27 svar i den här tråden

[vajlent]

Eftersom Windows Installer helt har slutat fungera för mig verkar det som
så undrar jag om ja fått nått grus i maskineriet?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43:17, on må 04 jan 201010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
D:\Windows\system32\taskhost.exe
D:\Windows\system32\Dwm.exe
D:\Windows\Explorer.EXE
D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
D:\Windows\System32\nvraidservice.exe
D:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
D:\Program Files\Windows Sidebar\sidebar.exe
D:\Windows\system32\wbem\unsecapp.exe
D:\Windows\system32\taskhost.exe
D:\Program Files\Minefield\firefox.exe
D:\Program Files\Internet Explorer\IELowutil.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - D:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MIF5BA~1\Office14\GROOVEEX.DLL
O2 - BHO: Inloggningshjälp för Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O4 - HKLM\..\Run: [NVRaidService] D:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [RtHDVCpl] D:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKCU\..\Run: [Sidebar] D:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Lokal tjänst')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'Lokal tjänst')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Nätverkstjänst')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'Nätverkstjänst')
O8 - Extra context menu item: Append Link Target to Existing PDF - res://D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MIF5BA~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://D:\PROGRA~1\MIF5BA~1\Office14\ONBttnIE.dll/105
O10 - Unknown file in Winsock LSP: d:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: d:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{12801AC7-9071-4088-A249-A7D565991960}: NameServer = 8.8.8.8,8.8.4.4
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - D:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: RemoveFocusRect.dll
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - D:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - D:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: lxcz_device -   - D:\Windows\system32\lxczcoms.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: ServiceLayer - Nokia - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VoddlerNet - Voddler - D:\Program Files\Voddler\service\voddler.exe

--
End of file - 6265 bytes

Tacksam för hjälp här.

[Venoms]

En fråga först, är du med på "Windows Customer Experience Improvement Program"?

[Cecilia]

Jag ser inget skadligt i loggen i alla fall, men det finns mycket skadligt som inte syns i en HijackThis-logg så du behöver kolla upp datorn med något bra antispionprogram också (MBAM, a-squared, SUPERAntiSpyware).

Fick du problem före eller efter du körde TuneUP? Registerstädningsprogram skulle ju kunna orsaka ditt problem.

[vajlent]

Venoms, den 04 januari 2010 - 19:02 , skrev:

En fråga först, är du med på "Windows Customer Experience Improvement Program"?

Det har ja ingen aning om jag är? för vad?

Cecilia, den 04 januari 2010 - 19:12 , skrev:

Jag ser inget skadligt i loggen i alla fall, men det finns mycket skadligt som inte syns i en HijackThis-logg så du behöver kolla upp datorn med något bra antispionprogram också (MBAM, a-squared, SUPERAntiSpyware).

Fick du problem före eller efter du körde TuneUP? Registerstädningsprogram skulle ju kunna orsaka ditt problem.

-Grejen är den att ja inte kan installera/avinstallera något pga felet med att Windows Installer inte längre fungerar...

-Det bara dök upp igår, har använt TuneUp Utilities sedan urminnes tider utan att det har orsakat mig problem.

[JoWa]

MBAM använder inte Windows Installer. a-squared behöver inte installeras: http://download1.ems...t.com/a2usb.zip SAS behöver heller inte installeras: http://www.superanti...onlinescan.html

[Cecilia]

Finns det någon sorts logg eller ångra funktion i TuneUp så du kan se om programmet har gjort något de sista dagarna?

[vajlent]

JoWa, den 04 januari 2010 - 19:55 , skrev:

MBAM använder inte Windows Installer. a-squared behöver inte installeras: http://download1.ems...t.com/a2usb.zip SAS behöver heller inte installeras: http://www.superanti...onlinescan.html

Ok, MBAM är väl det bästa att köra antar jag vad jag hört...
Kör en fullscan med detta & se om den hittar någe bus i maskineriet.
Tack!!!

[vajlent]

Cecilia, den 04 januari 2010 - 19:59 , skrev:

Finns det någon sorts logg eller ångra funktion i TuneUp så du kan se om programmet har gjort något de sista dagarna?

Det får ja ta & kolla upp...

[Venoms]

Varför jag undrade är att den delen brukar få Windows installer och explorer att krasha.

Hursomhelst, kolla i registret efter: HKLM\Software\Microsoft\SQMClient\Windows\DisabledSessions
Finns det några strängar/nycklar förutom "default", radera dessa. Vill du kan du göra backup på dessa först.

Nästa:

I sökrutan, skriv: gpedit.msc
Navigera till: Datorkonfiguration -> Administrativa mallar -> System -> Hantering av Internetkommunikation -> Inställningar för internetkommunikation.
Leta rätt på "Inaktivera Windows CEIP...", dubbelkilicka på den och markera "Aktiverad".
Tryck OK, och stäng gpedit.
Starta om datorn.

Fungerar det nu?

[vajlent]

Nop, fungerar fortfarande inte...
Gör en fulscan just nu med MBAM så vi får se om den hittar något.

Det här inlägget har redigerats av vajlent: 04 januari 2010 - 21:17

[Venoms]

Tetsta denna.. Windows Installer CleanUp Utility

Det här inlägget har redigerats av Venoms: 04 januari 2010 - 21:21

[vajlent]

Venoms, den 04 januari 2010 - 21:20 , skrev:

Tetsta denna.. Windows Installer CleanUp Utility

Testade innan men det gick inte att köra in det, men kan prova senare igen...

MBAM hittade något konstigt:

Infekterade registerdataposter:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

Det här inlägget har redigerats av vajlent: 04 januari 2010 - 22:20

[Venoms]

Installera som administratör...

[vajlent]

Venoms, den 04 januari 2010 - 22:20 , skrev:

Installera som administratör...

Gjorde/gör alltid det men ingen skllnad...

[Cecilia]

Venoms, vajlent har en tidigare tråd om problemet med Windows Installer.
http://www.alltomxp....ndows-installer
sånt som inte har med skadliga program kan kanske skrivas i den tråden i stället.

[Cecilia]

vajlent, den 04 januari 2010 - 21:54 , skrev:

MBAM hittade något konstigt:

Infekterade registerdataposter:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

Det gäller hur Windows ska öppna .scr-filer, det är normalt skärmsläckarprogram. Har du med vilje ändrat hur scr-filer ska startas, dvs att de ska öppnas i Anteckningar i stället för att köras? Du kanske har något program som använder filändelsen .scr för någon annan sorts filer.

[Venoms]

Sorry Cecilia för mitt övertramp i säkerhetstråden. Jag kände igen vad det handlade om, fast jag läste inte hela inlägget i tidigare tråd.

Till saken, det finns en registerfil som kom till på w98/xp som gjorde just detta fenomen som MBAM tycker är konstigt, ändrar rättigheten att exekvera registerfiler genom dubbelklick...
Om man mot förmodan skulle råka ut för en filändrad registerfil, och bara klickade på den i tron att det var en t.ex txt fil, så skulle inte registret /datorn förstöras pga den filen iaf.

Hoppas att det lyser en liten glödlampa nu.

Fortsätter med installern på rätt ställe...

[Cecilia]

Venoms, den 05 januari 2010 - 00:37 , skrev:

Till saken, det finns en registerfil som kom till på w98/xp som gjorde just detta fenomen som MBAM tycker är konstigt, ändrar rättigheten att exekvera registerfiler genom dubbelklick...
Om man mot förmodan skulle råka ut för en filändrad registerfil, och bara klickade på den i tron att det var en t.ex txt fil, så skulle inte registret /datorn förstöras pga den filen iaf.

Hoppas att det lyser en liten glödlampa nu.

Fortsätter med installern på rätt ställe...

Kommentarer om vad MBAM hittar får du gärna skriva här
Fast det som MBAM reagerade på gällde inte registerfiler .reg utan .scr-filer (normalt skärmsläckare).

[Venoms]

Citat

Fast det som MBAM reagerade på gällde inte registerfiler .reg utan .scr-filer (normalt skärmsläckare).

Jag vet, men den är ju exekverbar, och kan ställa till det eftersom det tidigare var en container för skräp in i datorn.
Och det är ju bara att ändra i scriptet lite för att få andra filtyper. Bara ett tips i all välmening.
Jag känner inte till vad TunUp egentligen gör, men det skulle inte förvåna mig om det är den som gjort denna ändring, eller så möjligtvis så har ett äldre program installerats tidigare, ändrat lite, inte fungerat som tänkt och avinstallerats med vissa rester...

[Cecilia]

Det kan både vara önskvärt med den ändring som MBAM tog bort likaväl som att det kan vara något skadligt som ändrat tidigare. Vi får väl se om vajlent har någon susning om vad orsaken kan vara. Vill man ändra tillbaks så är det ju bara att gå till MBAMs karantän och återställa.