[XP] Explorer scherm start automatisch na opstarten

Op 1 April had ik een virus op mijn PCtje gekregen (geen grap!), deze heb ik toen van mijn computer verwijderd.
Het virus had de volgende bestanden op mijn PC geplaatst:
c:\winnt\system32\explorer.exe
c:\winnt\alg.exe
c:\winnt\system32\oksound.dll
Een paar register-sleutels, en een PCIdown (o.i.d.) als nieuwe hardware.

Nu ik schijnbaar alle virus-bestanden succesvol van mijn PC heb verwijderd krijg ik nu een explorer
scherm als ik mijn computer opstart. Ik denk dat dit komt omdat het virus (explorer.exe) zichzelf
probeert te starten, maar nu de echte explorer.exe start die dan als nieuw scherm verschijnt.

Iemand een idee waar zich dit opstart?

(Het start zich ook op in veilige-modus, en onder andere accounts)

Ik heb al bij alle plaatsen die ik ken gekeken waar de explorer.exe zich zou aanroepen, maar daar stond niets tussen.
Er staat (als het goed is) nu ook geen virus meer op mijn computer, het irriteert met gewoon dat ik mijn documenten te zien krijg als ik mijn computer opstart.
Zoeken op google op "explorer.exe" geeft geen waardevolle informatie, ook omdat het virus al verwijderd is.

Mijn systeem bestaat uit:
Windows XP met SP2 (met updates)

Heb de volgende programma's al geprobeerd:
-Hijackthis
-Spybot SD
-Startup List
-CWShredder
-Ad-aware
-IB process manager
-Startup Inspector/Monitor
-TrojanFindInfo
-ProcessExplorer (sysinternals)
-Autoruns (sysinternals)
-Avast Anti-virus
-NOD32
-De onlinescan van Trendmicro (antivirus.com)
-msconfig


Voor mensen die mijn hijackthis.log willen zien:

Logfile of HijackThis v1.99.1
Scan saved at 0:34:51, on 8-4-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RunDLL32.exe (<--zelf opgestart)
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\wuauclt.exe
C:\Documents and Settings\James Bond\Bureaublad\tools\antivirus\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:5000 (<-- voor software testen gebruik ik proxy)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE (<-- geluidskaart)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: clearmem.lnk = C:\WINNT\system32\rundll32.exe (<-- zelf opgestart)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trend.../win32/activex/hcImpl.cab
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

pinockio schreef op zondag 08 april 2007 @ 18:38:
[...]


Wat heb je dan precies bekeken? Heb je bijv. met msconfig in de opstartbestanden van register, services en de map opstarten in Alle Programma's gekeken?

ja

en heb ook alle registersleutels onderzocht die explorer.exe aanroepen, en alle registersleutels die naar verwijderde bestanden wijzen. (Met regedit en tools-functie in Spybot)

Autoruns van sysinternals laat ook alle programma's zien die opstarten, ook daar staat geen explorer.exe tussen of onbekend programma.

Ik kan mijn autoruns-log ook plaatsen, maar die is nogal lang.
De explorer.exe die in autoruns staat is de verwijzing naar shell, en als ik die verwijder heb ik geen deskop meer

[ Voor 13% gewijzigd door tedades op 08-04-2007 18:47 ]

pasta schreef op maandag 09 april 2007 @ 13:17:

code:

1	F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit.exe

Die hoort niet thuis in een normale XP omgeving. Scan die userinit.exe eens op Jotti's online malware scan.

Bedankt voor je suggestie.

Ik heb hem gescant, maar niks mis. Volgens mij is het een bestand dat geintroduceerd is bij Service Pack 2. Ik had hem ook niet eerder gezien, maar online lees ik dat het inloggen onmogelijk wordt gemaakt als ik hem weg haal.
Service Pack 2 had ik geinstalleerd nadat het virus verwijderd was, het virus zou namelijk een exploit gebruiken die alleen in SP1 zat.

Ik heb de register sleutel eens om uit te proberen hernoemt, maar helaas gebeurd er dan wat ik dacht dat zou gaan gebeuren.
Mijn pc wilt niet meer doorstarten.
Na het blauwe "instellingen worden geladen..." scherm sluit hij het venster, herstart het blauwe venster en het hele gebeuren herhaald zich totdat je je pctje uitslaat.
(Ook in veilige modus, en andere modussen, gebeurd dit)

Wat ik denk dat mogelijk mis kan zijn is dat de toevoeging ",userinit.exe" er niet bij hoeft.
Maar dat zal ik pas uitproberen als ik weer in windows kan komen.

Ook heb ik ondekt dat als ik bij de register sleutel "shell: explorer.exe" een toevoeging "C:\" doe, ik niet "mijn documenten" te zien krijg, maar de C schijf. Maar als ik de sleutel geheel weg haal krijg ik geen desktop meer...

De optie die je aangeeft heb ik zelf opgestart, het is een snel koppeling die ik pas na het probleem heb toegevoegd. Wat het zou moeten doen is processen die normaal in uitgevoerd worden in de idle stand meteen uitvoeren, zodat je pc naderhand niet meer daarmee bezig is.

De userinit.exe staat ook bij mijn vriendins computer in het register (?/software/microsoft/windowsnt/current?/winlogon/userinit: userinit.exe) zij heeft ook XP met SP2.
Mogelijk vind je hem als je bij regedit zoekt op "userinit.exe".

Na het hernoemen (in het register) van de sleutel start mijn pctje niet meer door, bij het inloggen gaat er dan iets fout en probeert het eindeloos opnieuw.
Ga straks (als ik thuis ben) proberen met een andere register door te kunnen starten.
Regedit wilt via het netwerk het register wel openen maar niet de lokale opties die ik juist nodig heb.

Als ik weer op mijn desktop kan komen zal ik voor de zekerheid een keer de snelkoppeling weg halen, maar duurt nog even denk ik.

Het is gelukt.

Ik zal eerst uitleggen dat het de toevoeging ,userinit.exe achter c:\winnt\system32\userinit.exe het probleem was.
De sleutel heb ik wel laten eindigen met een ',' omdat dit bij de andere computer ook zo in het register stond.

Maar voordat ik dit heb kunnen uitproberen moet ik de register sleutel weer userinit noemen, deze had ik hernoemd naar temp_userinit. Helaas kon dat niet op mijn eigen computer, want daar kon ik niet meer inloggen (ook niet in veilige modus).

Nu een beschrijving hoe je het register probleem kan oplossen:

eisen om deze manier te gebruiken:
- defecte WinXP SP2 installatie door userinit.exe
- FAT32 schijf (Hoewel NTFS beschrijven nu ook mogelijk is onder linux)
- computer met werkende WinXP SP2 installatie
- LAN of USB-Stick
- Linux liveCD/DVD (of ander bootable medium)

Het concept:
Je verplaatst je defecte register naar een werkende installatie, repareer het en plaats het terug.

Uitvoering:
- start je defecte pc met de linux cd en kopieer de map: "c:\windows\system32\config" naar een usb-stick.
- op je werkende xp installatie moet je regedit.exe starten, klik op "HKEY_LOCAL_MACHINE" dan kies je "Bestand -> Component Laden...". In het selectiescherm kies je dan uit de gekopieerde map 'config' het bestand "software.dat". Geef een naam op bv. "defectepc".
(Je kan dit ook allemaal via het netwerk doen, maar dan moet je wel een lokale kopie van 'software.dat' op de defecte computer hebben. Het origineel is namelijk in gebruik door windows.)
- Nu kies je bij "HKEY_LOCAL_MACHINE" de naam die je hebt opgegeven, in mijn geval "defectepc". En wijzig je defecte register sleutel, in mijn geval: "Software\Microsoft\Windows NT\CurrentVersion\winlogon\Userinit"
- Kies nu "Bestand -> Component Verwijderen...". Dit verwijderd niet je bestand, maar de geladen sleutels uit het register van de goed werkende computer.
- Duw de usb-stick weer in je defecte pc, kopieer de config map over de oude heen en herstart je computer.

Als het goed is kun na het uitvoeren van deze stappen je computer weer opstarten.