Extra opstartscherm

Status
Niet open voor verdere reacties.
B

Benno Dora

Gebruiker
Lid geworden
26 dec 2002
Berichten
19
Als ik W98 opstart komt er een extra scherm bij: de map C:\windows\systeem (met verborgen bestanden). Ik dacht dat ik die er via de win.ini of zo uit kon halen (of de msconfig). Maar het lukt niet. Wat doe ik fout? Welke command roept deze map op en waar kan ik dat herstellen?

dank voor de hulp

Benno

Ps in de zoekfunctie kon ik het niet vinden. Blijkbaar heeft die ook last van de warmte want de uitslag komt gewoon niet door.
 
Download HijackThis (zorg ervoor dat je versie 1.96 hebt). Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,
Bennie
 
Dank,

Dat is snel! Betekent dit dat dat bestand publiekelijk wordt? Dat kan toch geen gevaar?

Vrgr

Benno
 
Als je het hier post, kan iedereen het zien ja. Ik zou niet weten welke gevaren dat met zich meebrengt. Hooguit kunnen anderen zien of je een fervent liefhebber bent van "hete" sites:D Kijk maar uit dat je ega of baas niet meekijkt.:p

Groetjes,
Bennie
 
met de billen bloot

Hier is de txt file


Logfile of HijackThis v1.96.0
Scan saved at 19:06:22, on 11-8-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\MICROSOFT HARDWARE\KEYBOARD\SPEEDKEY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
C:\PROGRAM FILES\POPUPREMOVER\POPRCONTROLLER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAM FILES\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\STAR DOWNLOADER\STARDOWN.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.3.68/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.65.3.68/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.3.68/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.68/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=hpfsched
O1 - Hosts: 216.65.3.76 auto.search.msn.com
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEINT.DLL
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {3D2C1DA4-BCD3-4317-9548-2E08BD222FF0} - C:\PROGRA~1\POPUPR~1\POPUPS~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [QSort2000] C:\PROGRA~1\QSORT2~1\QSORT.EXE /A
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [StartupCleaner] C:\Program Files\CM Data Software\CM DiskCleaner\StartupCleaner.exe
O4 - HKLM\..\Run: [PopupRemoverCtrl] C:\Program Files\PopupRemover\PopRController.exe
O4 - HKLM\..\Run: [CreativeMixer] /T
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\UPDATE.EXE /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\PROGRAM FILES\SPAMIHILATOR\SPAMIHILATOR.EXE"
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00010409-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\WINDOWS\GOOGLETOOLBAR.DLL/cmtrans.html
O8 - Extra context menu item: Download with Star Downloader - C:\PROGRAM FILES\STAR DOWNLOADER\sdie.htm
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37618.5157407407
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003012801/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.tellus.no/wfplayer/tdserver.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

Ben benieuwd.
 
Hmm, de oorzaak is weer niet duidelijk te zien...

Begin hier eens mee.

Vink de volgende zaken aanh in Hijack This, en druk op "Fix Checked":

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.3.68/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.65.3.68/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.65.3.68/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.3.68/search/

O1 - Hosts: 216.65.3.76 auto.search.msn.com

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CreativeMixer] /T
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00010409-78E1-11D2-B60F-006097C998E7}\misc.exe

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sh...n/bin/cabsa.cab

Start vervolgens even opnieuw op. En nu?
 
Beste on

Ik heb de opdracht uitgevoerd. Het scherm verschijnt nog steeds. Kreeg alleen van mijn waakhond (winpatrol) dat er een verandering in de registry (searchbar) was geweest en of ik daar mee instemde.

Verder zie ik geen veranderingen.

Wat nu zei Pietje cru .....

Vrgr

André
 
Volgende stap:

Ga naar Start > UItvoeren > Msconfig, en vink de volgende 2 zaken uit op het tabblad Opstarten:

ICSDCLT = C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
StillImageMonitor = C:\WINDOWS\SYSTEM\STIMON.EXE

Klik OK, sluit Msconfig, en start even opnieuw op.

En nu?
 
Laatst bewerkt:
aanvulling

Vergat te melden dat ik de eerste scan al weer verlaten had en heb toen hijack opnieuw gedraaid. In de nieuwe scan ontbrak deze lijn:

O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00010409-78E1-11D2-B60F-006097C998E7}\misc.exe

Zal wel niet met het probleem te maken hebben omdat het scherm nog steeds verschijnt, maar vond dat ik het je toch ff moest laten weten.

Vrgr
André
 
ALLES wat ik je heb laten "fixen" hoort weg te zijn wanneer je daarna nóg een keer HT draait!

Als ik je tenminste goed begrijp.

Was dat het geval??
 
nog niet ....

heb ook de volgende opdracht uitgevoerd en opnieuw opgestart. Niet het gewenste resultaat.
Ik begrijp dat alles wat gefixt is, nu weg moet zijn. Mijn programmaatje Winpatrol geeft dat soort veranderingen ook aan. Bevestigt de verandering dus. Overigens heb ik niet kunnen zien wat het effect was van wat er nu precies gefixt is. Maar da's geen probleem.

What next?

Pietje Cru
 
Om te beginnen mag je de twee dingen die je net uitgevinkt hebt in Msconfig/Opstarten weer aanvinken.

Ik vergeet overigens de meest gangbare oorzaak: heb jij toevallig in C: een map genaamd System of Systeem aangemaakt?

Is dat zo, hernoem die dan eens naar wat geheel anders.

Ik heb het dus uiteraard niet over de onmisbare map C:\Windows\System.
 
traag van begrip

Ik snap nu je opmerking over HT nu pas. Ik moest hem nog een keer draaien om je eerste opdracht uit te voeren. In het tweede scherm ontbrak een van de regels uit het eerste scherm (scanresultaat).

De fixen zijn uit de HT-scan.
 
msconfig hersteld. een search naar systeem en system gedaan. Dat levert wel een bestand op op C dat wordt geopend door word en allemaal koreaanse tekens bevat. Dateert van 29 juni. Kan het zijn. Haal het meteen weg. en start dan weer op.

Vrgr
André
 
oeps

Dat was toch niet zo goochem om die file weg te halen. Alhoewel ... Kreeg een registryfoutmelding bij het opstarten en de mededeling dat er een oud reservebstand is geinstalleerd. Nu is het probleem ook gelijk weg. Maar nu start norton niet meer op. Daar kom ik denk wel uit. En er zijn ook een paar ander programmaatjes verdwenen zoals mijn waakhond. Ik ga die HT nog een keer doen om de resultaten te vergelijken en uit te vissen waar het aan gelegen kan hebben.


Dank voor je medewerking!

ANdré
 
Leuk spul

In de prullenbak blijken twee bestanden te staan ..... met systeem. Eentje "system.dat" en dat zal het registry probleem wel hebben veroorzaakt. En eentje "system.1st". Ik dacht die te hebben weggehaald. Wat is dat "1st" voor een type bestand?

Ondertussen blijken een paar programmaatjes verdwenen te zijn of het niet meer te doen. Kan het kwaad de system.dat uit de prullenbak terug te zetten en de oude ff te bewaren onder een andere naam?

André
 
System.Dat is het belangrijkste onderdeel van het Register van Windows, de database waarin ALLE instellingen, zowel hardware als softwarematig bewaard worden...:rolleyes:

En System.1st is de copie die bij installatie van Windows aangemaakt wordt, en die bevat uoteraard geen gegevens van later geinstalleerde hardware en software.

Je moet daar dus ten ALLEN tijde met je vingertjes vanafblijven!

Ik had het over een MAP genaamd system of systeem, en niet over een bestand.
 
ja, ik voelde al nattigheid; en wist het ook eigenlijk wel. Niet terugzetten ook dus?

Vrgr
André (de icoontjes doen het niet maar ik zou er een rooie biet hebben neergezet).
 
System.dat moet eigenlijk als de donder weer terug in C:\Windows, maar of dat zo maar kan?
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan