HijackThis - nie włącza się

[jambeatbox]

Chciałem dziś profilaktycznie sprawdzić logi z HijackThis, ale problem w tym że nie uruchamia mi się on. Zainstalowałem, klikam dwa razy na ikonę i nic. Powtarzałem to kilka razy, ale bez skutku. Obawiam się że mam zainfekowany komputer.
Jakiego polecacie antywirusa? Jakie macie zdanie na temat avasta?

[mateo8898]

HijackThis to sie do muzeum nadaje. Podaj logi z OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[jambeatbox]

OTL:
Extras.txt http://wklej.eu/index.php?id=845110a743
OTL.txt http://wklej.eu/index.php?id=e0df79769c

Gmer http://wklej.eu/index.php?id=df1d923f24

[mateo8898]

Użyj TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 i podaj log z niego.

[jambeatbox]

Log z TDSSKiller http://wklej.eu/index.php?id=a4aab473c1

[kominekl]

Wejdź w START URUCHOM Msconfig Usługi odznacz usługę Nvidia Display Driver Service.

Następnie odinstaluj Ask Toolbar, ArcaVir, EasyCleaner (dam Ci później odpowiednik do bardziej zaufanego "czyściciela"), Free_Lunch_Design Toolbar, Gadu-Gadu 7.7 (masz już nowszą wersję), My Global Search Bar i Yahoo! Toolbar (chyba, że używasz).

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb&sysid=2
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb&sysid=2
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://ham.asksearch.com/?cfg=2-396-0-...
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://www.mydtzone.com/startpage
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb&sysid=2
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\prxtbFre0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1715567821-861567501-682003330-1004\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search..."
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
FF - HKLM\Software\MozillaPlugins\[email protected]/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
[2010-07-29 23:04:14 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec}
[2010-10-08 13:36:51 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011-12-03 12:42:19 | 000,000,000 | ---D | M] (Veoh Web Player Community Toolbar) -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}
[2011-04-09 23:19:26 | 000,001,743 | ---- | M] () -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\searchplugins\ask.uk.xml
[2011-06-22 13:13:14 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\searchplugins\conduit.xml
[2011-09-10 20:56:30 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\w5tveg8b.default\searchplugins\web-search.xml
[2010-10-23 20:23:09 | 000,000,000 | ---D | M] (G Data WebFilter) -- C:\Program Files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
CHR - default_search_provider: Web Search (Enabled)
CHR - default_search_provider: search_url = http://search.bearshare.com/web?src=crb&systemid=2&q={searchTerms}
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause File not found
O4 - HKU\S-1-5-21-1715567821-861567501-682003330-1004..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1CA73D29

:Files
C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-861567501-682003330-1004UA.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-861567501-682003330-1004Core.job
C:\Documents and Settings\x\Dane aplikacji\inst.exe
C:\Documents and Settings\All Users\Dane aplikacji\13368
C:\Documents and Settings\All Users\Dane aplikacji\3A396
C:\Documents and Settings\All Users\Dane aplikacji\69C
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"36X Raid Configurer"=-
"Alcmtr"=-
"EPSON Stylus C43 Series"=-
"JMB36X IDE Setup"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
[HKEY_CURRENT_USER\S-1-5-21-1715567821-861567501-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"50000:TCP"=-
"50001:TCP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[jambeatbox]

A co do uruchamiania? Selektywne czy normalne? Ok, odinstalowałem te programy poza gadu gadu bo tam mam dość ważne rzeczy w archiwum. Nie chcę zostawiać samego pliku archiwum. A co do ArcaVira to już dawno temu miałem problemy z odinstalowaniem go. Podczas odinstalowywania wyświetla mi się że błąd krytyczny.
Wkleiłem ten skrypt, ale jest problem bo zawiesza mi się OTL.
Mam wrażenie że komputer ciut wolniej chodzi po wklejeniu tego skryptu w OTL.

[kominekl]

Wykonaj skrypt w trybie awaryjnym. Podaj log z usuwania + nowe logi z OTL.

[jambeatbox]

Log z usuwania: http://wklej.eu/index.php?id=7591935fb0

Nowe logi:
Extras http://wklej.eu/index.php?id=ff23910fdf
OTL http://wklej.eu/index.php?id=9dfae23ef8

[kominekl]

Odinstaluj ArcaVir`a za pomocą Revo Uninstaller`a w trybie zaawansowanym https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/revo-uninstaller/.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKCU..\Run: [Google Update] "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c File not found

:Files
C:\Documents and Settings\x\Pulpit\tdsskiller.exe
C:\Documents and Settings\All Users\Dane aplikacji\G DATA
C:\Documents and Settings\x\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.0.2.lnk

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=-
"C:\Program Files\Giraffic\Giraffic.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[jambeatbox]

Log z usuwania: http://wklej.eu/index.php?id=dad4803816

Extras: http://wklej.eu/index.php?id=e10652c36a
OTL: http://wklej.eu/index.php?id=bcac9d2cd6


Revo Uninstaller nie widzi ArcaVira. A jak próbuje odinstalować przez start - wszystkie programy - arcavir - odinstaluj to pokazuje mi się że "Ta akcja jest prawidłowa tylko dla produktów które są zainstalowane." Mimo to ikona arcavira jest na pasku zadań.

Mógłbyś mi powiedzieć co robił powyższy skrypt, który podałeś? I co "wyczytałeś" z logów?

[kominekl]

Wcześniej usuwaliśmy kosmetykę. No cóż "zaatakujemy" ArcaVir`a "na sucho".

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - [2011-04-06 13:53:30 | 000,535,120 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)
SRV - [2011-04-04 13:01:06 | 000,155,112 | ---- | M] (ArcaBit) [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV)
SRV - [2011-03-29 14:37:42 | 000,186,960 | ---- | M] (ArcaBit) [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaTools\ArcaBackup\ArcaBackupService.exe -- (AVBackup)
SRV - [2011-03-10 18:56:56 | 000,170,576 | ---- | M] (ArcaBit) [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaConfSV.exe -- (ABConfSV)
SRV - [2011-01-21 14:42:20 | 000,129,616 | ---- | M] (ArcaBit) [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2)
SRV - [2010-12-03 14:47:10 | 000,117,328 | ---- | M] (ArcaBit) [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate)
DRV - [2011-02-14 18:16:02 | 000,052,304 | ---- | M] (ArcaBit) [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT)
DRV - [2010-10-26 14:04:30 | 000,051,280 | ---- | M] (ArcaBit) [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI)
O4 - HKLM..\Run: [AvMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe (ArcaBit)

:Services
ArcaRemoteService
ABMainSV
AVBackup
ABConfSV
AVTasks2
AVUpdate

:Files
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
C:\Program Files\ArcaBit
C:\Documents and Settings\x\Pulpit\gmer.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"50001:TCP"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[jambeatbox]

Logi z usuwania: http://wklej.eu/index.php?id=0ca930f95e

Nowe:
OTL http://wklej.eu/index.php?id=2dd3e0f9bf
Extras http://wklej.eu/index.php?id=690fccd448

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Documents and Settings\x\Pulpit\11 nowe logi
C:\Documents and Settings\x\Pulpit\revosetup.exe
C:\WINDOWS\System32\antiwpa.dll_FF042

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL Sprzątanie.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html.
Odinstaluj starą wersję Firefox`a Mozilla Firefox (3.6.9), bo masz już nowszą.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 20 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 9.4.0 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.

[jambeatbox]

Ok, zainstalowałem, zaktualizowałem, usunąłem to co miałem. Sprzątnąłem. Nie mam loga z usuwania. Przeskanowałem. Znalazło kilka infekcji, tutaj raport:
http://wklej.eu/index.php?id=861ae66fba . Wielkie dzięki za pomoc!
A mogę zostawić Malwarebytes na komputerze? Nie szkodzi to że mam też Avasta na kompueterze?