[WIN XP] Bij opstarten XP een lege desktop met een dosscherm - Privacy en beveiliging

zaterdag 31 juli 2004 11:47

Acties:

Verwijderd

Topicstarter

Wanneer ik de pc opstart krijg ik een dosscherm met daarin de vraag wat ik wil gaan formatten met een opsomming van wat ik kan formatten. Ik wil niks formatten dus heb het scherm weggeklikt maar blijf tegen een leeg scherm aankijken. Wallpaper staat er wel gewoon. Maar geen picto's en taakbalk.

Enige waar ik in kan is de taskmanager.

Iemand een idee wat dat kan zijn?

Thnx

edit:
In de safe mode komt er dezelfde melding met daarna de device manager. Heeft wat geinstalleerd wat nodig was ( zegt niet wat) en of ik wil restarten. Gedaan. Maar prob. blijft

Niets bijzonders gedaan voordat het probleem zich voordeed. En het is sinds vandaag.

Het dosscherm vraagt:
C:\windows\sytem32\cmd.exe

Format volume [/FS: file-system] [/V:Label] [/Q] [/A:size] [/C] [/X]
C:\documents settings\"admin":

Heb geprobeerd via de taskmanger explorer.exe op te starten maar krijg dan direct dat scherm weer. En kom dus ook de verkenner niet in.

[ Voor 52% gewijzigd door Verwijderd op 31-07-2004 12:14 ]

zaterdag 31 juli 2004 11:49

Acties:

Mike Jarod

Sinds wanneer? Wat heb je daarvoor gedaan? Wat gebeurt er in de veilige modus?

edit: Geef eens wat meer details over dat dos scherm? Ziet het er normaal uit? Of zou het iets neps kunnen zijn? (dos app die net doet alsof zegmaar).

[ Voor 50% gewijzigd door Mike Jarod op 31-07-2004 11:50 ]

zaterdag 31 juli 2004 11:51

Acties:

Verwijderd

Heb je net je Winxp opnieuw geinstalleerd? Zou een fout tijdens installatie kunnen zijn

zaterdag 31 juli 2004 11:55

Acties:

Verwijderd

Iets dergelijks heb ik ook een keer gehad met win2k. Toen bleej dat de active desktop hersteld moest worden.
Via verkenner; desktop en hij vroeg er zelf om.

zaterdag 31 juli 2004 12:10

Acties:

Mike Jarod

Draait explorer.exe? Zo nee start 'm eens bij taakbeheer. Zo ja beeindig 'm eens en start 'm opnieuw?

zaterdag 31 juli 2004 12:20

Acties:

Mike Jarod

Sorry voor de schop maar BenTheMan wil je aub reacties op onze postings niet in je topicstart zetten? Zo weet ik bv niet dat je gereageerd hebt, nu druk ik toevallig op F5

zaterdag 31 juli 2004 12:26

Acties:

powerflux

Edit zich kapot@375fsb

hmm. klinkt als "opstarten in dos met netwerkmogelijkheden" (iets dergelijks)
wat staat er in je boot.ini bestand?

maar aangezien het direct verder gaat over "format" zegt mijn gevoel direct: VIRUS

[ Voor 32% gewijzigd door powerflux op 31-07-2004 12:26 ]

if computergames really affect us, we would be running around in dark rooms and eating magic pills.

zaterdag 31 juli 2004 12:27

Acties:

Verwijderd

Topicstarter

Ja dat gevoel heb ik ook. Maar die pc staat geen scanner op. en updaten ervan wordt lastig. Zou het met die nieuwe worm te maken kunnen hebben? De google worm?

boot.ini hoe kom ik daar in?

[ Voor 94% gewijzigd door Verwijderd op 31-07-2004 12:31 ]

zaterdag 31 juli 2004 12:35

Acties:

Mike Jarod

Wat powerflux zegt

In die dosbox, doe eens CTRL+C als die format zooi er staat. Tik dan eens CMD in? Krijg je het nu weer? Zo ja doe:

code:

1 2	cd\windows\system32 edit autoexec.nt

Kijk eens of je iets met format daarin ziet staan?

_{nou twijfel ik alleen of dat de file is die ie start als je cmd doet...}

edit: win.ini:

code:

1 2	cd\windows edit win.ini

[ Voor 8% gewijzigd door Mike Jarod op 31-07-2004 12:37 ]

zaterdag 31 juli 2004 12:40

Acties:

Verwijderd

Topicstarter

als ik edit autexec.nt bij uitvoeren doe vanuit de taskmanager krijg ik een dosscherm met daarin een blauw scherm met niets erin. Wel bv. File/open etc.. Zoals in word

zaterdag 31 juli 2004 12:42

Acties:

Verwijderd

Topicstarter

Als ik CMD format, heb ik dan niet een probleem?

En dat cd\windows voor ik in in dat dosscherm? ben een beetje angstig met uitproberen want dadfelijk format die de hele zooi

zaterdag 31 juli 2004 12:43

Acties:

Mike Jarod

Nee, je moet in die dosbox een prompt krijgen, bijvoorbeeld:

code:

1	C:\Documents and Settings\Administrator>_

Die _ (underscore) is je cursor

Als je dat format gedoe ziet staan, druk dan op CTRL+C (edit: of CTRL+BREAK), dit zou dat commando af moeten breken (met een Y/N vraag), daarna zou je op een lege prompt uit moeten komen. Probeer daarna de dingen die ik zei. Dus niet in taskmanager

[ Voor 4% gewijzigd door Mike Jarod op 31-07-2004 12:45 ]

zaterdag 31 juli 2004 12:46

Acties:

Verwijderd

Topicstarter

als ik control c doe herhaalt die

C:\Documents and Settings\Administrator>

zaterdag 31 juli 2004 12:49

Acties:

Mike Jarod

Ok, tik nu CMD in

Krijg je nu weer dat format gedoe?

_{ik gok dat dat format gedoe in bv autoexec.nt gestart wordt. maar dat cmd wordt gestart terwijl explorer zou moeten starten, maar dat is voor later}

zaterdag 31 juli 2004 12:53

Acties:

Verwijderd

Topicstarter

herkent die niet als file. klopt ook wel want hij staat in system32

Dat wat je zegt over die autoexec... dat lijkt me geen oplossing omdat wanneer ik handmatig explorer opstart dus via de taskmanager het zelfde probleem krijg.

[ Voor 55% gewijzigd door Verwijderd op 31-07-2004 12:57 ]

zaterdag 31 juli 2004 12:55

Acties:

Mike Jarod

Verwijderd schreef op 31 juli 2004 @ 12:53:
herkent die niet als file. klopt ook wel want hij staat in system32

Wat krijg je te zien? Dit?:

code:

1 2	cmd wordt niet herkend als een interne of externe opdracht, programma of batchbestand.

edit: start ook eens regedit en ga naar:

code:

1	HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon

Hier staat een sleutel Shell, deze moet de de waarde Explorer.exe hebben. Heeft ie dat ook?

edit2:

Verwijderd schreef op 31 juli 2004 @ 12:53:
Dat wat je zegt over die autoexec... dat lijkt me geen oplossing omdat wanneer ik handmatig explorer opstart dus via de taskmanager het zelfde probleem krijg.

Klopt, maar omdat je in je 1e post cmd zegt en daarna dat format gedoe, gok ik dat als je cmd invoert er iets gestart wordt (bv autoexec.nt) wat die format triggered (als het uberhaupt een format is). Dus dat is probleem 1. Probleem 2 lijkt me dat als je explorer.exe start dat eigenlijk cmd.exe gestart wordt. Vandaar oa de vraag over die regkey. Maar ik zit ook in dubio waar het probleem zit.

Als iemand denkt dat ik de verkeerde richting op ga hoor ik het graag natuurlijk

[ Voor 70% gewijzigd door Mike Jarod op 31-07-2004 13:04 ]

zaterdag 31 juli 2004 13:04

Acties:

Verwijderd

Topicstarter

Ja die melding kreeg ik.

Heb in de regedit bij shell de file aangepast.

Er stond explorer.ex C\\windows\system32\svohost.exe

staat nu te rebooten. Maar klinkt niet lekker he?

zaterdag 31 juli 2004 13:05

Acties:

Mike Jarod

svohost.exe blijkt een trojan (dumarin): http://www.trendmicro.com...me=TROJ_DUMARIN.H&VSect=T

edit:

Installation and Autostart Technique

Upon execution, this memory-resident Trojan drops the following copies of itself in the Windows system folder:

* SVOHOST.EXE
* SWCHOST.EXE

It also drops the following files in the Windows startup and Windows folders, respectively:

* SVCHOST.EXE - a copy of itself
* PRNTSVR.DLL - a keylogger component file, which is detected as TROJ_DUMARIN.G

Then, it creates the following registry entry so that it executes at every system startup:

1
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
load32 = "C:\WINNT\System32\swchost.exe"

2
As part of its autostart mechanism, it modifies the SYSTEM.INI and appends its name in the shell key of the boot section as follows:

[boot]
shell=explorer.exe %s\System%\svohost.exe

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)

On Windows NT, 2000, and XP, however, the .INI file is not modified. The following registry entry is changed instead:

3
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\Currentversion\Winlogon
Shell = “explorer.exe %System%\svohost.exe”

(Note: The original value is “explorer.exe”.)

Zie hierboven, probeer de 3 dingen die hier beschreven staan eens te fixen / verwijderen?

[ Voor 87% gewijzigd door Mike Jarod op 31-07-2004 13:10 ]

zaterdag 31 juli 2004 13:09

Acties:

Verwijderd

Topicstarter

jaaaaaaaaaaa THNX $_/-\o_$

zaterdag 31 juli 2004 13:10

Acties:

Mike Jarod

\o/

Check nog wel even goed die tekst die hierboven staat

Je moet 'm wel even helemaal verwijderen. Gebruikte je een virusscanner en zo ja welke?

edit:
hmm volgens mij heb ik nog nooit zo vaak gereageerd in 1 topic...

[ Voor 22% gewijzigd door Mike Jarod op 31-07-2004 13:12 ]

zaterdag 31 juli 2004 13:13

Acties:

Verwijderd

Topicstarter

Nee geen scanner. Is die van me vader. Heb een keer ze pc netjes en schoon gemaakt en wat bescherming erop gezet. Was die 1 filetje kwijt en direkt system restore. 2 uur van me tijd weg.

Maar ga er iig AntiVir opzetten

zaterdag 31 juli 2004 13:24

Acties:

Verwijderd

Topicstarter

Voor de volledigheid http://www.trendmicro.com...e=TROJ_DUMARIN.H#solution

Deze site is geblocked door de trojan.... 2e pc is makkelijk/vereiste of ff door iemand anders laten mailen.

[ Voor 35% gewijzigd door Verwijderd op 31-07-2004 13:43 ]

zaterdag 31 juli 2004 13:31

Acties:

elevator

Officieel moto fan :)

Trojans zijn veel leuker in Beveiliging & Virussen - ik verplaats je topic eventjes

Windows Operating Systems >> Beveiliging & Virussen

zaterdag 31 juli 2004 13:42

Acties:

Verwijderd

Topicstarter

Pagina: 1

Reageer