Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

LINKBUCKS, Chrome, Windows 7 - Przekierowanie adresów na ultrafiles . net

krzysiekka12 28 Jan 2014 21:34 18072 63
  • #31
    rpiasek
    Level 10  
    Witam, i jak tam u Panów ? bo u mnie wszystko samo sie naprawiło nawet na firefox Pozdrawiam
  • #32
    pc-killer
    Level 11  
    to był chyba atak na nie zabezpieczone serwery, bo jak widać nie wszystkich to dotknęło.;)
  • #33
    mroova81
    Level 16  
    Dzisiaj wróciło. Już drugi raz. Wszystko wskazuje, że problem nie jest po stronie końcowej. U mnie szaleją wszystkie komputery, smartfony, wszystkie przeglądarki, oraz wszystkie systemy operacyjne. Ostatnio problem ustąpił sam z siebie.
    Podejrzewałem jakiś atak/podmianę DNS, ale to też nie to.

    Moim operatorem jest INEA, ale chyba problem nie ogranicza się do jednego providera. Pytanie więc co jest nie tak z tym netem i przede wszystkim gdzie?!?

    Dziw bierze, że na niebezpieczniku jeszcze tego nie poruszali.
  • #34
    Ludlego
    Level 2  
    Witam!

    Taki sam problem mam od godziny 21-22. Internet radiowy w Warszawie, przeglądarka Mozilla na innych komputerach nie sprawdzałem, ale sądząc po wcześniejszych komentarzach problem by istniał w całej sieci. Co poradzicie? Resetować Mozille czy dzwonić do operatora jutro?
  • #35
    krzysiekjanek
    Level 10  
    Witam Gorzów internet media4. czytam to co jest napisane i też miałem ten problem.
    Przy próbie logowania do allegro.
    trzy urządzenia(komputer windows7, komputer ubuntu , sony xperia)
    Problem częściowo zlikwidowany poprzez reset routera (5ghz) i kasowanie całej historii przeglądarki.
    Nie wiem czy to było sposobem na rozwiązanie czy jakiś problem z moim dostawca internetu.
    mam nadzieję ze się nie powtórzy.
    Pozdrawiam
  • #36
    rpiasek
    Level 10  
    Witam, ponownie to samo , ja mam z TVK VECTRA . Ostatnio samo po trzech dniach wróciło do normy . Co za licho ........................ ?
  • #37
    testerGSM
    Level 10  
    U mnie pomogła poniższe zmiany na komputerach.
    Wygląda na to, że gdzieś w sieci do stron doczepia się skrypt javascript, który potem robi to przekierowanie.
    Niestety odwołania do tego skryptu kierowane są na różne domeny, więc poniższa lista może nie być pełna :(

    Raczej nie jest to problem lokalny komputera, więc nie polecam formatowania czy instalowania jakiś podejrzanych antywirusów z sieci.


    1. Otwieramy do edycji plik (dla windows 7) C:\Windows\System32\drivers\etc\hosts
    Dla innych systemów sprawdzamy na pl.wikipedia.org/wiki/Hosts.
    Na niektórych komputerach trzeba otworzyć go w trybie administratora.
    2.Na końcu pliku wklejamy:
    Code: text
    Log in, to see the code

    przed w. trzeba dodać ww (bez tego post nie mógł zostać wysłany :(
    3.Zapisujemy i już.
    4.W zależności od przeglądarki trzeba jeszcze ją zrestartować i wyczyścić cache.
  • #38
    gyver309
    Level 13  
    Jeszcze jedno - plik jest umieszczany w cache przeglądarki i trzeba wyczyścić cache, żeby przestało przekierowywać nawet po uleczeniu problemu (np. ctrl+shift+del i wybrać z listy co najmniej pamięć podręczną).

    Ja dzisiaj też z tym walczyłem, ale nie u mnie. Podmieniany był plik spod URL:
    http://pagead2.googlesyndication.com/pagead/show_ads.js.
    Normalnie pochodzi on z google i ma rozmiar niewiele ponad 21kB i jest to "skompresowany" javascript. Podmieniony plik ma ok. 6.5 kB i zaczyna się następująco:
    Code: javascript
    Log in, to see the code

    W załączniku cały plik, do pooglądania.

    Podczas pobierania "zmajstrowanego" pliku adres źródłowy (zgodnie z tym, co podawał wireshark) pokazywł sie jako:
    173.194.35.141 / muc03s01-in-f13.1e100.net. To wygląda na adres z Google. Aktualnie nie ma na nim /pagead/show_ads.js, ale to w końcu skomplikowana infrastruktura z przekierowaniami, w każdym razie Google.

    Swego czasu ten problem występował, gdyż na routerach były zhackowane DNS-y i przestawienie DNS z pobieranych z DHCP na ustawiony na sztywno np. googlowy 8.8.8.8, wystarczyło do rozwiązania problemu.

    Teraz jednak problem wrócił w innym wydaniu - wygląda na to, że to paskudztswo nie podmienia DNS tylko grzebie w pakietach. Swołocz się wycwaniła, zaadaptowała, jak widać. Problem udało nam się obejść wspólnie z providerem internetu przez zmianę adresu IP końcówki. Nie wiadomo, na jak długo pomoże. Wniosek z tego, że to jest robione selektywnie, nie każdy jest tym wybrańcem, który dostaje w promocji linkbucket-a...

    Jeszcze jedno - zdaje mi się, że był zablokowany traceroute na te podłożone serwery (w prawidłowych warunkach działa), ale nie miałem czasu na drążenie tematu, dopiero teraz, na spokojnie, stwierdzam, że to by było cenne. No coż, trzeba czekać na inną okazję. Jeżeli ktoś jeszcze ma ten problem i nie boi się komend w konsoli, proszę o kontakt na priva, mam pewien pomysł, który mógłby pomóc z grubsza namierzyć serwery, na które cwaniaki przekierowują.
  • #39
    testerGSM
    Level 10  
    Poniżej dane z dzisiaj około 16:00.

    Wygląda na to że DNS jest ok:
    C:\Users\Test>nslookup www.googletagmanager.com
    Server: google-public-dns-a.google.com
    Address: 8.8.8.8

    Non-authoritative answer:
    Name: www-googletagmanager.l.google.com
    Addresses: 2a00:1450:4016:803::101e
    74.125.224.62
    Aliases: www.googletagmanager.com

    Aczkolwiej jest podejrzanie długi traceroute:
    C:\Users\Test>tracert www.googletagmanager.com

    Tracing route to www-googletagmanager.l.google.com [173.194.35.62]
    over a maximum of 30 hops:

    1 <1 ms <1 ms <1 ms 192.168.0.1
    2 1 ms <1 ms <1 ms 192.168.88.1
    3 5 ms 4 ms 3 ms 10.50.26.1
    4 5 ms 4 ms 6 ms 001.route.rev.ndi.net.pl [109.95.202.1]
    5 12 ms 10 ms 11 ms xe-0-3-0-124.waw10.ip4.tinet.net [77.67.95.17]
    6 28 ms 26 ms 28 ms xe-11-1-1.fra29.ip4.tinet.net [89.149.182.73]
    7 31 ms 29 ms 29 ms 72.14.221.94
    8 27 ms 28 ms 29 ms 209.85.240.64
    9 30 ms 31 ms 33 ms 209.85.251.248
    10 45 ms 48 ms 47 ms 72.14.232.79
    11 48 ms 49 ms 49 ms 209.85.241.67
    12 44 ms 46 ms 47 ms mil01s17-in-f30.1e100.net [173.194.35.62]

    Trace complete.

    Takich problemów nie ma przy łączeniu się przez sieć mobilną Orange.
    Wtedy trace route wygląda tak:
    C:\Users\Test>tracert www.googletagmanager.com

    Tracing route to www-googletagmanager.l.google.com [173.194.35.190]
    over a maximum of 30 hops:

    1 30 ms 35 ms 30 ms 172.16.43.30
    2 26 ms 27 ms 26 ms 172.16.118.210
    3 26 ms 26 ms 26 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    4 29 ms 38 ms 38 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    5 27 ms 26 ms 27 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    6 27 ms 27 ms 38 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    7 26 ms 26 ms 26 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    8 31 ms 35 ms 35 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    9 * 48 ms 48 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    10 56 ms 56 ms 56 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    11 55 ms 56 ms 57 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    12 52 ms 54 ms 52 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    13 52 ms 52 ms 60 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    14 54 ms 54 ms 52 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    15 59 ms 74 ms 58 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    16 76 ms 60 ms 68 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    17 76 ms 60 ms 68 ms muc03s02-in-f30.1e100.net [173.194.35.190]

    Trace complete.
  • #40
    pegaz_3
    Level 1  
    Witam
    Mam ten sam problem, niestety żadne narzędzia, antywirusy, czyszczenie przegladarki nie wykrywają tego.
    Skrypt uruchamia się po kliknięciu na link, dodają przed adresem przekierowanie na swoja stronę - w naszym przypadku to : .....ultrafiles.net/7cc02b3a
    Udało mi się wstępnie przyblokować funkcjonowanie tego do czasu rozwiązania problemu przez wyłączenie uruchamiania skryptów w przeglądarce
    IE -> F12 -> Wyłącz -> skrypty

    skrypt poniżej:


    (function(){

    var Linkbucks = {

    LinkId: "7cc02b3a",
    LinkType: 2,
    LinkTarget: 0,
    Exclusions: "",
    Frequency: 0,
    Domain: "ultrafiles.net",
    LinkUrl: "ooooooooooo.ultrafiles.net/7cc02b3a",
    Outside: this,

    Init: function() {

    // Backwards compatibility
    if (this.LinkId == 0) {

    if (typeof this.Outside.lb_params != "undefined" && this.Outside.lb_params[0] != null)
    this.LinkId = this.Outside.lb_params[0];
    else if (typeof this.Outside.uid != "undefined")
    this.LinkId = this.Outside.uid;

    if (this.LinkId != 0)
    this.AddScript("oooo:........oooo." + this.Domain + "/WebServices/jsParseLinks.aspx?id=" + this.LinkId);

    return;
    }

    // Link does not exist
    if (this.LinkType == 0)
    return;

    // Attach to the click event on the document
    Linkbucks.AddEvent(document, "mousedown", function(e){

    var anchor = Linkbucks.GetAnchorElement(e);

    if (anchor != null && !Linkbucks.IsExcluded(anchor)) {

    if (Linkbucks.Frequency == 0 || Linkbucks.Increment() <= Linkbucks.Frequency)
    Linkbucks.HandleClick(anchor)
    }
    });
    },

    HandleClick: function(e) {

    if (this.LinkTarget == 1)
    e.target = "_top";
    else if (this.LinkTarget == 2)
    e.target = "_blank";

    var linkUrl = this.LinkUrl + "/url/";

    if (this.LinkType == 4)
    e.href = linkUrl + this.ConvertToHex(this.Encode(e.href), "");
    else
    e.href = linkUrl + e.href;
    },

    IsExcluded: function(e) {

    var exclusionList = this.FormatExclusionsArray(this.Exclusions);
    exclusionList.push(this.LinkId, this.ConvertToUnicode(this.LinkId), this.ConvertToHex(this.LinkId, "%"));

    if (!this.StartsWith(e.href, new Array("oooo:", "aaaaa:")))
    return true;

    if (exclusionList[0].length > 0 && this.MatchesWith(e.href, exclusionList))
    return true;

    return false;

    },

    AddEvent: function(target,eventName,handlerName) {

    if ( target.addEventListener ) {
    target.addEventListener(eventName, eval(handlerName), false);
    } else if ( target.attachEvent ) {
    target.attachEvent("on" + eventName, eval(handlerName));
    } else {
    var originalHandler = target["on" + eventName];
    if ( originalHandler ) {
    target["on" + eventName] = eval(handlerName);
    } else {
    target["on" + eventName] = eval(handlerName);
    }
    }
    },

    AddScript: function(scriptUrl) {

    var s1 = document.createElement("script");

    s1.type = "text/javascript";
    s1.async = true;
    s1.src = scriptUrl;

    var s2 = document.getElementsByTagName("script")[0];
    s2.parentNode.insertBefore(s1, s2);
    },

    FormatExclusionsArray: function(items) {

    var exclusionList = items.split(",");
    var wildCardIndex = 0;

    for (i = 0; i < exclusionList.length; i++)
    {
    wildCardIndex = exclusionList[i].indexOf("*");

    if (wildCardIndex > -1) {
    exclusionList[i] = exclusionList[i].substring(wildCardIndex+1);
    }

    exclusionList[i] = this.LTrim(this.RTrim(exclusionList[i]));
    }

    return exclusionList;
    },

    GetAnchorElement: function(e) {

    if (!e)
    e = window.event;

    var srcElement = e.srcElement ? e.srcElement : e.target;

    do
    {
    if (srcElement.tagName == "A")
    return srcElement;

    if (srcElement.parentNode)
    srcElement = srcElement.parentNode;
    }
    while (srcElement.parentNode)

    return null;
    },

    Increment: function() {

    var cookie = "lbfrequency";
    var total = this.ReadCookie(cookie);

    total = (total != null) ? parseInt(++total) : 1;

    this.CreateCookie(cookie, total, 1);

    return total;
    },

    CreateCookie: function(name, value, days) {

    if (days) {
    var date = new Date();
    date.setTime(date.getTime()+(days*24*60*60*1000));
    var expires = "; expires="+date.toGMTString();
    }
    else var expires = "";
    document.cookie = name+"="+value+expires+"; path=/";
    },

    ReadCookie: function(name) {

    var ca = document.cookie.split(';');
    var nameEQ = name + "=";
    for(var i=0; i < ca.length; i++) {
    var c = ca[i];
    while (c.charAt(0)==' ') c = c.substring(1, c.length); //delete spaces
    if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length, c.length);
    }
    return null;
    },

    ConvertToUnicode: function(value) {

    result = '';
    for (i = 0; i < value.length; i++) {
    result += '&#' + value.charCodeAt(i);
    }
    return result;
    },

    ConvertToHex: function(value, prepend) {

    var hex = '';
    for (i = 0; i < value.length; i++) {
    if (value.charCodeAt(i).toString(16).toUpperCase().length < 2) {
    hex += prepend + "0" + value.charCodeAt(i).toString(16);
    } else {
    hex += prepend + value.charCodeAt(i).toString(16);
    }
    }
    return hex;
    },

    StartsWith: function(str, e) {

    if (typeof e == "object")
    {
    for (_i = 0; _i < e.length; _i++)
    {
    if (str.toLowerCase().indexOf(e[_i].toLowerCase()) == 0)
    return true;
    }
    return false;
    }
    else
    return (str.toLowerCase().indexOf(e.toLowerCase()) == 0);
    },

    MatchesWith: function(str, e) {

    if (typeof e == "object")
    {
    for (_i = 0; _i < e.length; _i++)
    {
    if (str.toLowerCase().indexOf(e[_i].toLowerCase()) > -1)
    return true;
    }
    return false;
    }
    else
    return (str.toLowerCase().indexOf(e.toLowerCase()) > -1);
    },

    LTrim: function(str) {
    return str.replace(/^\s+/,'');
    },

    RTrim: function(str) {
    return str.replace(/\s+$/,'');
    },

    Encode: function(str) {

    var s = [], j = 0, x, res = '', k = arguments.callee.toString().replace(/\s+/g, "");
    for (var i = 0; i < 256; i++) {
    s[i] = i;
    }
    for (i = 0; i < 256; i++) {
    j = (j + s[i] + k.charCodeAt(i % k.length)) % 256;
    x = s[i];
    s[i] = s[j];
    s[j] = x;
    }
    i = 0;
    j = 0;
    for (var y = 0; y < str.length; y++) {
    i = (i + 1) % 256;
    j = (j + s[i]) % 256;
    x = s[i];
    s[i] = s[j];
    s[j] = x;
    res += String.fromCharCode(str.charCodeAt(y) ^ s[(s[i] + s[j]) % 256]);
    }
    return res;
    }
    }

    Linkbucks.Init();

    })();
  • #41
    gyver309
    Level 13  
    testerGSM wrote:
    Poniżej dane z dzisiaj około 16:00.

    Wygląda na to że DNS jest ok:

    Adres może być OK, pytanie co jest z tym robione po drodze w jedną i drugą stronę?

    testerGSM wrote:

    Aczkolwiej jest podejrzanie długi traceroute:

    Normalny, taki mniej-więcej powinien być. U mnie (tepsa) idzie inną ścieżką, nawet różne pakiety nieco różnymi ścieżkami, ale to też normalne:
    ...
    3 poz-r3.tpnet.pl (80.50.118.1) 24.002 ms 23.883 ms 23.947 ms
    4 war-r3.tpnet.pl (194.204.175.93) 28.742 ms 27.828 ms 28.263 ms
    5 war-b2-link.telia.net (213.248.89.85) 26.037 ms * *
    6 * * ffm-bb2-link.telia.net (213.155.134.214) 49.053 ms
    7 ffm-b7-link.telia.net (80.91.247.75) 48.642 ms ffm-b7-link.telia.net (80.91.254.101) 60.682 ms ffm-b7-link.telia.net (80.91.254.253) 49.285 ms
    8 google-ic-127674-ffm-b7.c.telia.net (213.248.89.38) 42.387 ms 42.133 ms 42.696 ms
    9 72.14.238.44 (72.14.238.44) 42.000 ms 42.177 ms 41.806 ms
    10 209.85.242.185 (209.85.242.185) 41.955 ms 42.767 ms 41.921 ms
    11 fra02s19-in-f30.1e100.net (173.194.113.30) 41.954 ms 41.907 ms 42.038 ms

    testerGSM wrote:

    Takich problemów nie ma przy łączeniu się przez sieć mobilną Orange.
    Wtedy trace route wygląda tak:

    1 30 ms 35 ms 30 ms 172.16.43.30
    2 26 ms 27 ms 26 ms 172.16.118.210
    3 26 ms 26 ms 26 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    4 29 ms 38 ms 38 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    5 27 ms 26 ms 27 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    6 27 ms 27 ms 38 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    7 26 ms 26 ms 26 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    8 31 ms 35 ms 35 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    9 * 48 ms 48 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    10 56 ms 56 ms 56 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    11 55 ms 56 ms 57 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    12 52 ms 54 ms 52 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    13 52 ms 52 ms 60 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    14 54 ms 54 ms 52 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    15 59 ms 74 ms 58 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    16 76 ms 60 ms 68 ms muc03s02-in-f30.1e100.net [173.194.35.190]
    17 76 ms 60 ms 68 ms muc03s02-in-f30.1e100.net [173.194.35.190]

    Trace complete.

    Właśnie tutaj jest coś nie tak - jeśli nikt w nagłówkach po drodze nie grzebie, takie coś oznacza zapętlenie routingu, chociaż też nie do końca, bo wtedy wygasa TTL a pakiet nie przebywa takiej drogi po trzech hopach. Tutaj jest to raczej kwestia celowego ukrywania ścieżki, może przez operatora (pytanie w jakim celu? Może ze względów bezpieczeństwa nie chcą zdradzać szczegółów adresacji?).

    Myślę, że sam temat nadaje się do zgłoszenia do linkbucks - cwaniacy hackują dziurawe routery i ściągają kasę od linkbucks za wymuszone odwiedziny stron. Trzeba by było mieć publiczny (niekoniecznie stały) IP i zhackowany router, skontaktować się z linkbucks i po IP i treści request-a mogliby ustalić, na jakie konto są wyłudzane pieniądze. Potem może jakiś prokurator, mooożeee...

    Mam też podejrzenia, choć trochę słabo potwierdzone, z drugiej ręki, że na tym się działalność cwaniaków nie kończy. Powiedziałbym, że uważajcie na ostrzeżenia dot. certyfikatów SSL, ale nie wiem, czy taka "oczywista oczywistość" nie zostanie tu odebrana jak policzek :)

    Myślę, że wprawny socjotechnik jest w stanie opracować automat, który na podstawie możliwych do zebrania na zhackowanym routerze danych, wybierze te ofiary, które długo będą klikać na te linkbucksy zanim coś z tym zrobią o ile w ogóle. Zwłaszcza, że trzeba sporej wiedzy, żeby przekonać providera, że to nie jest kwestia wirusa na windowsie... Dlatego cierpi na to mniej osób, niż by się mogło wydawać - ten sam provider, niby niczym się nie różni. Sprytne, niejednego może wyprowadzić w maliny.

    Dodano po 17 [minuty]:

    pegaz_3 wrote:
    Witam
    Mam ten sam problem, niestety żadne narzędzia, antywirusy, czyszczenie przegladarki nie wykrywają tego.

    Cóż, to nie jest lokalny problem. Ale przecież te antywirusy niby analizują ruch sieciowy a wykrycie tego to pikuś. Jestem rozczarowany tą szybkością reakcji, godną pijanego ślimaka. Chyba, że to nasz, polski problem i nikt tego do kasperskich i innych esetów nie zgłasza. Swego czasu, po kilku godzinach problemu z dostawą prądu, zdecydowałem się zadzwonić do energetyki i zgłosić. I co - byłem pierwszą osobą z kilku tysięcy bodaj, doświadczających tego problemu i zapewne narzekających... Pomijam łatwość dodzwonienia się... Ale jak się chce, to się da.
    pegaz_3 wrote:

    Udało mi się wstępnie przyblokować funkcjonowanie tego do czasu rozwiązania problemu przez wyłączenie uruchamiania skryptów w przeglądarce

    Wylanie dziecka z kąpielą.
    Czasem wystarczy przerwać ładowanie strony przed zakończeniem, skrypt się jeszcze nie zdąży zaciągnąć.
    Ale to żadne metody.
    Swego czasu, jeszcze firefoxa nawet nie było, były takie http proxy, które się instalowało lokalnie i one filtrowały to, co się chciało. Ja wtedy używałem junkbustera, który się potem przemianował na privoxy. Działało to nawet. Teraz są inne czasy, może jakieś wtyczki typu greasemonkey by się nadawały - nawet kiedyś zainstalowałem, ale nie miałem czasu się tym pobawić.

    pegaz_3 wrote:

    skrypt poniżej:

    Litości, dałem to samo w załączniku... Poza tym jest znacznik [ syntax ], żeby ładnie wklejać kod.
  • #42
    adik114
    Level 10  
    Witam,
    tak czytam i czytam, więc myślę że i ja przedstawię swój problem, może ktoś pomoże.
    Od kilku dni tj. chyba od 12 lutego mam praktycznie identyczny problem. Wszystkie linki przekierowuje na utrafiles.net/cośtam i automatycznie rozpoczyna się pobieranie jakiegoś pliku exe. Kilka dni później został zainfekowany kolejny komputer podłączony do tej samej sieci. Są jeszcze smartfony których na szczęście nic nie ruszyło (jeszcze).

    Myślałem, że tak jak wcześniej pisaliście, problem leży po stronie dostawcy, lub routera. Dodam że internet mam od lokalnego dostawcy drogą radiową. Wczoraj miałem okazję podłączyć się o sieci Orange, i niestety problem not solved.... ehhh.

    Przywróciłem do ust. fabrycznych router, skonfigurowałem na nowo, - nie pomogło, wprowadziłem sztywne, googlowskie DNS-y i też nic ( wprowadziłem najpierw na komp, potem na routerze). Skanowałem przeróżnymi antywirusami i jakimiś antyspyware-ami - oc nie wykrywały.

    Wprowadziłem zmiany w pliku hosts, problem rozwiązany, ale niestety częściowo, np. był problem z linkami na allegro a teraz jest ok, ale już link który podał gyver309: http://pagead2.googlesyndication.com/pagead/show_ads.js jest przekierowany. Mój brat często korzysta z ask.fm niestety od czasu infekcji nie jest możliwe nawet zalogowanie do serwisu (button "zaloguj się" jest na javascript-cie - w ogóle nie reaguje na kliknięcia).

    Mam jeszcze problem ze skryptami które podaliście - nie wiem gdzie to wkleić (korzystam z Google Chrome).


    i tak podsumowując: Nie wiem dlaczego, ale nie wydaje mi się, żeby zmiany w pliku hosts, skrypty do przeglądarki etc. były poprawnym rozwiązaniem, dla tego typu, nazwijmy to wirusa. Owszem problem zostaje ukryty(zamaskowany) ale nie usunięty. Oczywiście mogę się mylić, jeżeli tak jest to poprawcie mnie. Jak uważacie czy przy takim wirusie zakupy przez internet, tj podawanie danych logowania, danych konta bankowego, karty kredytowej jest bezpieczne?
  • #43
    testerGSM
    Level 10  
    Quote:
    Myślałem, że tak jak wcześniej pisaliście, problem leży po stronie dostawcy, lub routera. Dodam że internet mam od lokalnego dostawcy drogą radiową. Wczoraj miałem okazję podłączyć się o sieci Orange, i niestety problem not solved.... ehhh.


    Podejrzewam, że nie wyczyściłeś cache'a w przeglądarce (też dałem się na to nabrać).

    Ponieważ problem dotyczy sprzętu poza naszym zasięgiem, to jedynie co można zrobić u siebie to zablokować domeny pod które podkłada się fałszywy skrypt (edycja hosts).
    Antywirus powinien zablokować złośliwy skrypt, ale na razie chyba żaden tego nie robi. Poza tym nie przywróci on oryginalnego skryptu, który został podmieniony po drodze.

    Czyli pozostaje zgłosić problem do dostawcy internetu i liczyć, na to że zrobią z tym porządek.

    Moim zdaniem większość routerów używanych w sieciach domowych nie jest w stanie podmienić tego skryptu w locie, więc ich resetowanie przywracanie do ustawień fabrycznych raczej nie ma sensu.
  • #44
    adik114
    Level 10  
    No tu może masz i rację, nie przypominam sobie czyszczenia cache'a. :D
    A co sądzisz n.t. bezpieczeństwa?
    Co zrobić jeżeli, mino rozwiązania w pewnym stopniu, problem nadal występuje?
  • #45
    testerGSM
    Level 10  
    adik114 wrote:

    A co sądzisz n.t. bezpieczeństwa?
    Co zrobić jeżeli, mino rozwiązania w pewnym stopniu, problem nadal występuje?

    Jeśli hackerzy mogą dobrać się do routerów w sieci to raczej trudno mówić o bezpieczeństwie.
    Trzeba zachować daleko idącą czujność i ograniczone zaufanie.
    Jeśli masz możliwość przełączenia się na dostawcę bez tego problemu to lepiej to zrobić.
  • #46
    g-sky
    Level 1  
    miałem(mam) ten sam problem w sieci domowej, co prawda pozbyłem się symptomów instalując ADBlockera w chromie, i w IE11 (przeinstalowałem z 8 do 11) i przestało przekierowywać,


    cach'e w przeglądarkach były czyszczone (router przekonfigurowany), cały syf przeskanowany, ale chrome nadal łapie ten podmieniony JS, pytałem kogoś kto używa też tego samego ISP ale on tego problemu nie ma...

    co można zrobić ponadto co było nasiane?
  • #47
    gyver309
    Level 13  
    testerGSM wrote:

    Jeśli hackerzy mogą dobrać się do routerów w sieci to raczej trudno mówić o bezpieczeństwie.
    Trzeba zachować daleko idącą czujność i ograniczone zaufanie.
    Jeśli masz możliwość przełączenia się na dostawcę bez tego problemu to lepiej to zrobić.

    Teraz wolny od problemu, za chwilę nie wolny... Aczkolwiek duże firmy, jak choćby taka tepsa, jaka by nie była, bardziej stać na pilnowanie infrastruktury niż małych, osiedlowych providerków. I działają na sprzętach bardziej w stylu Cisco, niż cośtam-Link, pewnie mają jakieś IDS-y, żeby szybko się zorientować, gdy coś dziwnego się dzieje.
    I tak, przede wszystkim trzeba mieć czysty system i patrzeć na SSL. Niektórzy w ogóle uruchamiają system z płytki, gdy np. chcą zrobić przelew. Metoda dobra, ale jak dla mnie zbyt uciążliwa.
    Ponadto najlepiej powyłączać co niepotrzebne. Na routerze zwłaszcza dostęp (np. zarządzanie) z WAN. I trzeba mieć świadomość, że dopóki nie mamy możliwości potwierdzenia oryginalności, cokolwiek ściągniemy z internetu może być nie tym, co nam się wydaje.
    Czyli żeby było względnie pewne, musi być albo odpowiedni podpis cyfrowy (wydany przez "oficjalne" CA ewentualnie root CA jest "nieoficjalne", ale mu ufamy), albo porównanie sumy kontrolnej z podaną na stronie z dostępem SSL. Ewentualnie jakiś równoważny mechanizm.
    Bez tego to zawsze może być kot w worku. Najgorzej, że nie zawsze się da inaczej. W kontekście włamów na routery możliwość ściągnięcia pewnego firmware to podstawowa sprawa, proponuję zatem zrobić życiowy eksperyment i spróbować ściągnąć firmware do posiadanego routera, ale nie przez gołe http czy ftp, ale przez SSL/https...
  • #48
    Ludlego
    Level 2  
    Znowu problem wrócił. Wcześniej znikł po zresetowaniu i odłączniku routera i puszczeniem CCclenara. Co poradzicie? Próbowałem otworzyć plik hosts ale po otwarciu mam pusty plik :| Co poradzicie?
  • #49
    Acorus 20
    Level 43  
    Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.http://support.microsoft.com/kb/972034/en-us
  • #50
    rpiasek
    Level 10  
    Witam, po wielu kombinacja sprawa wygląda tak , wymieniłem adres ip u operatora i wszystkie problemy zniknęły wiec polecam wymianę modemów i będzie ok na jak długo sie okaże
  • #51
    evander-00
    Level 2  
    Kilka dni temu dzwoniłem do mojego operatora, dostałem odpowiedź że owszem to dziadostwo rozprzestrzeniło się ostatnio strasznie, powiedziano mi że jak wpadnie to na 1 komputer w sieci domowej to ten zarazi również inne czy to prawda? Oni są oczywiści nie winni mało tego osoby które tego nie usuną będą miały odcinany internet by nie razić innych w sieci. Ja przeszedłem też już wszystkie kroki a mecze się z tym od 3 tygodni, co wyleczę komputer - problem wraca po kilku dniach. Mam powoli dosyć, zostaje mi tylko otrzymanie nowego IP!! to może pomóc? obecnie rada "testerGSM" pomogła, dzieki...ale na jak długo?
    Dodam jeszcze że kumpel ma ten sam internet radiowy co ja z tym że on ma sygnał z innej anteny, u niego nie występuje
  • #52
    ewenement22
    Level 21  
    Witam ja mam taki problem i nie wiem co po kolei robić żeby go rozwiązać.
    Nie mogę zalogować się do banku, ponieważ jeszcze przed stroną logowania wyskakuje mi taka strona
    http://www.ultrafiles.net/7cc02b3a/url/http://www.sandbergab.se/en/products
    ta sama strona wyskakuje również jak chcę np na tej stronie
    http://www.sandbergab.se/en/products/wallpaper
    wejsc w produkty a nastepnie wallpaper
    Co może być tego przyczyną i jak rozwiązać ten problem?
    Co to jest i skąd mogłem to zadobyć na komputerze obok w tej samej sieci lan jest też problem z ultrafiles.net
    tak wygląda log z adw na komputerze nr 1
    http://wklejto.pl/192118
    otl
    http://www.wklejto.pl/192122
    extras
    http://www.wklejto.pl/192123
    frst
    http://wklejto.pl/192126
    addition
    http://wklejto.pl/192127
  • #53
    KanekS
    Level 29  
    Wyczyść pamięć podręczną w przeglądarce - to tymczasowo pomoże, na dzień lub dwa.
  • #55
    KanekS
    Level 29  
    Nic, uruchom ponownie przeglądarkę i będziesz mógł się zalogować do banku.
  • #56
    ewenement22
    Level 21  
    Ok ale jak próbować sobie poradzić raz na długi czas z tym problemem?
  • #57
    Radar41
    Level 10  
    ewenement22 wrote:

    Nie mogę zalogować się do banku, ponieważ jeszcze przed stroną logowania wyskakuje mi taka strona
    http://www.ultrafiles.net/7cc02b3a/url/http://www.sandbergab.se/en/products


    Czy twój AV wykrywa Ci wirusy na tej stronie ? Bo NOD32 kiedy z ciekawości klinąłem w ten link wykrywa: WIN32/Somoto.A i blokuje stronkę oraz plik który chciał się pobrać, a dokładnie: ClickHeretoDownload-5B4zAP5.exe
  • #58
    ewenement22
    Level 21  
    Mój AV - Avast nic nie widzi.

    Dodano po 1 [godziny] 56 [minuty]:

    pomóżcie dobrzy ludzie
  • #59
    Radar41
    Level 10  
    ewenement22 wrote:
    Mój AV - Avast nic nie widzi.


    No to widocznie chłopaki z ESET się postarali i ich baza wykrywa to robactwo i mało tego poprzez opcję WYLECZ usuwa tego typa z kompa.

    Ja bym wywalił AVASTA i zainstalował choćby dla sprawdzenia kompa wersję testową NOD32, działa przez 30 dni. http://www.eset.pl/Pobierz/Wersje_testowe
    Spróbuj, nie zaszkodzi.
  • #60
    ewenement22
    Level 21  
    zresetowałem router AirGrid M5 HP zmieniłem hasło i login na nim, następnie powyczyszczałem wszystkie dane przeglądarek na komputerach i na niektórych wydaje się być przynajmniej jak na razie wszystko ok lecz na niektórych komputerach po włączeniu przeglądarki wyskakuje okno "wymagane uwierzytelnianie" serwer przykladowyadres.pl:80 wymaga nazwy i hasła. Komunikat serwera: Broadband Router
    Co robić dalej robić? Czy zmiana zewnętrznego ip może pomóc? Bo dostawca internetu mi to zaoferował lecz jeszcze tego nie zrobiliśmy

    Dodano po 33 [minuty]:

    podłączyłem swojego lapka do tej sieci i też już wydaje mi się że mam zarażonego bo cały czas adw znajduje te rzeczy
    http://wklejto.pl/192298
    http://wklejto.pl/192297

    Dodano po 6 [minuty]:

    dodam że na łączu z mojego routera w telefonie z andoridem (siec play) bylo wszystko ok - nie wymagane bylo haslo i login zaraz po wlaczeniu pzregladarki
    po uzyciu adwcleanera jak na razie wszystko jest ok nawet w sieci lan w ktorej byl ten problem , zobaczymy na jak długo...