Windows XP start, maar geen enkel programma start meer.

Hier heb ik een computer met een wel heel merkwaardig probleem. Windows XP Home start, maar vervolgens kan er geen enkel programma gestart worden. Dat begint al bij het aanloggen als de auto-runs moeten starten - dat doen ze niet.

Alle snelkoppelingen in het startmenu en op de desktop zijn leeg en eindigen op .lnk. Normaal gesproken is de extensie .lnk altijd verborgen. Klikken start niets Windows zegt dat het programma niet gevonden kan worden. (Maar ze zijn er wel.)

Er zijn twee programma's die het wel doen: verkenner en internet explorer.

Als je gaat zoeken op de harde schijf naar de .exe bestanden dan zijn ze er wel (niet gewist ofzo) maar als je er op dubbelklik dan gebeurt er niets. Ook CMD.EXE laat zich niet starten. De mmc console en andere tools starten ook niet.

Doe je er een CD in, of een USB stick (bijvoorbeeld om HijaakThis of HitmanPro te installeren) ook dan start er niets.

Dit heb ik nog nooit eerder gezien. Iemand enig idee wat er aan de hand is? Ik kan dus niets uitproberen op de PC omdat er niets start...

Deze PC is van een kennis "die alleen maar Norman Antivirus gestart heeft, en vervolgens vast liep".

Het is Home met SP2, helemaal bijgewerkt met auto-update en heeft eerst maanden lang goed gewerkt. En deze kennis doet er in principe geen rare dingen mee: tekstverwerken is de belangrijkste doel. Geen Tweaker maar ook geen n00b die op elke link klikt die er maar op het scherm komt. (Maar ik was er niet bij toen het gebeurde.)

Het lijkt wel of de shell kapot is, het deel dat het starten van .exe regelt.

eventvwr.msc zal ik even proberen.

EDIT: eventvwr.msc werkt wel.
Er staan een paar "interessante" hangs in van explorer.exe op shwdoc.dll en een melding van Norman van het virus JS/Exploit_Based.D

Ik zal een Googlen wat dit is.

[ Voor 15% gewijzigd door Xenan op 08-08-2006 21:59 ]

Helaas, in veilige modus doet ie het ook niet.

Zo snel even gegoogled op JS/Exploit_Based.D en shwdoc.dll maar dat levert (nog) geen bruikbare resultaten op.

Morgen bouw ik de drive wel als secondary in een ander PC en scan ik er met Anti4us, AntiRootkit en AntiSpyware tools overheen.

Dat lijkt een gouden tip.
Helaas, ook dubbelklikken of rechtsklikken -> samenvoegen werkt niet. Windows weet niet met welk programma hij een .reg bestand moet starten... Ook dat is ie kwijt.

Ik kom ook niet met remote registry aangelogd anders had ik het nog met het handje kunnen intikken.

Daarvoor ook nog de harde schijf off-line gescand met SpySweeper en Avast en het Sadorom virus gevonden en verwijderd, en FIXMBR en FIXBOOT gedaan via de herstelconsole. Zonder resultaat.

Nu ga ik nog wat met Sysinternals ERD Commander proberen.

[ Voor 13% gewijzigd door Xenan op 10-08-2006 09:00 ]

Ja, je hebt gelijk, ik zit nog met mijn hoofd teveel in het verleden toen er nog bootvirussen waren. Dan hielp een nieuwe bootrecord wel. Maar die virussen werken al sinds Windows NT nier meer geloof ik

Het goede nieuws is: Via booten met Sysinternals ERD Commander kon ik een herstelpunt restore uitvoeren, en de PC doet het weer!

Nu het slechte nieuws: de map "Mijn Documenten" is helemaal leeg. Daar begrijp ik niets van, want net was ie nog vol. ERD Commander wist toch geen documenten???

Tijd voor een update:

De PC is hersteld en teruggebracht maar...
Het starten van Norman Ad-Watch veroorzaakt de problemen opnieuw!
Nu heb ik wel een screenprintje en een logbestand.
Dit is de melding die gegeven wordt:

Het maakt niet uit of je "Aanvaarden" of "Blokkeren" kiest, de registry wordt toch vernield!

Deze melding komt meerdere keren, telkens met een andere extensie: .exe, .bat, .lnk, enzovoorts.

Het rare is dat het lijkt dat Ad-Watch de wijzing lijkt te zien en te blokkeren, maar in feite zelf de veroorzaker is.

En dit is in de log van Ad-Watch:

===============================================
19-8-2006 14:06:50 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:SOFTWARE\Classes\regfile\shell\open\command
Waarde:
Gegevens:
Nieuwe gegevens:regedit.exe "%1"

===============================================
19-8-2006 14:06:54 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:SOFTWARE\Classes\lnkfile\CLSID
Waarde:
Gegevens:
Nieuwe gegevens:{00021401-0000-0000-C000-000000000046}

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Classes\.scr
Waarde:
Gegevens:
Nieuwe gegevens:scrfile

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Classes\.bat
Waarde:
Gegevens:
Nieuwe gegevens:batfile

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Classes\.lnk
Waarde:
Gegevens:
Nieuwe gegevens:lnkfile

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Classes\.exe
Waarde:
Gegevens:
Nieuwe gegevens:exefile

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Waarde:CDBurn
Gegevens:
Nieuwe gegevens:{fbeb8a05-beee-4442-804e-409d6c4515e9}

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Policies\System
Waarde:dontdisplaylastusername
Gegevens:
Nieuwe gegevens:0

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Waarde:AppInit_DLLs
Gegevens:
Nieuwe gegevens:

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:SoundMan
Gegevens:
Nieuwe gegevens:SOUNDMAN.EXE

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Classes\.exe
Waarde:Content Type
Gegevens:
Nieuwe gegevens:application/x-msdownload

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_CURRENT_USER
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:updateMgr
Gegevens:
Nieuwe gegevens:C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Internet Explorer\Search
Waarde:SearchAssistant
Gegevens:
Nieuwe gegevens:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Default_Page_URL
Gegevens:
Nieuwe gegevens:http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_CURRENT_USER
Sleutel:Software\Microsoft\Internet Explorer\SearchUrl
Waarde:provider
Gegevens:yaho
Nieuwe gegevens:

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Search Page
Gegevens:
Nieuwe gegevens:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:Norman ZANDA
Gegevens:
Nieuwe gegevens:C:\Program Files\Norman\bin\ZLH.EXE /LOAD /SPLASH

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Policies\System
Waarde:legalnoticetext
Gegevens:
Nieuwe gegevens:

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Waarde:WebCheck
Gegevens:
Nieuwe gegevens:{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_CURRENT_USER
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Start Page
Gegevens:
Nieuwe gegevens:http://www.startpagina.nl/

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Local Page
Gegevens:
Nieuwe gegevens:%SystemRoot%\system32\blank.htm

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:Adobe Photo Downloader
Gegevens:
Nieuwe gegevens:"C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Policies\System
Waarde:shutdownwithoutlogon
Gegevens:
Nieuwe gegevens:1

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Waarde:SysTray
Gegevens:
Nieuwe gegevens:{35CEC8A3-2BE6-11D2-8773-92E220524153}

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_CURRENT_USER
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Search Page
Gegevens:
Nieuwe gegevens:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Internet Explorer\Main
Waarde:Start Page
Gegevens:
Nieuwe gegevens:http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:SSBkgdUpdate
Gegevens:
Nieuwe gegevens:"C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Policies\System
Waarde:undockwithoutlogon
Gegevens:
Nieuwe gegevens:1

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:PaperPort PTD
Gegevens:
Nieuwe gegevens:C:\Program Files\Scansoft\PaperPort\pptd40nt.exe

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:IndexSearch
Gegevens:
Nieuwe gegevens:C:\Program Files\Scansoft\PaperPort\IndexSearch.exe

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:SetDefPrt
Gegevens:
Nieuwe gegevens:C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

===============================================
19-8-2006 14:06:58 - Registerwijziging gedetecteerd
Hoofdmap:HKEY_LOCAL_MACHINE
Sleutel:Software\Microsoft\Windows\CurrentVersion\Run
Waarde:ControlCenter2.0
Gegevens:
Nieuwe gegevens:C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

Heeft iemand een idee wat er nu gebeurd?