Gebruiker wordt bij inloggen meteen vanzelf afgemeld. Virus?

[PH-RVG]

Systeem is XP-Home SP2 en eigendom van een oudere dame.

Probleem:
PC wordt aangezet en Windows start op.
In het welkomstscherm wordt een gebruiker geselecteerd. Maar dan wordt de gebruiker weer meteen vanzelf afgemeld en terug naar af.
In Safe mode met administrator precies hetzelfde.
Je komt dus het systeem niet in.

In oudere discussies (2009) wel iets gevonden dat er op leek, maar de oplossing via copy userinit.exe wsaupdater.exe in de herstelconsole heeft geen effect.

Graag advies

 

[manamana]

Hallo PH RVG Heb je de cd rom nog bij de hand dan kun je dit overwegen.
http://computertotaal.nl/software/1935-windows-xp-herstellen.html

 

[PH-RVG]

Hallo PH RVG Heb je de cd rom nog bij de hand dan kun je dit overwegen.
http://computertotaal.nl/software/1935-windows-xp-herstellen.html

Maar welke functie zou ik dan moeten uitvoeren?
Zoals gezegd, XP start normaal op, maar zodra je de gebruiker kiest gaat het mis.

 

[manamana]

Oh oke probeer dan als je er bent in te loggen met het woord

admin

Gokje van mij.

 

[manamana]

In Windows XP kun je inloggen met een klik op uw persoonlijke icoon. Wanneer je echter meerdere gebruikersaccounts creëert, verdwijnt de originele Administratoraccount.
Dit kan erg lastig zijn, bijvoorbeeld wanneer je als Administrator de rechten wilt wijzigen van een andere Administratoraccount met volledige rechten. Gelukkig is de originele account niet echt weg: druk op het inlogscherm tweemaal de toetsencombinatie Ctrl + Alt + Del in, en je tovert de account weer tevoorschijn. Althans dat is een mogelijkheid.

 

[PH-RVG]

Oh oke probeer dan als je er bent in te loggen met het woord

admin

Gokje van mij.

Nee, we praten langs elkaar. Ik ben niet duidelijk genoeg geweest. (Overigens, er is helemaal geen wachtwoord, maar dat terzijde)

Als je op het gebruikers-icoontje klikt, dan komt de boodschap: "Uw persoonlijke instellingen worden geladen ..."" en meteen daarna verschijnt de boodschap: "U wordt afgemeld ..." en ben je dus terug bij af.
Precies hetzelfde gebeurd als je in safe mode gaat, zowel bij het admin.account en het normale gebruikersaccount.

Ik heb je 2e suggestie geprobeerd, dus via CTRL-ALT-DEL. Dan verschijnt een ander scherm, maar het resultaat is hetzelfde, ik kom XP niet in.
Als ik dat met Administrator als gebruikersnaam probeer komt de boodschap: "Kan u niet aanloggen in verband met een accountbeperking".

Gaat er nu een lampje branden?

 

[manamana]

Ja ik probeer het lichtje te laten branden. Maar ik dacht als je de cd rom hebt kun je toch herstel uitvoeren.
ten tweede vond ik dit nog.
http://support.microsoft.com/kb/303846/nl

en dan verwijst hij naar deze op de eerste link.

http://support.microsoft.com/kb/279783

En dit las ik alsl eerder vermeld.

http://www.computeridee.nl/faqman/besturingsystemen/windows-xp/accountbeperking

Probeer zeker mee te denken.

 

[PH-RVG]

De eerste 2 suggesties zijn niet uit te voeren omdat je daarvoor in het systeem ingelogd moet zijn en dat lukt nu net niet.

De derde suggestie (dus als administrator nadat ik CTRL-ALT-DEL heb gedaan) lukt ook niet omdat ik alleen dan de boodschap "Kan u niet aanloggen in verband met een accountbeperking" krijg.

Ik kan wel via UBCD4Win of Knoppix de harde schijf bekijken maar alles wat ik kan beoordelen ziet er goed uit.

 

[manamana]

Dan is de waarschijnlijke conclusie toch wellicht een virus. Wel vreemd allemaal.

 

[Mik Zjegger]

Hoi,
Download HirensBootCd, brand de iso met het bijgeleverde ImgBurn en zorg dat je pc van het cd-station opstart. Probeer het virus te localiseren/verwijderen met de aanwezige virusscanners op de cd.
Lukt dat niet dan kun je het met Kaspersky Rescue Disk proberen.
We horen wel weer.

 

[PH-RVG]

Ik heb Kaspersky's Rescue Disk 10 gebruikt ( je andere suggestie kost min. $40)
Resultaat:

[I]Objects Scan: completed <1 minute ago   (events: 30, objects: 250085, time: 01:54:13)	
4/12/12 12:31 PM	Task completed			
4/12/12 12:31 PM	Deleted: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/wsaupdater.exe		
4/12/12 12:30 PM	Detected: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/wsaupdater.exe		
4/12/12 12:30 PM	Deleted: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/userinit.exe		
4/12/12 12:30 PM	Detected: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/userinit.exe		
4/12/12 12:30 PM	Deleted: Trojan-Downloader.BAT.Ftp.ab	C:/WINDOWS/system32/o		
4/12/12 12:29 PM	Detected: Trojan-Downloader.BAT.Ftp.ab	C:/WINDOWS/system32/o		
4/12/12 12:29 PM	Deleted: Exploit.HTML.CodeBaseExec	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/ST6VGXYN/mtrslib2[1].js		
4/12/12 12:29 PM	Detected: Exploit.HTML.CodeBaseExec	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/ST6VGXYN/mtrslib2[1].js		
4/12/12 12:29 PM	Deleted: Trojan-Clicker.JS.Linker.j	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/SH63CDMZ/mymt[1].html		
4/12/12 12:29 PM	Detected: Trojan-Clicker.JS.Linker.j	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/SH63CDMZ/mymt[1].html		
4/12/12 12:29 PM	Deleted: HEUR:Trojan.Script.Iframer	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/triopsys_nl[1].htm		
4/12/12 12:27 PM	Detected: HEUR:Trojan.Script.Iframer	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/triopsys_nl[1].htm		
4/12/12 12:27 PM	Deleted: Trojan-Downloader.JS.LuckySploit.e	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/clicksagent2[1].htm		
4/12/12 12:26 PM	Detected: Trojan-Downloader.JS.LuckySploit.e	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/clicksagent2[1].htm		
4/12/12 11:53 AM	Untreated: Trojan-Downloader.BAT.Ftp.ab	C:/WINDOWS/system32/o	Postponed	
4/12/12 11:53 AM	Detected: Trojan-Downloader.BAT.Ftp.ab	C:/WINDOWS/system32/o		
4/12/12 11:52 AM	Untreated: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/userinit.exe	Postponed	
4/12/12 11:52 AM	Detected: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/userinit.exe		
4/12/12 11:52 AM	Untreated: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/wsaupdater.exe	Postponed	
4/12/12 11:52 AM	Detected: Trojan.Win32.Agent.bvsw	C:/WINDOWS/system32/wsaupdater.exe		
4/12/12 11:19 AM	Untreated: Trojan-Clicker.JS.Linker.j	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/SH63CDMZ/mymt[1].html	Postponed	
4/12/12 11:19 AM	Untreated: Exploit.HTML.CodeBaseExec	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/ST6VGXYN/mtrslib2[1].js	Postponed	
4/12/12 11:19 AM	Detected: Exploit.HTML.CodeBaseExec	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/ST6VGXYN/mtrslib2[1].js		
4/12/12 11:19 AM	Detected: Trojan-Clicker.JS.Linker.j	C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/SH63CDMZ/mymt[1].html		
4/12/12 10:58 AM	Untreated: HEUR:Trojan.Script.Iframer	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/triopsys_nl[1].htm	Postponed	
4/12/12 10:58 AM	Detected: HEUR:Trojan.Script.Iframer	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/triopsys_nl[1].htm		
4/12/12 10:58 AM	Untreated: Trojan-Downloader.JS.LuckySploit.e	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/clicksagent2[1].htm	Postponed	
4/12/12 10:58 AM	Detected: Trojan-Downloader.JS.LuckySploit.e	C:/Documents and Settings/Gebruiker/Local Settings/Temporary Internet Files/Content.IE5/L0WOPT5J/clicksagent2[1].htm		
4/12/12 10:36 AM	Task started[/I]

Kortom, er zat nogal wat rotzooi, die nu allemaal weg is (of zou moeten zijn), maar ik kan nog steeds niet het systeem opstarten.

Heb de beide ontbrekende bestanden (wsaupdater.exe en userinit.exe) van een oud eigen XP-systeem overgezet en toen kon ik er wel in.
Echter, toen waren er zoveel andere rare dingen aan de hand dat ik toch maar de herinstallatie gestart heb.

Hartelijk dank allemaal voor het meedenken.

 

[Mik Zjegger]

Hirens Boot Cd is gratis, dus ik snap die €40 niet goed.
Je was behoorlijk met wat trojans geïnfecteerd zie ik, je zal toch je surfgedrag eens onderhanden moeten nemen want anders blijf je herinstalleren.
Download anders SpywareBlaster (gratis) die je van de meeste "verkeerde" sites weghoudt.
Succes verder. :thumb:

 

[PH-RVG]

Je was behoorlijk met wat trojans geïnfecteerd zie ik, je zal toch je surfgedrag eens onderhanden moeten nemen want anders blijf je herinstalleren.

LOL
Het systeem is van een keurig nette oudere dame (rond de 75, schat ik zo) die ik echt niet met opzet naar rare sites zie gaan.

Groetjes
Rob

 

[Mik Zjegger]

Ze krijgt mss regelmatig bezoek van haar kleinkinderen?

 

[PH-RVG]

Ze krijgt mss regelmatig bezoek van haar kleinkinderen?

Wie weet?
Nogmaals dank voor het meedenken. Ik krijg als PCHulp van Seniorweb regelmatig rare systemen en het is fijn dat er mensen kunnen helpen als ik het niet meer weet.