Win7 i okna DOS 'IPIEHU6GHJ' po starcie systemu


(Mrqs) #1

Witam,

Od kilku dni zaraz po wstaniu systemu, na pulpicie ukazuje się od 2 do 4 okien (różnie) DOSa, w tytule m.in. jest "IPIEHU6GHJ". Coś się wykonuje i szybko znikają te okienka. System niby pracuje normalnie, ale nie podoba mi się to zjawisko. Proszę o pomoc.

Logi z OTL'a:

http://wklejto.pl/104388

http://www.wklejto.pl/104389 (extras)


(Raphaello27) #2

W oknie OTL wklej to i wykonaj skrypt:

:OTL

PRC - 2011-07-10 14:17:44 | 000,075,136 | ---- | M -- C:\Windows\SysWOW64\PnkBstrA.exe

PRC - 2009-08-06 07:51:20 | 000,065,536 | R--- | M -- C:\Windows\SysWOW64\XSrvSetup.exe

SRV - 2009-08-06 07:51:20 | 000,065,536 | R--- | M [Auto | Running] -- C:\Windows\SysWOW64\XSrvSetup.exe -- (JMB36X)

O4 - HKLM..\Run: [ActiveXS] C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O4 - HKLM..\Run: [iqEddFNaCV] C:\Users\Mrqs\AppData\Roaming\XicueB.exe (Company)

O4 - HKLM..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe ()

O4 - HKU\S-1-5-21-120773456-21895493-1976735520-1001..\Run: [ActiveXS] C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: ActiveXS = C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O21: 64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O33 - MountPoints2{33cbfd2e-8898-11e0-a2b0-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2{33cbfd2e-8898-11e0-a2b0-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe

O33 - MountPoints2{d5544e36-889a-11e0-a1d5-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2{d5544e36-889a-11e0-a1d5-806e6f6e6963}\Shell\AutoRun\command - "" = E:\RunGame.exe

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[REBOOT]

-- Dodane 05.09.2011 (Pn) 18:03 --

1.Pokaz na forum logi po wykonaniu skryptu z usuwania :slight_smile:

2.Pokaz nowe logi z OTL


(Qba Lukaszczyk) #3

A czy to nie jest przypadkiem system antycziterski?


(Mrqs) #4

Dzięki, wygląda na to, że jest ok.

logi:

http://www.wklejto.pl/104395

http://www.wklejto.pl/104396

http://www.wklejto.pl/104397

Można wiedzieć co to było?


(Raphaello27) #5

w oknie OTL wklej to i wykonaj skrypt:

:OTL

O4 - HKLM..\Run: [ActiveXS] C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O4 - HKCU..\Run: [ActiveXS] C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O4 - HKCU..\Run: [ActiveXS] C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe (Microsoft Corporation)

O4 - HKCU..\Run: [JQXCPOehkc] C:\Users\Mrqs\AppData\Roaming\GiChGXx.exe (Company)

:Commands

[EMPTYTEMP]

[RESETHOSTS]

[CLEARALLRESTOREPOINTS]

[REBOOT]

-- Dodane 05.09.2011 (Pn) 18:51 --

  1. pobierz malwarbytes: http://www.malwarebytes.org/ przeskanuj kompa to co wykryje usun.

  2. pobierz superantispyware: http://www.superantispyware.com/ portable wersje i tez przeskanuj kompa to co wykryje usun.

  3. pokaz nowe logi z OTL na forum


Podejrzenie wirusa - blokuje programy antywirusowe
(Mrqs) #6

Na razie log z ostatniego przebiegu OTL z drugim skryptem. Chyba cos poszło nie tak.

http://www.wklejto.pl/104398

Teraz będe uruchamiał tamte dwa programy


(Raphaello27) #7

wszystko w porzadku.

wykonaj skanowania step 1 i 2 :slight_smile:

nastepnie wykonaj ponownie pelne skanowanie OTL i przedstaw logi na forum. :slight_smile:


(Mrqs) #8

Już przeskanowane i wyrzucone. Logi z OTLa:

http://www.wklejto.pl/104407

http://www.wklejto.pl/104408


(Raphaello27) #9

W OTL wklej to i wykonaj skrypt:

:Reg

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: ActiveXS = C:\Users\Mrqs\AppData\Local\Temp\IPIEHU6GHJ.exe

:Commands

[REBOOT]


(Mrqs) #10

zrobione.

http://www.wklejto.pl/104426

http://www.wklejto.pl/104427


(Raphaello27) #11

w OTL wykonaj sprzątanie. :slight_smile: