-7-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Peter\Mijn documenten\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Peter\Application Data\Mozilla\Firefox\Profiles\fbtqesum.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Peter\Application Data\Mozilla\Firefox\Profiles\fbtqesum.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7531D0A-CB80-4332-8048-76A751853B70}: NameServer = 192.168.2.1
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe |
Het enige wat mij raar voorkomt is "O15 - Trusted Zone:
http://ny.contentmatch.net (HKLM)", wat hier overigens niks mee te maken heeft, zou ik zo zeggen, en de Apache service zonder bestand. Maar das mijn eigen schuld
. Die zal ik nu meteen even wissen, om zeker te weten dat het er niks mee te maken heeft.
EDIT: Die Apache service en trusted zone spam heb ik net verwijderd, en het nieuwe log heb ik hierboven neergezet. Heeft overigens niks opgelost na een reboot.
De schone Windows installatie komt steeds dichter bij
Gelukkig heb ik net 60 GB aan bestanden op de server gezet en is het vakantie
[
Voor 93% gewijzigd door
Verwijderd op 12-07-2005 13:45
. Reden: Updated Hijackthis log gepost ]
:strip_icc():strip_exif()/u/22964/amd.jpg?f=community)
. Of moet daar juist wel een parameter achter?:strip_icc():strip_exif()/u/6607/klootviool2.jpg?f=community)
. Tot dan /u/43807/ZwartGat.png?f=community)
:strip_icc():strip_exif()/u/1850/crop668bec02ef9dd.jpg?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
