Jump to content

Welcome to Geeks to Go - Register now for FREE

Need help with your computer or device? Want to learn new tech skills? You're in the right place!
Geeks to Go is a friendly community of tech experts who can solve any problem you have. Just create a free account and post your question. Our volunteers will reply quickly and guide you through the steps. Don't let tech troubles stop you. Join Geeks to Go now and get the support you need!

How it Works Create Account
Photo

No more desktop [RESOLVED]

Started by Dark_Star_Qc , Aug 20 2005 12:36 PM

  • This topic is locked This topic is locked

#16
Dark_Star_Qc
Posted 22 August 2005 - 05:17 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
O.K., I think I did everything right... and there's no change... :tazz:

For starters, the following entries were not in my registry so I could not remove them:

* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA356D79-679B-4b4c-8E49-5AF97014F4C1}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA356D79-679B-4b4c-8E49-5AF97014F4C1}

I carried out all the other steps, including the last one where you said to change Search Assistant to = <values>.

However, it should be noted that I'm running a French version of XP Pro. Does that change what I should have entered ?

And what does the following mean? Am I missing something?

"R3 - Default URLSearchHook is missing"



This is my new HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 19:09:27, on 2005-08-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = <values>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MSRSRun] C:\Program Files\NCH Swift Sound\MSRS\msrs.exe /logon
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Program Files\MessengerDiscovery\MessengerDiscovery.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: AOL Instant Messenger (SM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - http://www.registref...X/CpcViewAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zon...er.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.co...ad/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akama...meInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zon...nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/...ro.cab34246.cab
O16 - DPF: {DAF5D9A2-D982-4671-83E4-0398706A5F6A} (SCEWebLauncherCtl Object) - http://zone.msn.com/...WebLauncher.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...499/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registref...iveCGM/Acgm.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSRS Recording SystemService (MSRSService) - Unknown owner - C:\Program Files\NCH Swift Sound\MSRS\msrs.exe

Edited by Dark_Star_Qc, 22 August 2005 - 05:21 PM.

  • 0

Advertisements

#17
Dragon
Posted 22 August 2005 - 08:56 PM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts

And what does the following mean? Am I missing something?

"R3 - Default URLSearchHook is missing"

This is a sign of spyware/malware in most cases. What it is, is a means for the spyware companies that spam your email box, or fill your screen with popup adds to track where you have been so they can send you ads tghat conincide with what you were looking at on the web.

ou may wish to print out a copy of these instructions to follow while you complete this procedure.

Please save Hijack This in a permanent folder (i.e. C:\HJT). This ensures backups are saved and accessible.

Please go offline, close all browsers and any open Windows, making sure that only HijackThis is open. Scan and when it finishes, put an X in the boxes, only next to these following items, then click fix checked.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = <values>
R3 - Default URLSearchHook is missing
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akama...meInstaller.exe


Reboot your PC.

If you would please, rescan with HijackThis and post a fresh log in this same topic, and let us know how your system's working. :tazz:

you may not have a desktop yet, lets clean the malware from your system first, then we will address that issue, sometimes malware will prevent the repairs that need to be done.
  • 0

#18
Dark_Star_Qc
Posted 23 August 2005 - 05:15 AM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
Good morning... :tazz:

O.K., done... no change in my system, though.

This is the new log:

Logfile of HijackThis v1.99.1
Scan saved at 07:12:39, on 2005-08-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ca/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MSRSRun] C:\Program Files\NCH Swift Sound\MSRS\msrs.exe /logon
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Program Files\MessengerDiscovery\MessengerDiscovery.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: AOL Instant Messenger (SM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - http://www.registref...X/CpcViewAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zon...er.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.co...ad/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zon...nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/...ro.cab34246.cab
O16 - DPF: {DAF5D9A2-D982-4671-83E4-0398706A5F6A} (SCEWebLauncherCtl Object) - http://zone.msn.com/...WebLauncher.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...499/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registref...iveCGM/Acgm.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSRS Recording SystemService (MSRSService) - Unknown owner - C:\Program Files\NCH Swift Sound\MSRS\msrs.exe

Edited by Dark_Star_Qc, 23 August 2005 - 05:17 AM.

  • 0

#19
Dragon
Posted 23 August 2005 - 07:28 AM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts
ok, now we have to get Explorer working properly so you can get your desktop back :tazz:


First try the following:
we are going to run System File Checker, to make sure all of your protected files are not corrupt. The scan will automatically replace any corrupt files that it finds.

Click Start
Select Run
At the prompt type sfc /scannow Please note that there is a single space between sfc and /scannow.

Typing this will start the program, and a box should appear telling you how much longer the process should take.

Sometimes the scan will prompt you for your Windows XP disc upon starting the scan. if this happens please make sure that you can view protected files:My Computer
Tools
Folder Options
View
"Uncheck" Hide protected operating system files.
Then rerun the scan. If this still asks you to put in your windows XP CD, and you do not have the CD (If you bought it preinstalled) post back for more tips, otherwise enter Windows CD.

Once the scan is complete:

Check your Windows Updates! After using the File Protection Service, you might need to reapply some updates.

Please reboot, and let me know if anything has changed.

Also, please rehide the protected files:My Computer
Tools
Folder Options
View
"Check" Hide protected operating system files.
if that doesn't help, then we will resort to a in place repair install.
  • 0

#20
Dark_Star_Qc
Posted 23 August 2005 - 05:43 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
OK, this is where we stand:

I tried running the sfc scan. The message I get goes something like this (translation from French):

"The files needed to run Windows must be installed in the DLL Cache Folder. Please insert XP Pro SP2 CD".

Now...

What we must remember is that I have absolutely nothing on my desktop. Anything I manage to do on the computer, I do through task manager and run.

Therefore, I have no idea how to:

...make sure that you can view protected files:My Computer
Tools
Folder Options
View
"Uncheck" Hide protected operating system files.


So this is where I'm stuck... :tazz:
  • 0

#21
Dark_Star_Qc
Posted 23 August 2005 - 05:46 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
...UNLESS...

If I were to reboot in safe mode, and then follow instructions to uncheck the Hide Files box, would that still apply when I reboot in normal mode???
  • 0

#22
Dragon
Posted 23 August 2005 - 06:16 PM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts

...UNLESS...

If I were to reboot in safe mode, and then follow instructions to uncheck the Hide Files box, would that still apply when I reboot in normal mode???

View Post

yes that would work for you, the action carries over.

I understand you are doing this from the task manager and its a royal pain. just amke sure you have your cd ready when you run sfc /scannow.

Usually if the disk is already in the cdrom, it won't even ask for it.
  • 0

#23
Dark_Star_Qc
Posted 23 August 2005 - 07:03 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
I do not have a CD... :-(
  • 0

#24
Dragon
Posted 24 August 2005 - 08:35 AM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts
sorry for the delay, was working on how to get you fixed up here since you don't have the cd.

please go to the taskmanager and click on new task then enter regedit hit enter.

once your in the registry editor please navigate to this key and export it to alocation where you can access it , then copy and paste it into your next reply. You will have to open it in notepad to be able to copy and paste it.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • 0

#25
Dark_Star_Qc
Posted 24 August 2005 - 06:31 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
Well, here goes... although I'm not sure at all this is what you want... :tazz:

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2005-08-23 - 21:13
Valeur 0
Nom : AutoRestartShell
Type : REG_DWORD
Données : 0x1

Valeur 1
Nom : DefaultDomainName
Type : REG_SZ
Données : USER

Valeur 2
Nom : DefaultUserName
Type : REG_SZ
Données : Linda

Valeur 3
Nom : LegalNoticeCaption
Type : REG_SZ
Données :

Valeur 4
Nom : LegalNoticeText
Type : REG_SZ
Données :

Valeur 5
Nom : PowerdownAfterShutdown
Type : REG_SZ
Données : 0

Valeur 6
Nom : ReportBootOk
Type : REG_SZ
Données : 1

Valeur 7
Nom : Shell
Type : REG_SZ
Données : Explorer.exe

Valeur 8
Nom : ShutdownWithoutLogon
Type : REG_SZ
Données : 0

Valeur 9
Nom : System
Type : REG_SZ
Données :

Valeur 10
Nom : Userinit
Type : REG_SZ
Données : C:\WINDOWS\system32\userinit.exe,

Valeur 11
Nom : VmApplet
Type : REG_SZ
Données : rundll32 shell32,Control_RunDLL "sysdm.cpl"

Valeur 12
Nom : SfcQuota
Type : REG_DWORD
Données : 0xffffffff

Valeur 13
Nom : allocatecdroms
Type : REG_SZ
Données : 0

Valeur 14
Nom : allocatedasd
Type : REG_SZ
Données : 0

Valeur 15
Nom : allocatefloppies
Type : REG_SZ
Données : 0

Valeur 16
Nom : cachedlogonscount
Type : REG_SZ
Données : 10

Valeur 17
Nom : forceunlocklogon
Type : REG_DWORD
Données : 0x0

Valeur 18
Nom : passwordexpirywarning
Type : REG_DWORD
Données : 0xe

Valeur 19
Nom : scremoveoption
Type : REG_SZ
Données : 0

Valeur 20
Nom : AllowMultipleTSSessions
Type : REG_DWORD
Données : 0x1

Valeur 21
Nom : UIHost
Type : REG_EXPAND_SZ
Données : logonui.exe

Valeur 22
Nom : LogonType
Type : REG_DWORD
Données : 0x1

Valeur 23
Nom : Background
Type : REG_SZ
Données : 0 0 0

Valeur 24
Nom : DebugServerCommand
Type : REG_SZ
Données : no

Valeur 25
Nom : SFCDisable
Type : REG_DWORD
Données : 0x0

Valeur 26
Nom : WinStationsDisabled
Type : REG_SZ
Données : 0

Valeur 27
Nom : HibernationPreviouslyEnabled
Type : REG_DWORD
Données : 0x1

Valeur 28
Nom : ShowLogonOptions
Type : REG_DWORD
Données : 0x0

Valeur 29
Nom : AltDefaultUserName
Type : REG_SZ
Données : Linda

Valeur 30
Nom : AltDefaultDomainName
Type : REG_SZ
Données : USER


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:44

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:42
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Sans fil

Valeur 1
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessWIRELESSPolicy

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : gptext.dll

Valeur 3
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:43
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Folder Redirection

Valeur 1
Nom : ProcessGroupPolicyEx
Type : REG_SZ
Données : ProcessGroupPolicyEx

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : fdeploy.dll

Valeur 3
Nom : NoMachinePolicy
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x1

Valeur 5
Nom : PerUserLocalSettings
Type : REG_DWORD
Données : 0x1

Valeur 6
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x0

Valeur 7
Nom : NoBackgroundPolicy
Type : REG_DWORD
Données : 0x0

Valeur 8
Nom : GenerateGroupPolicy
Type : REG_SZ
Données : GenerateGroupPolicy

Valeur 9
Nom : EventSources
Type : REG_MULTI_SZ
Données : (Folder Redirection,Application)


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:43
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Quota du disque Microsoft

Valeur 1
Nom : NoMachinePolicy
Type : REG_DWORD
Données : 0x0

Valeur 2
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 3
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoBackgroundPolicy
Type : REG_DWORD
Données : 0x1

Valeur 5
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 6
Nom : PerUserLocalSettings
Type : REG_DWORD
Données : 0x0

Valeur 7
Nom : RequiresSuccessfulRegistry
Type : REG_DWORD
Données : 0x1

Valeur 8
Nom : EnableAsynchronousProcessing
Type : REG_DWORD
Données : 0x0

Valeur 9
Nom : DllName
Type : REG_EXPAND_SZ
Données : dskquota.dll

Valeur 10
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessGroupPolicy


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:42
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Planificateur de paquets QoS

Valeur 1
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessPSCHEDPolicy

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : gptext.dll

Valeur 3
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:42
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Scripts

Valeur 1
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessScriptsGroupPolicy

Valeur 2
Nom : ProcessGroupPolicyEx
Type : REG_SZ
Données : ProcessScriptsGroupPolicyEx

Valeur 3
Nom : GenerateGroupPolicy
Type : REG_SZ
Données : GenerateScriptsGroupPolicy

Valeur 4
Nom : DllName
Type : REG_EXPAND_SZ
Données : gptext.dll

Valeur 5
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x1

Valeur 6
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 7
Nom : NotifyLinkTransition
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Mappage de zones Internet Explorer

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : iedkcs32.dll

Valeur 2
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessGroupPolicyForZoneMap

Valeur 3
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : RequiresSucessfulRegistry
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:44
Valeur 0
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : SceProcessSecurityPolicyGPO

Valeur 1
Nom : GenerateGroupPolicy
Type : REG_SZ
Données : SceGenerateGroupPolicy

Valeur 2
Nom : ExtensionRsopPlanningDebugLevel
Type : REG_DWORD
Données : 0x1

Valeur 3
Nom : ProcessGroupPolicyEx
Type : REG_SZ
Données : SceProcessSecurityPolicyGPOEx

Valeur 4
Nom : ExtensionDebugLevel
Type : REG_DWORD
Données : 0x1

Valeur 5
Nom : DllName
Type : REG_EXPAND_SZ
Données : scecli.dll

Valeur 6
Nom : <SANS NOM>
Type : REG_SZ
Données : Security

Valeur 7
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 8
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 9
Nom : EnableAsynchronousProcessing
Type : REG_DWORD
Données : 0x1

Valeur 10
Nom : MaxNoGPOListChangesInterval
Type : REG_DWORD
Données : 0x3c0


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:43
Valeur 0
Nom : ProcessGroupPolicyEx
Type : REG_SZ
Données : ProcessGroupPolicyEx

Valeur 1
Nom : GenerateGroupPolicy
Type : REG_SZ
Données : GenerateGroupPolicy

Valeur 2
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessGroupPolicy

Valeur 3
Nom : DllName
Type : REG_EXPAND_SZ
Données : iedkcs32.dll

Valeur 4
Nom : <SANS NOM>
Type : REG_SZ
Données : Personnalisation de Internet Explorer

Valeur 5
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x1

Valeur 6
Nom : NoBackgroundPolicy
Type : REG_DWORD
Données : 0x0

Valeur 7
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 8
Nom : NoMachinePolicy
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:44
Valeur 0
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : SceProcessEFSRecoveryGPO

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : scecli.dll

Valeur 2
Nom : <SANS NOM>
Type : REG_SZ
Données : EFS recovery

Valeur 3
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x1

Valeur 5
Nom : RequiresSuccessfulRegistry
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:43
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Microsoft Offline Files

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : %SystemRoot%\System32\cscui.dll

Valeur 2
Nom : EnableAsynchronousProcessing
Type : REG_DWORD
Données : 0x0

Valeur 3
Nom : NoBackgroundPolicy
Type : REG_DWORD
Données : 0x0

Valeur 4
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x0

Valeur 5
Nom : NoMachinePolicy
Type : REG_DWORD
Données : 0x0

Valeur 6
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x0

Valeur 7
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 8
Nom : PerUserLocalSettings
Type : REG_DWORD
Données : 0x0

Valeur 9
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessGroupPolicy

Valeur 10
Nom : RequiresSuccessfulRegistry
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Installation de logiciel

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : appmgmts.dll

Valeur 2
Nom : ProcessGroupPolicyEx
Type : REG_SZ
Données : ProcessGroupPolicyObjectsEx

Valeur 3
Nom : GenerateGroupPolicy
Type : REG_SZ
Données : GenerateGroupPolicy

Valeur 4
Nom : NoBackgroundPolicy
Type : REG_DWORD
Données : 0x0

Valeur 5
Nom : RequiresSucessfulRegistry
Type : REG_DWORD
Données : 0x0

Valeur 6
Nom : NoSlowLink
Type : REG_DWORD
Données : 0x1

Valeur 7
Nom : PerUserLocalSettings
Type : REG_DWORD
Données : 0x1

Valeur 8
Nom : EventSources
Type : REG_MULTI_SZ
Données : (Application Management,Application)
(MsiInstaller,Application)


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:42
Valeur 0
Nom : <SANS NOM>
Type : REG_SZ
Données : Sécurité IP

Valeur 1
Nom : ProcessGroupPolicy
Type : REG_SZ
Données : ProcessIPSECPolicy

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : gptext.dll

Valeur 3
Nom : NoUserPolicy
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : NoGPOListChanges
Type : REG_DWORD
Données : 0x0


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:54

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : Asynchronous
Type : REG_DWORD
Données : 0x0

Valeur 1
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : crypt32.dll

Valeur 3
Nom : Logoff
Type : REG_SZ
Données : ChainWlxLogoffEvent


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : Asynchronous
Type : REG_DWORD
Données : 0x0

Valeur 1
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 2
Nom : DllName
Type : REG_EXPAND_SZ
Données : cryptnet.dll

Valeur 3
Nom : Logoff
Type : REG_SZ
Données : CryptnetWlxLogoffEvent


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : DLLName
Type : REG_SZ
Données : cscdll.dll

Valeur 1
Nom : Logon
Type : REG_SZ
Données : WinlogonLogonEvent

Valeur 2
Nom : Logoff
Type : REG_SZ
Données : WinlogonLogoffEvent

Valeur 3
Nom : ScreenSaver
Type : REG_SZ
Données : WinlogonScreenSaverEvent

Valeur 4
Nom : Startup
Type : REG_SZ
Données : WinlogonStartupEvent

Valeur 5
Nom : Shutdown
Type : REG_SZ
Données : WinlogonShutdownEvent

Valeur 6
Nom : StartShell
Type : REG_SZ
Données : WinlogonStartShellEvent

Valeur 7
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 8
Nom : Asynchronous
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : DLLName
Type : REG_SZ
Données : wlnotify.dll

Valeur 1
Nom : Logon
Type : REG_SZ
Données : SCardStartCertProp

Valeur 2
Nom : Logoff
Type : REG_SZ
Données : SCardStopCertProp

Valeur 3
Nom : Lock
Type : REG_SZ
Données : SCardSuspendCertProp

Valeur 4
Nom : Unlock
Type : REG_SZ
Données : SCardResumeCertProp

Valeur 5
Nom : Enabled
Type : REG_DWORD
Données : 0x1

Valeur 6
Nom : Impersonate
Type : REG_DWORD
Données : 0x1

Valeur 7
Nom : Asynchronous
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:41
Valeur 0
Nom : Asynchronous
Type : REG_DWORD
Données : 0x0

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : wlnotify.dll

Valeur 2
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 3
Nom : StartShell
Type : REG_SZ
Données : SchedStartShell

Valeur 4
Nom : Logoff
Type : REG_SZ
Données : SchedEventLogOff


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:43
Valeur 0
Nom : Logoff
Type : REG_SZ
Données : WLEventLogoff

Valeur 1
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 2
Nom : Asynchronous
Type : REG_DWORD
Données : 0x1

Valeur 3
Nom : DllName
Type : REG_EXPAND_SZ
Données : sclgntfy.dll


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : DLLName
Type : REG_SZ
Données : WlNotify.dll

Valeur 1
Nom : Lock
Type : REG_SZ
Données : SensLockEvent

Valeur 2
Nom : Logon
Type : REG_SZ
Données : SensLogonEvent

Valeur 3
Nom : Logoff
Type : REG_SZ
Données : SensLogoffEvent

Valeur 4
Nom : Safe
Type : REG_DWORD
Données : 0x1

Valeur 5
Nom : MaxWait
Type : REG_DWORD
Données : 0x258

Valeur 6
Nom : StartScreenSaver
Type : REG_SZ
Données : SensStartScreenSaverEvent

Valeur 7
Nom : StopScreenSaver
Type : REG_SZ
Données : SensStopScreenSaverEvent

Valeur 8
Nom : Startup
Type : REG_SZ
Données : SensStartupEvent

Valeur 9
Nom : Shutdown
Type : REG_SZ
Données : SensShutdownEvent

Valeur 10
Nom : StartShell
Type : REG_SZ
Données : SensStartShellEvent

Valeur 11
Nom : PostShell
Type : REG_SZ
Données : SensPostShellEvent

Valeur 12
Nom : Disconnect
Type : REG_SZ
Données : SensDisconnectEvent

Valeur 13
Nom : Reconnect
Type : REG_SZ
Données : SensReconnectEvent

Valeur 14
Nom : Unlock
Type : REG_SZ
Données : SensUnlockEvent

Valeur 15
Nom : Impersonate
Type : REG_DWORD
Données : 0x1

Valeur 16
Nom : Asynchronous
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:37
Valeur 0
Nom : Asynchronous
Type : REG_DWORD
Données : 0x0

Valeur 1
Nom : DllName
Type : REG_EXPAND_SZ
Données : wlnotify.dll

Valeur 2
Nom : Impersonate
Type : REG_DWORD
Données : 0x0

Valeur 3
Nom : Logoff
Type : REG_SZ
Données : TSEventLogoff

Valeur 4
Nom : Logon
Type : REG_SZ
Données : TSEventLogon

Valeur 5
Nom : PostShell
Type : REG_SZ
Données : TSEventPostShell

Valeur 6
Nom : Shutdown
Type : REG_SZ
Données : TSEventShutdown

Valeur 7
Nom : StartShell
Type : REG_SZ
Données : TSEventStartShell

Valeur 8
Nom : Startup
Type : REG_SZ
Données : TSEventStartup

Valeur 9
Nom : MaxWait
Type : REG_DWORD
Données : 0x258

Valeur 10
Nom : Reconnect
Type : REG_SZ
Données : TSEventReconnect

Valeur 11
Nom : Disconnect
Type : REG_SZ
Données : TSEventDisconnect


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 18:27
Valeur 0
Nom : DLLName
Type : REG_SZ
Données : wlnotify.dll

Valeur 1
Nom : Logon
Type : REG_SZ
Données : RegisterTicketExpiredNotificationEvent

Valeur 2
Nom : Logoff
Type : REG_SZ
Données : UnregisterTicketExpiredNotificationEvent

Valeur 3
Nom : Impersonate
Type : REG_DWORD
Données : 0x1

Valeur 4
Nom : Asynchronous
Type : REG_DWORD
Données : 0x1


Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:39

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
Nom de la classe : <Sans classe>
Heure de dernière écriture : 2004-11-01 - 23:42
Valeur 0
Nom : HelpAssistant
Type : REG_DWORD
Données : 0x0

Valeur 1
Nom : TsInternetUser
Type : REG_DWORD
Données : 0x0

Valeur 2
Nom : SQLAgentCmdExec
Type : REG_DWORD
Données : 0x0

Valeur 3
Nom : NetShowServices
Type : REG_DWORD
Données : 0x0

Valeur 4
Nom : IWAM_
Type : REG_DWORD
Données : 0x10000

Valeur 5
Nom : IUSR_
Type : REG_DWORD
Données : 0x10000

Valeur 6
Nom : VUSR_
Type : REG_DWORD
Données : 0x10000
  • 0

Advertisements

#26
Dragon
Posted 25 August 2005 - 05:18 AM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts
Launch Notepad, and copy/paste the box below into a new text file. Save it as Export.bat and save it on your Desktop.

regedit /e Output.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
notepad Output.txt
del /q Output.txt


Locate Export.bat on your Desktop and double-click on it. This will open Notepad with some text in it. Please Post that in your next reply.
  • 0

#27
Dark_Star_Qc
Posted 25 August 2005 - 04:39 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
I followed these last instructions exactly. When I double click on Export.bat saved on the Desktop, this is what happens:

It simultaneously opens a dos emulator window (cmd.exe) and a text file window (untitled text file). I get the following message: "Cannot find Output.txt file. Do you want to create a new file?"

When I click yes, it changes the name of the text file at the top to Output.txt, but does nothing else (the file remains empty)... :tazz:

What next?
  • 0

#28
Dragon
Posted 26 August 2005 - 07:43 AM

Dragon

    All Around Computer Nut

  • Retired Staff
  • 2,682 posts
Note if you are using the same computer that is infected you can download this directly to the computer desktop or somewhere you know you can access it.

Download smitRem.zip and save the file to your desktop.
Right click on the file and extract it to it's own folder on the desktop.
So you'll get a new folder called smitrem on your desktop.
I want you to put that folder on cd, floppy or usb-stick.

On your infected computer, boot again in safe mode and open your task manager again.
Now insert the cd, floppy or usb-stick where you saved the smitrem folder in your infected computer.

In your Task Manager, click 'applications' (first tab).
Click the New Task button.
Cick browse.

Now browse to the drive where your floppy, usb-stick or cd is present (could be A or D or E or F.. you'll see..)
Search for that smitrem folder.
Right click on the smitrem folder and choose: Copy

Now browse again via Task Manager to My Documents or Program Files.
Right click somewhere in there, right click and choose: Paste
Now open the smitrem folder you just copied and pasted and click the file: RunThis.bat
Then click open.
In the window where it says 'Create new task', click OK.

Normally, you'll have to drag the different windows you'll see to left or to right, because normally they will open on top of each other and you wont see the command window the tool starts that is under it.
You'll see a blue window now.
Follow the prompts on screen.
Wait for the tool to complete.

When done, in Task Manager, click 'shut down' from the menu on top and click restart. Your computer will reboot now.
Reboot to normal mode and post a hijackthis log in your next reply.
  • 0

#29
Dark_Star_Qc
Posted 26 August 2005 - 06:53 PM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
Ok, this is what we've got:

I followed all instructions to run smitrem (by the way, I didn't have to move any windows since the command window was the only one that opened).

I rebooted when done and I now have a blank blue screen as a desktop.

And this is my new HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 20:48:47, on 2005-08-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ca/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MSRSRun] C:\Program Files\NCH Swift Sound\MSRS\msrs.exe /logon
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1124860141\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Program Files\MessengerDiscovery\MessengerDiscovery.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar Search - c:\program files\aol\aol toolbar 2.0\resources\en-US\local\search.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - http://www.registref...X/CpcViewAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zon...er.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.co...ad/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zon...nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/...ro.cab34246.cab
O16 - DPF: {DAF5D9A2-D982-4671-83E4-0398706A5F6A} (SCEWebLauncherCtl Object) - http://zone.msn.com/...WebLauncher.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...499/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registref...iveCGM/Acgm.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSRS Recording SystemService (MSRSService) - Unknown owner - C:\Program Files\NCH Swift Sound\MSRS\msrs.exe
  • 0

#30
Dark_Star_Qc
Posted 28 August 2005 - 06:00 AM

Dark_Star_Qc

    Member

  • Topic Starter
  • Member
  • PipPipPip
  • 177 posts
OK, here's more (and very surprising) news:

I was watching a movie last night. My computer was running. When the movie ended, I sat at the desk and jiggled the mouse to turn on the screen...

And guess what? The desktop's back...!!!!

The last thing I did was run smitrem on Friday night. Could it have taken that long to fix it???
  • 0
Back to Virus, Spyware, Malware Removal · Next Unread Topic →




Similar Topics

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

  1. Geeks to Go Community
  2. Security
  3. Virus, Spyware, Malware Removal

As Featured On:

Microsoft Yahoo BBC MSN PC Magazine Washington Post HP