Podmieniona strona iPKO


(Leitoo13) #1

Witam

Ostatnio logując się w serwisie iPKO.pl zauważyłem, że mam podmienioną stronę. Przed głównym adresem miałem dodane "ssl-". Antywirus NOD32 znalazł u mnie RiskWare.HackAV MH i Trojan.Kryptik usunięcie wirusów nie pomogło, następnie przeskanowałem komputer kasperskym, który już nic nowego nie wykrył. 

W logach zauważyłem następujące linijki: 

2009-07-14 03:34 - 2015-03-22 16:38 - 00000924 ____A C:\Windows\system32\Drivers\etc\hosts


(Acorus) #2

Otwórz notatnik systemowy i wklej:

Hosts:
HKLM-x32\...\Run: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [335232 2015-02-10] (Oracle Corporation)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
HKLM\...\Policies\Explorer\Run: [10088] = C:\ProgramData\Local Settings\Temp\msaekxqoe.pif [56472 2009-07-14] ( (Microsoft Corporation))
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [Not Found]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-03-12 21:18 - 2015-03-12 21:18 - 00003122 _____ () C:\Windows\System32\Tasks\{CF022105-74DC-4369-8166-8E65F7C8534A}
2015-03-12 19:45 - 2015-03-12 19:45 - 00003136 _____ () C:\Windows\System32\Tasks\{A49B9673-3443-4210-9C9D-25B76534AC56}
2015-03-10 17:03 - 2015-03-10 17:03 - 00003226 _____ () C:\Windows\System32\Tasks\{D87379C3-40BD-4DC3-B7FF-1A3234441E7A}
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.4.1028.exe


(Leitoo13) #3

Dzięki wielkie za szybką odpowiedź.

Program wykrył mi 4 zagrożenia.

http://www.wklej.org/id/1669745/