Prosím o kontrolu,nějak bastl me tu dělá bordel

[Martinor]

Ok odinstalováno.Co se týče System Control Manager to je od MSI aplikace na ty FN funkce na noťasu.......Docela potřebná funkce pro mě ale odinstaloval jsem si to.A co se týče VirusTotalUploaderu taky jsem jej odinstaloval ale přímo ze stránek Virustotalu ...

[Reklama]

[Damned]

Já zatím našel asi 100 souborů ctv****.exe, ale zatím nic o tom, kdo-co je vyrábí. Jen že se váže na spuštěné procesy a sám sebe kopíruje. Podpisy to nemá žádný a vytváří si otisk s koncovkou .PIF (soubor pro DOS).

Ten SCM si pak nainstaluješ zpátky, měli bychom nyní eliminovat co nejvíce aplikací, jež sou v klíči "run".
*****************************************************************************************************************************************
Start--> > Spustit a do řádku vlož celý tento řádek:

Kód: Vybrat vše

regedit /e "c:\regla.txt" "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"

Klikni na OK.
V "C:\" se ti objeví texťák "regla.txt", zkopíruj mi ho sem.
*****************************************************************************************************************************************
Start--> > Spustit a do řádku vlož celý tento řádek:

Kód: Vybrat vše

regedit /e "c:\regl.txt" "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

Klikni na OK.
V "C:\" se ti objeví texťák "regl.txt", zkopíruj mi ho sem.
*****************************************************************************************************************************************
Jakej máš Bluetooth?

[Martinor]

First :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"AGRSMMSG"="AGRSMMSG.exe"
"RTHDCPL"="RTHDCPL.EXE"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""
"egui"="\"C:\\Program Files\\ESET\\ESET NOD32 Antivirus\\egui.exe\" /hide /waitservice"
"IntelZeroConfig"="\"C:\\Program Files\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Program Files\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"BigDogPath"="C:\\WINDOWS\\VM_STI.EXE PLEOMAX PWC-3800"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""



Second:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"H/PC Connection Agent"="\"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe\""
"IDMan"="C:\\Program Files\\Internet Download Manager\\IDMan.exe /onboot"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"



Používám app BlueSoile nebo jak se to píše ...Chces přesně značku BT v mém notasu ? Musel bych to najít a nwm kde ...


Jinak se mi spouští při startu:IDM,QIP,Skype,Microsoft Active Sync,Ad-aware,Realtek na zvukovku a Nod32 a na wifinu program od Intelu ....

Snad pomůže ...


EDIT:

Ted jsem si vzpoměl,snad to pomůže:Občas i když není zapnutý IE takový ten zvuk těch smajlíků,co když se nainstalují tak jdou i se Spywarem,nikdy jsem od nové instalace Win nic podobného neinstaloval ale proste to slyším a to mám zaplý Chrome a Qip,nic co by tyhle smajly podporovalo....Snad taky pomůže...

[Damned]

Já ještě hledám....

[Damned]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"



Ulož si ho jako na Plochu jako fix.reg a jako typ všechny soubory , najdi tento soubor na Ploše a poklepáním ho spusť. Budeš dotázán na přidání hodnoty do registru. Schval.
*****************************************************************************************************************************************
Červený soubor zkontroluj na Virustotalu a vlož sem odkaz na výsledek.
Pokud ho nenajdeš, dej si zobrazit skryté a systémové soubory. Pokud ti nabídne, že soubor už kontroloval,
nech ho zkontrolovat znovu, a počkej až se objeví "Dokončeno" a výsledek.Potom sem zkopíruj adresní řádek.

C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\agrsmsvc.exe

[Martinor]

Registry jsem udělal


http://www.virustotal.com/analisis/fd73 ... 1248128060
http://www.virustotal.com/analisis/dd4f ... 1251882748
http://www.virustotal.com/analisis/5338 ... 1251374028
http://www.virustotal.com/analisis/0006 ... 1251383138
http://www.virustotal.com/analisis/1123 ... 1240817949

[Damned]

Stáhni si OTLna Plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Output klikni na minimal Output.Pod Standard Registry změň na All. Zatrhni LOP Check a Purity Check. Klikni na Run Scan. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTListIt.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj

[Martinor]

Máš to tady:

http://purkynka.chytry.cz/uloziste/

musel bych to jinak rozdělit na 4 zprávy....

[Damned]

Poklepej na ikonu OTL na ploše.Ujisti se , že máš všechny ostatní aplikace a prohlížeče zavřeny.
Pod Custom Scans/Fixes do okénka vlož následující text, zobrazený zeleně:

Kód: Vybrat vše

:otl
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =  [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
FF - prefs.js..browser.search.selectedEngine: "ÄŚSFD"
FF - prefs.js..extensions.enabledItems: askopensearch-VTS@ask.com:1.0.0.0
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O33 - MountPoints2\{c3e98456-956b-11de-a127-001d924df451}\Shell\AutoRun\command - "" = H:\TrueCrypt\TrueCrypt.exe -- File not found
O33 - MountPoints2\{c3e98456-956b-11de-a127-001d924df451}\Shell\dismount\command - "" = H:\TrueCrypt\TrueCrypt.exe -- File not found
O33 - MountPoints2\{c3e98456-956b-11de-a127-001d924df451}\Shell\mount\command - "" = H:\TrueCrypt\TrueCrypt.exe -- File not found
O33 - MountPoints2\{c3e98456-956b-11de-a127-001d924df451}\Shell\open\command - "" = H:\TrueCrypt\TrueCrypt.exe -- File not found

:files
C:\Documents and Settings\Martínek\Data aplikací\mozilla\Firefox\Profiles\i3bwm452.default\extensions\askopensearch-VTS@ask.com
C:\Windows\tasks\SA.DAT

:commands
[emptytemp]
[reboot]



Poté klikni nahoře na Run Fix. Nech program nerušeně běžet, na konci se provede restart PC.
Po restartu se objeví log , prosím zkopíruj sem celý jeho obsah, i s logem z HJT.