VSS en systeemherstel

[Faziri]

Ik heb de executable gepakt want ik weet zo al dat windows niks gaat willen installeren via een gastaccount

Ik kreeg eerst een popup over een error, maar windows weigert de screenshot te uploaden naar photobucket. Het is iets van

"your system denied access to the Hosts file. if any hijacked domains are in this file, we might not be able to fix this.if that happens, edit the file yourself by using [uitleg hoe ge notepad opent]. find the lines we report and delete them. for vista users, exit and run as admin"

Nochtans HEB ik dat laatste ook gedaan, maar ja, gastaccount heeft niks te zeggen

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:41:15, on 24/07/2010

Platform: Windows 7 (WinNT 6.00.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal

Running processes:

C:\windows\system32\Dwm.exe

C:\windows\Explorer.EXE

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\windows\system32\taskhost.exe

C:\Program Files\Avast\AvastUI.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Launchy\Launchy.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\FireFox\firefox.exe

C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe

C:\Program Files\FireFox\plugin-container.exe

C:\Users\Gast.OMEGA\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: VizController Class - {0F9CECE1-0306-4BB0-8BEF-C9EA3841E38A} - C:\Program Files\DiskView\VizBHO.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: DiskView - {6A882320-BDD0-4ff4-BE3A-D8BAF82668E9} - C:\Program Files\DiskView\VizBar.dll

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

O4 - HKLM\..\Run: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avast5] "C:\Program Files\Avast\avastUI.exe" /nogui

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\RunOnce: [*Restore] C:\windows\system32\rstrui.exe /RUNONCE

O4 - HKCU\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

O4 - HKCU\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe

O4 - HKUS\S-1-5-21-2360047747-3816379452-1845821570-501\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '?')

O4 - HKUS\S-1-5-21-2360047747-3816379452-1845821570-501\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '?')

O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GO36F4~1.DLL

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Avast\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Avast\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Avast\AvastSvc.exe

O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: IS360service - IObit - C:\Program Files\IObit Security 360\IS360srv.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\windows\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe

O23 - Service: Predator ACE (PredatorACE) - Montpellier-Informatique - C:\Program Files\Predator\PredatorACE.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--

End of file - 5112 bytes

---------- Post toegevoegd om 16:53 ---------- Vorige post was om 16:46 ----------

Ik heb ook nog avast, malwarebytes antimalware en iobit security 360 (ik ben niet zo'n noob als ik lijk in deze topic), moet ik die ook laten draaien? 360 vindt meestal wel al de zaken die in mijn register zitten en daar niet horen... alleen betwijfel ik of die iets gaan kunnen doen want dit is een gastaccount

het enige dat in mij opkomt is de gastaccount terug uitschakelen... als microsoft een beetje verstand in windows heeft gestoken, heeft die door dat het inlogscherm nooit leeg mag zijn en geeft hij misschien mijn normale account terug? maar ik ben bang dat ik mezelf dan net zo goed helemaal buitensluit... en ik weet niet of de gastaccount zichzelf kan uitschakelen (waarschijnlijk niet)

edit: gastaccounts mogen zelfs geen virusscanner opstarten >.< iobit geeft een berg error messages en MBAM is aan het scannen

24 juli 2010 aangepast door Faziri

[Jean-Pierre]

Werkt veilige modus nog?

Zo ja dan kun je daar proberen je gastaccount terug uit te schakelen.

Maak zeker van alle belangrijke data een backup in het geval van.

[Faziri]

Werkt veilige modus nog?

Zo ja dan kun je daar proberen je gastaccount terug uit te schakelen.

Maak zeker van alle belangrijke data een backup in het geval van.

In het ergste geval heb ik al een tijd geleden CDtjes gemaakt met reparatie programma's van mijn fabrikant en eentje waarmee ik ten allen tijde aan alles op mijn harde schijf aankan... misschien kan ik daar iets mee doen? een of ander beveiligingsbestand overriden of zo?

en in veilige modus krijg ik ook alleen de gastaccount, dat is nog het mafste... ik zal eens proberen met "andere gebruiker" na het (automatisch ) inloggen, misschien dat ik dan iets krijg. net user administrator /active:yes heeft niks uitgehaald en voor de rest weet ik het ook niet meer...

er is mij wel iets opgevallen: als ik naar het config scherm ga en de gebruikers bekijk, zie ik de asp.net staan, de admin, de uitgeschakelde (!!!???) gastaccount en dan mijn eigen account die daar als gastaccount is gelabeld (?!), maar alleen de gast verschijnt bij het inloggen

edit: MBAM heeft niks gevonden

[Jean-Pierre]

Een nieuwe account aanmaken met admin rechten werkt dat wel?

Als die dan is aangemaakt schakel je het gastaccount uit.

Er is alleszins het een en ander aan de hand met uw pc,we moeten enkel achterhalen WAT dat juist is.

[Faziri]

Hmmm... dit gaat erover... effe illustreren:

opstarten -> F8 -> veilige modus -> windows wordt geladen... -> [automatisch inloggen op gast] -> wachten op Sens.... even geduld -> kan geen verbinding maken met Sens, contacteer de beheerder -> terug naar begin van de cirkel

m.a.w. ik geraak simpelweg niet IN veilige modus >.<

edit:

configuratie -> gebruikers -> nieuwe account -> type: admin, naam: Jos -> Fout: naam mag geen speciale tekens bevatten (/, %, &, etc)

24 juli 2010 aangepast door Faziri

[Jean-Pierre]

In die lijst na het tokkelen op F8 staat er ook "Windows starten met laatsts gekende werkende configuratie" , werkt dat ook niet!!

[Faziri]

In die lijst na het tokkelen op F8 staat er ook "Windows starten met laatsts gekende werkende configuratie" , werkt dat ook niet!!

Ook geprobeerd, dat is de configuratie waar ik nu opzit en die is juist hetzelfde

als er geen andere ideeën zijn, kan ik alleen de gastaccount uitschakelen en hopen op het beste... (als ik die zelfs maar kan uitschakelen terwijl ik erop zit)

[Jean-Pierre]

Hebt u een installatie cd/dvd van windows?

Als dat het geval is kun je proberen om windows te herstellen met de herstelconsole.

[Faziri]

Ik heb hier 3 cds liggen die gebrand werden bij de eerste opstart, nog voor windows zelf geinstalleerd werd (waarbij de samsung recovery dinges de bevelen gaf) en die hebben iets te maken met windows... verder heb ik een cd met daarop reparatieprogramma's van samsung en dat programma om aan mijn schijf aan te kunnen... verder heb ik bij F8 ook nog "de computer herstellen", waar zowel een herstelpunt als een "problemen bij opstarten" scan niks heeft uitgehaald.

ik zal die 3 windows CDs en die samung recovery cd eens proberen...

---------- Post toegevoegd om 17:46 ---------- Vorige post was om 17:33 ----------

Ok, ik heb in de BIOS de boot volgorde veranderd en de cd vanboven gezet... hij gaf dan de gewoonlijke schermen, gevolgd door "boot from ahci cdrom..." waar hij een minuut over bleef piekeren, en dan ging hij gewoon door van op de harde schijf. nochtans had ik daarnet de cd al ingestoken en kreeg ik de popup "dit is een herstelschijf. als u uw systeem wil herstellen, boot dan vanop deze schijf", wat dus blijkbaar niet gebeurd is. ik moet wel zeggen dat ik vorige week last had met de cd lezer (hij wou geen enkele cd meer lezen) en dat het daarnet een halve minuut duurde voor hij doorhad wat voor schijf het was

misschien maakt samsung dus toch niet zo'n goeie computers... en voor de cd-lezer telt eigenlijk mijn garantie zelfs nog (als mijn moeder nu eens niet weer de wijsneus zou hebben uitgehangen en het ticket zijn kwijtgespeeld...)

edit: wacht... de cd-lezer verschijnt niet meer onder "deze computer" en ik voel hem continu draaien, dus misschien heeft hij toch van op de cd geboot (wat mij niet mogelijk lijkt want alles is nog hetzelfde)

Ik bedenk me juist iets: bij het eerste opstarten van windows heb je ook nog geen gebruikersaccount en geen gastaccount, dus dan krijg je automatisch de admin bij het eerste starten... misschien dat dat nog altijd telt? gastaccount uitschakelen (als dat gaat terwijl je ingelogd bent) en dan zou ik toch denken dat die admin/asp.net automatisch verschijnt op de login... maar ik durf niet goed want ik wil mezelf niet besluiten zonder raad van iemand die er meer van weet

24 juli 2010 aangepast door Faziri

[Faziri]

By the way, ik zie in C:\Gebruikers\ nog altijd wel mijn naam staan, maar ik heb net gezien dat die map leeg is T_T bye-bye al mijn werk

ROTBUG met die gastaccount, ik heb wat op internet zitten zoeken en ik ben niet de enige die dat probleem heeft... verdomme...