Il malware di reindirizzamento nel BIOS o MBR non può rimuoverlo

Naviga le tue risposte
4

Ho acquistato una nuovissima fabbrica di notebook Dell Inspiron 15 7567 sigillata e nuova. Ho avviato il processo di installazione e infine effettuato l'accesso. Ho aperto il browser edge e sono andato su Youtube per ascoltare musica, tutto funziona bene. Volevo installare Atmel Studio 7 e cliccato sul link per scaricarlo, mentre quello sta accadendo un'altra scheda si apre e mi reindirizza a un sito falso e mi chiede di scaricare Adobe Flashplayer, ma il sito non in Adobe. Questo continua a succedere ogni volta che clicco qualsiasi link sul sito. Ho provato altri siti con lo stesso risultato. Lo stesso risultato in Google Chrome.

Ora la parte davvero divertente. Sbarazzarsi di questo adware o malware.

  1. Ripristino del PC per dichiarare che l'ho preso, niente cambiato, lo stesso problema.

  2. Ripristino del PC! Non sbarazzarsi del malware. (Più volte)

  3. Scaricata una finestra separata ISO 10 masterizzata su unità USB e installata con mantenere l'opzione Nulla. Non ha funzionato neanche

  4. Formattato l'intero HDD e installato Windows 10. È tutto così fresco ottiene, ancora nessuna gioia. (Più volte)

  5. Ho provato Ubuntu senza installare (c'è un'opzione per questo), ho aperto Firefox e andò di nuovo al sito di Atmel. Sicuramente il malware di reindirizzamento non può funzionare qui destra? Sbagliato! Apre ancora un'altra scheda e reindirizza a un altro falso sito web.

Dove si nasconde questo malware per evitare una bomba nucleare completa del sistema? È nel BIOS o nell'MBR. Ho letto che questi malware possono sopravvivere in questi luoghi anche dopo aver completato il blocco del sistema. Il reindirizzamento avviene tramite "onclickrev.com" a un sito Web fasullo per Adobe o alcuni annunci su stupidi metodi di perdita di peso. Ho usato MalwareBytes, Kaspersky per cercare qualsiasi boot o root kit nel MBR. Impossibile trovarne uno che controlli il BIOS.

Ricordo che il laptop si è schiantato con BSOD durante un'installazione di aggiornamento da parte di Dell. Quella fu l'unica cosa strana che accadde prima che l'adware / il malware iniziassero a comparire.

Cosa dovrei fare? Come posso rimuoverlo? La sostituzione è la mia unica speranza? Non posso fidarmi di questo computer per qualsiasi tipo di pagamento online o bancario.

TL; DR: un malware di reindirizzamento ha infettato il mio nuovo laptop. Ho provato quasi tutti i metodi per sbarazzartene! Ci sono altri metodi?

EDIT: Apparentemente il onclickrev.com è un virus di reindirizzamento di qualche tipo, e alcune persone hanno riscontrato lo stesso problema (nessuno di loro ha provato la reinstallazione del SO). Alcune delle soluzioni fornite dai siti Web (anche i siti non sembrano degni di fiducia) per rimuovere questo virus sembrano sospette. Non riesco a capire come questa cosa può ancora essere nel sistema dopo una reinstallazione completa. Ricerca Google 'rimozione di onclickrev.com' e guarda cosa succede!

L'url di reindirizzamento per questo virus o malware pubblicitario è http://onclickrev.com/afu.php?zoneid=1220488

    
posta newbie 10.09.2017 - 14:49
fonte

4 risposte

2

Come ha affermato @ByteCommander in uno dei commenti, questo annuncio che probabilmente stai provengono dal router a cui sei connesso o (direttamente o indirettamente) dal tuo ISP.

Cose che potresti fare per testare / risolvere questo problema:

  • Imposta un tunnel SSH o VPN su un server di cui ti fidi (o possibilmente usi anche TOR).
  • Spegni il router (se è tuo e non stai "prendendo in prestito" internet da qualcun altro.
  • Modifica le impostazioni DNS del tuo computer su 8.8.8.8 (google dns)

Dubito seriamente che questo abbia qualcosa a che fare con il tuo MBR o BIOS. Hai ragione a sospettare qualcosa al di fuori del sistema operativo perché il problema persiste sul tuo Live CD di Ubuntu ... tuttavia, se il tuo BIOS fosse infetto il codice sarebbe molto probabilmente di targeting per Windows (è piuttosto difficile scrivere un kit di root compatibile in C / C ++ con spazio ROM limitato).

    
risposta data 18.09.2017 - 15:20
fonte
0

Potrebbe essere un annuncio del browser su. In questo caso, potrebbe sincronizzare le tue estensioni / annunci ogni volta che accedi al browser, con conseguente reindirizzamento.

    
risposta data 10.09.2017 - 18:27
fonte
0

@Serverfrog nei commenti ha menzionato che i reindirizzamenti potrebbero provenire dal sito Web di Atmle. Sto anche ricevendo dalla tua domanda che ogni volta che visiti il sito web di Atmle, ottieni una nuova scheda che si apre sul sito Web di Flash falso.

Ora, è possibile che sia il sito stesso a provocare l'apertura di queste nuove schede; questo comportamento è comune in siti web meno "decenti", in cui l'azione di base di fare clic sul sito Web è sufficiente per visualizzare popup dannosi, anche se le cose su cui si fa clic non erano nemmeno link. Con un sito web più professionale come questo, questo comportamento è improbabile e, quando si verifica, può essere dovuto al fatto che il sito Web è stato compromesso e iniettato da script dannosi.

È questo sito web il sito web a cui ti stai riferendo? L'ho inserito in VirusTotal e si è rivelato pulito (0/65 rilevamenti) e non ho alcun comportamento di reindirizzamento semplicemente caricando la pagina, almeno su Chrome OS. Ho persino disattivato uBlock, sia per la pagina che ho collegato sia per la pagina di download, e non ho reindirizzamenti.

Il mio suggerimento qui è di stare lontano dal sito web per il software. Se il comportamento di questa nuova scheda si interrompe, è il sito stesso a causare questo problema. Puoi anche provare a visitare il sito con JavaScript disattivato e vedere se il comportamento persiste (se non lo fa, c'è qualche codice JavaScript dannoso sul sito web).

    
risposta data 22.09.2017 - 12:03
fonte
0

Non è sicuro se questo funzioni con EFI, ma - se sei sicuro di avere un sistema "pulito" - hai provato a sovrascrivere l'MBR e il partizionamento? Ho usato un pezzo di codice da (Microsoft) molte volte. Funziona dalla riga di comando DEBUG e utilizza il codice assembly per sovrascrivere l'MBR. Tra il flashing del BIOS, la sovrascrittura dell'MBR e il ripartizionamento dell'HDD - che dovrebbe far uscire la maggior parte dei fastidi. Quindi installerei NoScript, un ad-blocker e Ghostery in qualsiasi browser che ho usato.

Naturalmente, funzionerà solo con un'infezione da PC, se il tuo router / rete o il sito web stesso sono compromessi, allora dovrai intraprendere altre azioni.

BTW, userei una distribuzione Linux live per estrarre tutti i buoni file che hai sul PC e metterli su una USB, ecc. Poi scannerizzali per assicurarti che siano buoni prima di rimetterli nella tua "nuova" "macchina.

    
risposta data 22.09.2017 - 15:10
fonte

Leggi altre domande sui tag

Disattiva la compatibilità della tastiera USB su MacBook Posso usare tranquillamente una penna USB fisica all'interno di VirtualBox (isolato) senza possibilmente infettare il sistema operativo host?