Omschrijving van het probleem:

Vanmorgen tijdens het opstarten van de pc (WindowsXP SP3) kreeg ik het volgende op het scherm:

Windows XP kan niet worden gestart omdat het volgende bestand ontbreekt of is beschadigd: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

U kunt proberen om dit bestand te repareren door Windows Setup te starten vanaf de originele cd-rom met installatiebestanden. Kies 'R' in het eerste scherm om de reparatieprocedure te starten"

Ik heb geen originele cd-rom mijn pc is een HP waarop een OEM versie staat en waarvan ik wel een recovery CD heb, indertijd gemaakt vanaf de recovery partitie.

In veilige modus: geen respons
Laatst gekende juiste configuratie: geen respons

Na een vijftal keer via de Aan/Uit knop heropgestart en wonder oh wonder (y) Windows doet het weer. Ik heb toen meteen een systeemherstel gedaan naar een controlepunt van enkele dagen geleden maar krijg na afloop de melding dat het systeemherstel niet kan uitgevoerd worden, er zijn geen wijziging aan de configuraties aangebracht (of zoiets).
Heb Google geraadpleegd maar wordt daar niet veel wijzer - wel chkdsk gedaan (zonder parameter) en daar zijn wel een achttal zaken gerepareerd, voornamelijk ID:xxxx verwijdert.

Heb nu reeds éénmaal een reboot gedaan na het runnen van TFC.exe zonder probleem.

MBAM laten scannen >>> niks gevonden

Nu voor alle zekerheid graag een controle van mijn HJT logje om malware uit te sluiten A.U.B. - bedankt op voorhand alvast.


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:53:13, on 17/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\TPSrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\PROGRAM FILES\PANDA SECURITY\PANDA INTERNET SECURITY 2010\WebProxy.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\PsCtrls.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\PavFnSvr.exe
C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
c:\program files\panda security\panda internet security 2010\firewall\PSHOST.EXE
C:\Program Files\Panda Security\Panda Internet Security 2010\PsImSvc.exe
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\PskSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\pavsrv51.exe
C:\Program Files\Panda Security\Panda Internet Security 2010\AVENGINE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Security\Panda Internet Security 2010\ApVxdWin.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Common Files\Corel\Standby\Standby.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WhatPulse\WhatPulse.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.minatica.be/forum.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Internet Security 2010\Inicio.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Standby] "c:\Program Files\Common Files\Corel\Standby\Standby.exe" -START
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe
O4 - Startup: AutorunsDisabled
O4 - Startup: OneNote Table Of Contents.onetoc2
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/betapit/PCPitStop.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updateservice (gupdate1c9f17445e85848) (gupdate1c9f17445e85848) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Internet Security 2010\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Program Files\Panda Security\Panda Internet Security 2010\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Internet Security 2010\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Unknown owner - c:\program files\panda security\panda internet security 2010\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Internet Security 2010\PsImSvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Internet Security 2010\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Internet Security 2010\TPSrv.exe

--
End of file - 8820 bytes

Hallo,

Ik zal naar uw logje gaan kijken.
Ik ben echter "Spyware Slayer in opleiding" dit betekend dat ik mijn advies eerst moet laten keuren door een gekwalificeerd helper, hierdoor kan het iets langer duren voordat ik u verder kan helpen.
Alvast bedankt voor uw begrip.

Met vriendelijke groet,

Woudje100

Hallo Peenif,

Het HijackThis logje ziet er goed uit:good:

Dit probleem wordt veroorzaakt door een beschadigd register.
Dit probleem kan alleen opgelost worden door een eventuele register back-up terug te zetten, of een nieuw register te maken.

Ga naar deze (http://support.microsoft.com/kb/310994) site.
Scroll naar Windows XP Service Pack 2 (SP2) en download daar de opstart diskette voor de juiste Windows xp versie naar je bureaublad.
Download vervolgens ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) naar je bureaublad.
Zodra ComboFix en het Microsoft bestand gedownload zijn, dien je het op het ComboFix icoon te slepen en je muisknop los te laten. Dit wordt getoond in de volgende afbeelding:
http://www.bleepstatic.com/combofix/usage/rc.gif
Zodra de installatie van de Windows Recovery Console beëindigd is, zal ComboFix een venster openen met de melding dat het geïnstalleerd is en vragen of je wil verder gaan met het scannen van je computer. Kies voor Nee.

Herstart je computer en start de recovery console.

Typ desgevraagd het Administrator-wachtwoord. Als het Administator-wachtwoord leeg is, drukt u op ENTER.




Typ de volgende regels achter de opdrachtprompt van de herstelconsole en druk na elke regel op ENTER: md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
Typ exit om de herstelconsole te sluiten. De computer wordt opnieuw opgestart.
Klik op Start, klik op Afsluiten (of klik op Computer uitschakelen), klik op Opnieuw opstarten en klik vervolgens op OK (of klik op Opnieuw opstarten).
Druk op F8.
Selecteer de juiste optie voor veilige modus met de pijltoetsen en druk op ENTER.
Op een systeem met twee of meer opstartsystemen gebruikt u de pijltoetsen om het gewenste besturingssysteem te selecteren en drukt u op ENTER.
Start Windows Verkenner.
Open het menu Extra en klik op Mapopties.
Open het tabblad Weergave.
Selecteer onder Verborgen bestanden en mappen de optie Verborgen bestanden en mappen weergeven en schakel het selectievakje Beveiligde besturingssysteembestanden verbergen (aanbevolen) uit.
Klik op Ja wanneer er een dialoogvenster wordt weergegeven waarin u wordt gevraagd om te bevestigen of u deze bestanden wilt weergeven.
Dubbelklik op het station waarop Windows XP is geïnstalleerd zodat een overzicht van de mappen wordt weergegeven. Het is belangrijk dat u op het juiste station klikt.
Open de map System Volume Information. Deze map is niet beschikbaar en wordt lichter weergegeven omdat het een map betreft die is ingesteld als verborgen.
Opmerking Deze map bevat een of meer mappen met de aanduiding _restore {GUID}, zoals '_restore{87BD3667-3246-476B-923F-F86E30B3E7F8}'.
Krijg je deze melding: C:\System Volume Information is niet toegankelijk. Toegang geweigerd. Ga dan naar deze pagina om dit op te lossen. http://support.microsoft.com/kb/309531/
Open een map die niet op het huidige tijdstip is gemaakt. Wellicht moet u op Details klikken in het menu Beeld om te zien wanneer de mappen zijn gemaakt. Onder deze map kunnen andere mappen staan die beginnen met RPx. Dit zijn herstelpunten.
Open een van deze mappen om een submap te zoeken voor een momentopname. Het volgende pad is een voorbeeld van een mappad naar de map Snapshot:C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP1\Snapshot
Kopieer de volgende bestanden van de map Snapshot naar de map C:\Windows\Tmp:

_REGISTRY_USER_.DEFAULT
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM

Ga als volgt te werk om de naam van de bestanden in de map C:\Windows\Tmp te wijzigen:

Wijzig _REGISTRY_USER_.DEFAULT in DEFAULT
Wijzig _REGISTRY_MACHINE_SECURITY in SECURITY
Wijzig _REGISTRY_MACHINE_SOFTWARE in SOFTWARE
Wijzig _REGISTRY_MACHINE_SYSTEM in SYSTEM
Wijzig _REGISTRY_MACHINE_SAM in SAM





Dit zijn de registerbestanden waarvan Systeemherstel een back-up heeft gemaakt. Omdat u het registerbestand gebruikt dat is gemaakt door Setup, weet het register niet dat deze herstelpunten bestaan en dat ze beschikbaar zijn. Onder de map System Volume Information wordt een nieuwe map gemaakt met een nieuwe GUID, en een herstelpunt met kopieën van de registerbestanden die in deel een zijn gekopieerd. Daarom moet u niet de meest recente map gebruiken, met name als het tijdstempel van de map gelijk is aan het huidige tijdstip.

De huidige systeemconfiguratie weet niet dat er eerdere herstelpunten zijn. U hebt een eerdere back-up nodig van een eerder herstelpunt om de eerdere herstelpunten weer beschikbaar te maken.

De registerbestanden die naar de map Tmp in de map C:\Windows waren gekopieerd, zijn verplaatst om ervoor te zorgen dat ze beschikbaar zijn voor de herstelconsole. Deze bestanden moeten worden gebruikt om de registerbestanden te vervangen die zich momenteel in de map C:\Windows\System32\Config bevinden. De herstelconsole heeft een beperkte maptoegang en kan standaard geen bestanden kopiëren van de map System Volume Information.






Start de herstelconsole opniieuw.
Typ de volgende regels achter de opdrachtpompt en druk na elke regel op ENTER: del c:\windows\system32\config\sam

del c:\windows\system32\config\security

del c:\windows\system32\config\software

del c:\windows\system32\config\default

del c:\windows\system32\config\system

copy c:\windows\tmp\software c:\windows\system32\config\software

copy c:\windows\tmp\system c:\windows\system32\config\system

copy c:\windows\tmp\sam c:\windows\system32\config\sam

copy c:\windows\tmp\security c:\windows\system32\config\security

copy c:\windows\tmp\default c:\windows\system32\config\default
Opmerking Op sommige van deze opdrachtregels is mogelijk tekstterugloop toegepast ten behoeve van de leesbaarheid..
Typ exit om de herstelconsole te sluiten. De computer wordt opnieuw opgestart.
Klik op Start en klik op Alle programma's.
Klik op Bureau-accessoires en klik op Systeemwerkset.
Klik op Systeemherstel en klik op Een eerdere status van deze computer herstellen.


Woudje100

Ik wil nu niet zeggen dat deze fix echt honderd meter boven mijn petje gaat maar toch zeker 20 meter en vermits ik sedert het eerste probleem niets meer heb ondervonden, niettegenstaande ettelijke reboots, zal ik het voorlopig zo laten. Bedankt om alles na te kijken, uw oplossing hou ik voor de toekomst (eventueel met hulp) mocht het nodig blijken. Bedankt Woudje100.