CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede pede15 Nybegynder
09. april 2005 - 22:11 Der er 14 kommentarer og
1 løsning

Ufattelig mange userinit.exe processor - men ingen shell

Jeg har netop haft en disk fra en syg computer i min egen for at fjerne ca. 20 forskellige virusser og orme, samt en ganske nydelig samling mal- og adware.

Disken er fin og ren - men min egen... uhah!

Jeg kan logge ind - men der kommer intet skrivebord eller lign - shell - men til gengæld kører der 1500 - 1800 processor af navnet 'userinit.exe' - jeg kan kvæle dem en efter en men nøjes dog med at tage en 20 stykker hvor efter maskinen selv fik tygget sig igennem de resterende og lukket dem (af en eller anden grund?) - men stadig - ingen shell.

Jeg kan for det første ikke rigtigt finde noget på google (samt groups) - eller herinde - ihvertfald ikke noget som har kunnet hjælpe.

Problemet er det samme selv i fejl-sikret tilstand - masser af 'userinit.exe' processor.

Jeg har blandt andet prøvet at kopiere den omtalte fil fra min windows cd (Windows 2003 Server) - hvillket heller ikke hjalp.

Jeg har været inde i reg'en og se på HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon - hvor værdien 'Userinit' er sat til 'C:\WINDOWS\system32\userinit.exe,' - hvilket, så vidt jeg har forstået, er korrekt.

Og, sidst men ikke mindst: jeg er lost - links - tips - kom med det hele!! Jeg er på bar bund ?8[

Kom nu! Der må sq være nogen der har prøvet det her! skal ha det skidt fixet :)
Avatar billede kalp Novice
09. april 2005 - 22:12 #1
Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://downloadportal.dk/showdownload.asp?rid=3967&sp=Hijackthis%201.91
eller et direkte download link herfra www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.
Avatar billede pede15 Nybegynder
09. april 2005 - 22:12 #2
vil også tilføje at jeg har kørt en virusscan med McAfee antivirus - fuldt opdaterede definitioner - fandt ingenting.
Avatar billede kalp Novice
09. april 2005 - 22:12 #3
http://www.eksperten.dk/artikler/651
Avatar billede kalp Novice
09. april 2005 - 22:13 #4
Hvis du stadig ikke kan komme ind i windows herefter så har du et problem.. så tror jeg du skal smide hd'en over i en anden maskine og rense den for virus der.. altså som slave.

og ellers må du lave en repair på windows og en hijackthis lige efter samt virusscan
Avatar billede pede15 Nybegynder
09. april 2005 - 22:19 #5
Det er en ordentlig sadan - har blandt andet MSDE og MySQL databaser, samt IIS til at køre..  8D
---------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:16:23, on 09-04-2005
Platform: Windows 2003  (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
A:\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1033
F2 - REG:system.ini: Shell=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MySQL System Tray Monitor.lnk = C:\Program Files\MySQL\MySQL Administrator 1.0\MySQLSystemTrayMonitor.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1358D3B-44A7-4F39-AB5F-9989F9058F03}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{B1358D3B-44A7-4F39-AB5F-9989F9058F03}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{B1358D3B-44A7-4F39-AB5F-9989F9058F03}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
Avatar billede pede15 Nybegynder
09. april 2005 - 22:20 #6
Nu vil jeg skænke mig en kop kaffe og lade jer tygge på den - og så bede til den store datamat om at i kan finde buggeren 8] *skål*
Avatar billede kalp Novice
09. april 2005 - 22:20 #7
jeg ser lige på loggen engang
Avatar billede kalp Novice
09. april 2005 - 22:22 #8
Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart. Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelttjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
F2 - REG:system.ini: Shell=userinit.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny log herind så jeg kan se om det ser bedre ud.
Avatar billede pede15 Nybegynder
09. april 2005 - 22:22 #9
Mange tak kalp! :)
Avatar billede pede15 Nybegynder
09. april 2005 - 22:31 #10
er igang med ovenstående, øjeblik.
Avatar billede pede15 Nybegynder
11. april 2005 - 19:25 #11
Kalp - jeg fjernede F2'eren og kørte MWAV - som fandt en lille smule. Det var det der skulle til :)

takker for hjælpen!
Avatar billede kalp Novice
11. april 2005 - 19:38 #12
Jeg ligger et svar så:)

men en ny log er meget velkommen også
Avatar billede kalp Novice
17. april 2005 - 02:30 #13
Husk at lukke:)

Marker mit navn helt nede i venstre hjørne og tryk på accepter:)
Avatar billede kalp Novice
22. april 2005 - 10:15 #14
Marker mit navn nede i venstre hjørne og tryk på accepter så vi kan lukke efter os:)
Avatar billede pede15 Nybegynder
22. april 2005 - 13:41 #15
wops :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:30 Gruppeadministrator Af Btimmer i Sociale medier
25/0919:13 Hvad er denne popup ? Af valby i Diverse
25/0919:08 Google Fotos til iPhone - hvordan stopper jeg synkronisering? Af MWM i Apps til iOS
25/0914:24 Messenger kan ikke åbnes Af lusodana i PC
24/0920:16 Hjælp til valg af højtalerkabel efter arv Af nalacin i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
22 procent flere på tre år: Der er nu tæt på en kvart million it-specialister i Danmark
Læs mere »
Danske top-CIO'er savner europæiske cloud-udbydere: "Jeg kunne godt tænke mig reelle alternativer til lande, der er svære at have med at gøre"
Fynsk Microsoft-partner ramt af ransomware-angreb: "Jeg siger til dig, at jeg ikke vil snakke med dig"
AlfaPeople Nordic indsætter ny CEO for niende gang siden 2019
Se alle »
Computerworld
Teaser billede
Test: Sjælden topkarakter til kæmpe strømsystem - holder køleskab og it-grej kørende i flere dage
Læs mere »
Test: Ford Explorer er mere tysk end amerikansk – og det gør den oplagt til danske el-bilister
Apple klar med ny iOS 18 til din iPhone: Husk at slå den nye besked-funktion til
Kaspersky har uden varsel afinstalleret sig selv fra kunders enheder og automatisk installeret et andet antivirusprogram
Se alle »
CIO
Teaser billede
CIO Christina Weber sad på sin båd i Sverige, da en leverandør gav hende 24 timer til at skifte certifikater
Læs mere »
AWS erkender: Vores kunder rykker ud af clouden - og det er der flere grunde til
Topsøe-direktør: "Jeg er målløs over værdien i dette værktøj"
Kæmper med at få medarbejdere til at bruge Copilot: Sådan griber Niras og BankInvest opgaven an
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Sådan gør du: Elektronisk dokumentudveksling i praksis
Læs mere »
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
AI’s rolle i fremtidens projektledelse
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »