[XP] fouten met user32.dll, AVG en windows update

zondag 9 november 2008 12:50

Acties:

0 Henk 'm!

rages doen :P

Topicstarter

Net bezig op de pc van mijn moeder, die gaf aan te willen updaten, prima. Dus Windows update SP 3 laten installeren, komt er opeens een melding van AVG antivirus, dat user32.dll infected is met een trojan, SPW.banker4. Bij een .dll ben ik meestal niet van het verwijderen / quarantine, dus maar voor heal gekozen.

AVG heeft toen in al zijn 'wijsheid' besloten om het bestand toch maar te verwijderen. Ik heb op dat moment nog geprobeerd om een user32.dll terug te zetten, maar ik geloof dat de schade al gedaan was, want met de teruggezette file kreeg ik nog steeds errors.

Toen wellicht de minst handige zet gedaan; een reboot. Nu wil windows niet meer opstarten, dat wil zeggen, hij blijft constant herstarten. Dus dat schiet niet echt op. Windows XP cdtje in de pc gedaan, maar via de repair console kan ik eigenlijk vrij weinig aan de situatie verbeteren heb ik het idee.

Zou ik, met het terugzetten van user32.dll wellicht de situatie kunnen verhelpen? En zo ja, hoe vind ik uit in welke .cab file de dll zit? Want ik heb nu geen idee waar ik het zoeken moet en via google kon ik het niet vinden. Vast een kwestie van verkeerde keywords...

Of is het sowieso heel erg lastig om dit te gaan troubleshooten en wordt het een gevalletje van windows opnieuw installeren?

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

zondag 9 november 2008 13:05

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Leuk zo'n false positive van AVG.

..
[XP] Systeemherstel vanuit DOS omgeving
Daar staat in ieder geval in hoe je het register terug kunt zetten (wat als ik het goed heb niet direct noodzakelijk is) maar door dat stukje op de site van MS te lezen kun je als het goed is ook die user32.dll terugzetten uit de map die ik in dat topic heb genoemd.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 9 november 2008 13:25

Acties:

0 Henk 'm!

Paitor

rages doen :P

Topicstarter

Ja ik was er ook echt niet blij mee, zeker als ik op heal klik verwacht ik dit niet...

In de map zijn 0 bestanden te vinden, er is 1 dir, lang, maar die is ook weer leeg.. Helaas geen oplossing dus.

edit:

Ik had overigens wel een online kopie gedownload naar het bureaublad, maar ik kan de Doc & settings folder niet in, wat alleen kan als je het eerst in Windows enabled hebt. Wat een heerlijke paradox weer... Misschien maar eens kijken of het vanaf een cdtje kopieren wil lukken dan.

[ Voor 42% gewijzigd door Paitor op 09-11-2008 13:38 ]

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

zondag 9 november 2008 14:07

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Heb je toevallig dan een Windows installatie gehad met het SP geslipstreamd (en geen later SP meer geinstalleerd)? Dat lijkt me dan de meest logische verklaring dat er in die map verder geen bestanden staan..
Desnoods maak je een WinPE cd (met totalcommander erop) via www.nu2.nu en zet je dat bestand even op een usb-stick. Het maken van de cd kost even wat tijd maar zo'n cd kan nog altijd eens van pas komen als er weer eens een bestand verwijderd wordt dat noodzakelijk was..

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 9 november 2008 14:50

Acties:

0 Henk 'm!

Paitor

rages doen :P

Topicstarter

FlipFluitketel schreef op zondag 09 november 2008 @ 14:07:
Heb je toevallig dan een Windows installatie gehad met het SP geslipstreamd (en geen later SP meer geinstalleerd)? Dat lijkt me dan de meest logische verklaring dat er in die map verder geen bestanden staan..
Desnoods maak je een WinPE cd (met totalcommander erop) via www.nu2.nu en zet je dat bestand even op een usb-stick. Het maken van de cd kost even wat tijd maar zo'n cd kan nog altijd eens van pas komen als er weer eens een bestand verwijderd wordt dat noodzakelijk was..

Ah ja, dat klopt helemaal, het ging nu net bij de installatie SP 3 fout, de broncd was XP pro NL met slipstreamd sp2. Begrijp nu wel waar het probleem zit

Goed, dan maar even de PE cd maken en het probleem zo oplossen. Denk wel dat het goed gaat komen dan.

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

zondag 9 november 2008 16:05

Acties:

0 Henk 'm!

Dashinuke

Ik heb zojuist hetzelfde gehad. Op mijn laptop gaf AVG aan dat er een trojan in mn user32.dll zat, gehealed. ik kreeg een foutmelding, reboot, en nu krijg ik een BSOD, dat mn user32.dll weg is.

Wat het helemaal kut maakt is dat mijn dvd drive op mn laptop niet meer werkt. Ik heb geprobeerd windows opnieuw op een externa harde schijf te instaleren, die dan aan mijn laptop te hangen, opstarten, en het bestand terugzetten, maar tot nu toe geen succes. Ik krijg windows niet geinstaleerd, en ik heb ook geen externe dvd drive

zondag 9 november 2008 16:09

Acties:

0 Henk 'm!

Motrax

Profileert

Zie dit onderp, inclusief links naar bestanden die je o.a. nodig hebt om weer op te starten:
Trojan Horse PSW banker4: AVG False positive? *

zondag 9 november 2008 16:12

Acties:

0 Henk 'm!

Dutch2007

Un-X-PecteD schreef op zondag 09 november 2008 @ 16:05:
Ik heb zojuist hetzelfde gehad. Op mijn laptop gaf AVG aan dat er een trojan in mn user32.dll zat, gehealed. ik kreeg een foutmelding, reboot, en nu krijg ik een BSOD, dat mn user32.dll weg is.

Wat het helemaal kut maakt is dat mijn dvd drive op mn laptop niet meer werkt. Ik heb geprobeerd windows opnieuw op een externa harde schijf te instaleren, die dan aan mijn laptop te hangen, opstarten, en het bestand terugzetten, maar tot nu toe geen succes. Ik krijg windows niet geinstaleerd, en ik heb ook geen externe dvd drive

op een virtual pc dan? dan xp sysprep en die dan via ghost muticast ofiets dergelijks overkopieren...

zondag 9 november 2008 16:23

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Un-X-PecteD schreef op zondag 09 november 2008 @ 16:05:
Ik heb zojuist hetzelfde gehad. Op mijn laptop gaf AVG aan dat er een trojan in mn user32.dll zat, gehealed. ik kreeg een foutmelding, reboot, en nu krijg ik een BSOD, dat mn user32.dll weg is.

Wat het helemaal kut maakt is dat mijn dvd drive op mn laptop niet meer werkt. Ik heb geprobeerd windows opnieuw op een externa harde schijf te instaleren, die dan aan mijn laptop te hangen, opstarten, en het bestand terugzetten, maar tot nu toe geen succes. Ik krijg windows niet geinstaleerd, en ik heb ook geen externe dvd drive

Start je laptop ook niet in veilige modus op? Bij sommige mensen werkt dit nl. wel nog en dan kun je dat bestand alsnog vervangen en AVG daarna verwijderen (aangezien die blijkbaar nog voor een ander probleem zorgt dat je pc op dat moment niet opstart)..
Een andere optie zou zijn om de harddisk uit je laptop te halen en op een andere pc aan te sluiten (als het een 2,5" IDE harddisk is heb je een verloopstukje nodig).

[ Voor 8% gewijzigd door FlipFluitketel op 09-11-2008 16:24 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zondag 9 november 2008 16:29

Acties:

0 Henk 'm!

Dashinuke

FlipFluitketel schreef op zondag 09 november 2008 @ 16:23:
[...]

Start je laptop ook niet in veilige modus op? Bij sommige mensen werkt dit nl. wel nog en dan kun je dat bestand alsnog vervangen en AVG daarna verwijderen (aangezien die blijkbaar nog voor een ander probleem zorgt dat je pc op dat moment niet opstart)..
Een andere optie zou zijn om de harddisk uit je laptop te halen en op een andere pc aan te sluiten (als het een 2,5" IDE harddisk is heb je een verloopstukje nodig).

FlipFluitketel: Nope, veilige modus werkt ook niet helaas. Ik heb ook geen ide welke harddisk ik heb, maar zo'n verlengstuk heb ik niet bij de hand.
Dutch2007: Ik heb geen idee waar je het over hebt, dat gaat mijn kennis te boven

Ik probeer nu een nieuwe windows install te vinden en die alsnog op mn externe harde schijf te installeren.

zondag 9 november 2008 17:36

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows XP

Un-X-PecteD schreef op zondag 09 november 2008 @ 16:29:
FlipFluitketel: Nope, veilige modus werkt ook niet helaas. Ik heb ook geen ide welke harddisk ik heb, maar zo'n verlengstuk heb ik niet bij de hand.

Wat voor harddisk kun je achterhalen via de site van de leverancier.

Ik probeer nu een nieuwe windows install te vinden en die alsnog op mn externe harde schijf te installeren.

Gaat niet werken, want daar gaat XP niet van booten zonder zwaar hak- en breekwerk.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 9 november 2008 18:00

Acties:

0 Henk 'm!

Dashinuke

Dus de enige opties die ik heb is een externe dvd/cd speler vinden, of de hdd eruit halen en ergens anders op aansluiten ?

zondag 9 november 2008 18:14

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows XP

Dat, of je maakt een BartPE variant die je van USB stick kan opstarten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 9 november 2008 19:17

Acties:

0 Henk 'm!

Dashinuke

Dan moet ik er een iso van maken, deze op de usb stick uitpakken, en dan deze in de bios, booten van USB bovenaan zetten ?

zondag 9 november 2008 19:20

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows XP

Misschien dat je met [google=bartpe USB boot] wat meer in de richting komt?

Sowieso is het altijd wel handig een dergelijke rescue kit bij de hand te hebben denk ik, die kan je op een later tijdstip altijd nog een keer van pas komen.

[ Voor 50% gewijzigd door alt-92 op 09-11-2008 19:23 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 10 november 2008 01:11

Acties:

0 Henk 'm!

Dashinuke

Nou, spul op de usb stick gezet, herkent de laptop niet. Dan een PE to USB programma geprobeerd, krijg ik een foutmelding bij het kopieeren naar de USB. Laptop proberen open te draaien om de harde schijf eruit te halen, maar in de manual staat niks over het opendraaien, dus ik ben maar tot halverwege gekomen.

Op een externe cd driver na, heb ik weinig opties meer over

maandag 10 november 2008 10:01

Acties:

0 Henk 'm!

passer

http://www.nucia.nl/forum/showthread.php?t=42813

maandag 10 november 2008 10:36

Acties:

0 Henk 'm!

Paitor

rages doen :P

Topicstarter

Motrax schreef op zondag 09 november 2008 @ 16:09:
Zie dit onderp, inclusief links naar bestanden die je o.a. nodig hebt om weer op te starten:
Trojan Horse PSW banker4: AVG False positive? *

Even overigens voor mensen die de oplossing voor mijn (iets generiekere) probleem zoeken, dit was de oplossing! Heb deze user32.dll wel kunnen kopieren en plakken.

De user32.dll zoals deze te downloaden is via veel sites werkt dus niet, ik denk dat die alleen voor windows XP is en niet langer werkt bij SP1 / SP2 / SP3.

Live Life to the Max | Kom op konijntje doe maar huppele wiebele

maandag 10 november 2008 18:01

Acties:

0 Henk 'm!

Verwijderd

Ik kom net van iemand terug. Die had het zelvde probleem. Ik heb gehoord als je maar service pack 3 hebt is er niks aan de hand. Of als je de updates van vandaag (10.30) binnen hebt gekregen

maandag 10 november 2008 19:01

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows XP

Paitor schreef op maandag 10 november 2008 @ 10:36:
[...]

De user32.dll zoals deze te downloaden is via veel sites werkt dus niet, ik denk dat die alleen voor windows XP is en niet langer werkt bij SP1 / SP2 / SP3.

Sowieso: dat soort essentiële binaries van internet downloaden is niet echt verstandig.
Het wachten is op de zakkenwasser die 'm wél bebackdoored aanbiedt, en iedereen gaat er nu toch vanuit dat het een false positive is.

Goudmijntje als je kwaad wil

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 10 november 2008 19:35

Acties:

0 Henk 'm!

Bart-Willem

De non-carnavaleur

Ik heb een eigen ICT-bedrijfje en ben vandaag suf gebeld met dit probleem.

De rest van de week zijn volgeboekt met afspraken om het op te lossen bij klanten.

Het vreemde is: de ene pc is er erger aan toe dan de ander.

Sommigen zijn te fixen door gewoon snel servicepack 3 te installeren onder Veilige Modus, de ander lijkt haast niet te ontkomen aan een volledige herinstallatie.

Volvotips.com

maandag 10 november 2008 19:38

Acties:

0 Henk 'm!

Kixtart

Destruction = Improvement

Deze even goed doorlezen en alle mogelijke oplossingen bekijken:
Trojan Horse PSW banker4: AVG False positive

De meeste zijn wel te repareren zonder volledige reinstall.

☻/
/▌
/ \

maandag 10 november 2008 20:08

Acties:

0 Henk 'm!

Bart-Willem

De non-carnavaleur

Slechts 1 oplossing lijkt te werken, en dat is deze:

Verwijderd schreef op maandag 10 november 2008 @ 09:08:
Ik heb al een aantal mensen kunnen helpen door onderstaande uit te voeren. Mocht dit niet lukken kun je ook kijken of jouw dll ook in het ntuninstall mapje staat en deze dan kopieren. Het probleem is trouwens veroorzaakt door avg.

Het enige wat je hoeft te doen is user32.dll vervangen. Een goede versie kan gevonden worden in het mapje c:\windows\$NTuninstallKB925902$ dit is in de meeste gevallen de meest recente versie van deze dll.
Dit kan je doen door een windows xp cd erin te doen vervolgens te kiezen voor systeemherstel en vervolgens kom je in de dos omgeving en hierin kun je dan het bovengenoemde bestandje kopiëren naar c:\windows\system32. Als het goed is werkt je computer dan weer.

In dos taal zou je dan het volgend moeten tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Dat mag ik komende week nog vaak gaan doen dus.

Volvotips.com

dinsdag 11 november 2008 09:07

Acties:

0 Henk 'm!

FlipFluitketel

Frontpage Admin

Bart-Willem schreef op maandag 10 november 2008 @ 20:08:
Slechts 1 oplossing lijkt te werken, en dat is deze:

[...]

Dat mag ik komende week nog vaak gaan doen dus.

Nee, niet slechts 1 oplossing werkt. Het is per pc verschillend wat het probleem is (user32.dll of winsrv.dll) en waar je die dll-bestanden terug kunt vinden. Als het een pc is die geinstalleerd is met een geslipstreamde SP2 dan heb je kans dat je die ServicePackFiles map niet hebt. Sommige mensen hebben ook die dll-cache map niet (of daar staat die user32.dll niet in) en weer andere hebben die $NTuninstallKB925902 map niet omdat die update niet geinstalleerd is. Andere oplossing is op die user32.dll op een usb-stick/diskette zetten en het daarvan kopieren.
Probleem met die winsrv.dll (of zoiets) is meestal op te lossen door op te starten in veilige modus en AVG te verwijderen, dan weer normaal opstarten en dan natuurlijk weer een virusscanner installeren.
Ondertussen heb ik zo'n 20 pc's kunnen fixen dankzij dit AVG-probleem en er staan er voor vandaag nog een paar te wachten

[ Voor 6% gewijzigd door FlipFluitketel op 11-11-2008 09:08 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

dinsdag 11 november 2008 14:29

Acties:

0 Henk 'm!

Verwijderd

Liever niet zonder overleg.

FF branden met nero, ervan booten en het wordt automatisch hersteld.
gr,
tom

[ Voor 30% gewijzigd door alt-92 op 11-11-2008 14:40 ]

dinsdag 11 november 2008 16:39

Acties:

0 Henk 'm!

Thermaltaker

hardware enthusiast

Ik heb zojuist, na alle mogelijk oplossingen voor het winsrv.dll probleem het bestand via de herstel console proberen te kopiëren, echter sindsdien kan ik niet meer via veilige modus booten. Ik heb het bestand gehaald uit de c:\windows\servicepackfiles\i386 directory en in de directory c:\windows\system32 geplaatst.

Wat kan ik nu doen, om dit ongedaan te maken en via veilige modus de oplossing via 't verwijderen van AVG, te proberen?

\edit: probleem inmiddels opgelost door winsrv vanuit de dll cache terug te kopiëren en daarna vanuit veile modus AVG te verwijderen. Ik heb 'm onmiddellijk vervangen door Avira Antivir want dit kan natuurlijk niet!

[ Voor 19% gewijzigd door Thermaltaker op 11-11-2008 17:39 ]

Liquid cooled!

woensdag 12 november 2008 13:18

Acties:

0 Henk 'm!

Blueflame_Core

Iemand enig idee wat het email adres van AVG is? Om eventuele werkzaamheden te declareren?
Kan het nergens vinden namelijk

alleen maar het telefoonnummer.

[ Voor 27% gewijzigd door Blueflame_Core op 12-11-2008 13:19 ]

Onderwerpen