1610
Вирус-рекламщик goac gocloudly
107 Комментариев в Информационная безопасность  

Всем доброго дня! Столкнулся с вирусов goac который открывает лишние вкладки с рекламой, прочитал кучу форумов, облазил интернет в поисках помощи удалить его, испробовал кучу антивирусных продуктов разных компаний, но вирус никуда не уходил. Оказалось всё намного проще, эта сволочь записалась в прошивку роутера и указывала левые DNS сервера с которых и кидала редирект. Сброс и перепрошивка роутера, финальный сброс всех настроек браузера и всё чисто. Картинок нет, задача была прибить сволочь. Буду очень рад если этой информацией помогу другим.

+45
q000p отправил

Была подобная зараза. Понял что проблемы с роутером когда на двух компьютерах начала реклама выскакивать.

Сбрасывать роутер необязательно, нужно лишь вернуть DNS-сервера провайдера и сменить пароль на роутере.

+25
 Finsternis отправлено

Спасибо за информацию, я перепрошивал потому что меня эта дрянь изрядно задолбала и я решил если и уничтожать, то радикально, чтобы у твари не было второго шанса! @siverJohn, тут полезная инфа!

+4
 siverJohn отправил

спасибо, вроде исправил

0
 kliMaster отправлено

@Finsternis, чтобы помогать другим было ещё проще, могу значить тебя модератором, что скажешь?

0
kumpda отправлено

была такая же проблема у клиента, только вот эта зараза где то в системе осталась, пришлось на подключении прописывать днс вручную (подключался через вифи, в настройках все ок, хост чист, все чисто, но бля когда подключается один хуй, порнота на экране) где че пропустил хз.

раскрыть ветвь 5
0
majl отправлено

господа,а подскажите, что делать. У меня к провайдеру подключение происходит через ППОЕ ,т.е. ДНС настройки я не могу менять. Замена пароля не помогла

0
q000p отправил
Кто тебе такое сказал?

DHCP сервер может раздавать IP-адрес с любыми днс-серверами впридачу.

Вбей на компе днс 8.8.8.8 в лоб и отпишись о результате.

раскрыть ветвь 4
0
 Finsternis отправлено

В настройках DHCP можно прописать DNS если я не ошибаюсь.

раскрыть ветвь 4
0
Lendges отправлено
Сменить пароль, который был дефолтным или просто перехватило адекватный ваш пароль и получила доступ?
0
q000p отправил

Если пароль был сохранён в браузере - может и перехватить.

0
n0l0ginf0und отправлено
У меня такая такая фигня была, закрытие входящих помогло. Наверняка прошивка дырявая, потому как пароль у меня длинный и сомнительно, чтобы его подобрали.
+13
Piromant отправлено

Было дело, но быстро догадался, что с днс проблемы, когда в стиме открывалась реклама.

+6
SH1P отправил

уже давно подобное было, просто нужно менять штатный пароль от роутера

0
VLUPIDOL отправлено

В моей ситуации с Qtech бесполезно было это, менял. Все равно заменялись DNS. Сложилось впечатление, что проблема идет не из оборудования пользователя, а от оператора.

+4
 GamerX отправил

У многих роутеров есть несколько аккаунтов. Например user - user и admin - password .

Eltex этим страдает. И никто вам про этот секрет не расскажет. Я тоже думал что мой роутер запаролен, пока Аваст не забрутил пароль... 0_о

раскрыть ветвь 4
0
 elfl0rd отправил

Да, я выше ответил. Ростелекомовские роутеры - то ещё решето :)

0
 Finsternis отправлено

Не знаю насколько оператор виноват, думаю тогда проблема не ушла бы, в этом случае всё равно редирект снова подхватит.

раскрыть ветвь 1
+3
 Chetam отправил
У меня такая беда только на сайте где фильмы онлайн смотрю. Если долго плеер не трогать то потом при клике на него открывается то казино вулкан то ещё какая-то херабора
+1
 Zedefen отправил

случаем не ex-fs?

0
Avad0n отправил

На ex  адблок (или подобное) всё лишнее подрезает, а вот на fs штатный фильтр адблока не  алё.

0
 Chetam отправил
Нет, ofx.xyz
раскрыть ветвь 3
+3
VLUPIDOL отправлено

Встретил такую заразу, когда позвонили и попросили исправить проблему: реклама на компьютере (запросто!), на планшете (ну да, бывает...), на афоне ( ну мало ли... не пользуюсь), и на телевизоре (эммммм). Пришел, облазил комп, через минуту после любых чисток реклама возвращалась вновь. Оказалось, что заменяются DNS в настройках подключения ADSL роутера QTECH от любимого Ростелекома! Позже оказалось, что у множества людей по всему городку одновременно произошла эта ситуация. Позже повторялось, опять же у всех одновременно.

+7
 elfl0rd отправил

Там дефолтная учетка для техподдержки с полными правами и разрешением удалённого коннекта.

На город - 1 учетка :)

кто то слил, или подобрали.

0
petvit отправил

не разжуете человеку, который абсолютно не владеет знаниями о технологиях и терминами, которыми здесь описывают проблему, что же все таки надо делать и куда нажимать, чтоб избавиться от этой рекламы?

0
 Finsternis отправлено

Что делал я, нажал на роутере кнопку сброса (reset), обычно это маленькая дырочка сзади роутера, туда приходится лезть либо булавкой либо скрепкой. После этой процедуры роутер скидывается к заводским настройкам. Что важно, интернет роутер раздавать перестанет, придётся его настраивать заново, но это на последнем этапе. Процесс перепрошивки описывать не буду, дам ссылку, там всё на мой взгляд объяснено хорошо (http://help-wifi.com/tp-link/kak-proshit-router-tp-link-tl-w...) единственное что дополню к статье, не факт что роутер примет самую последнюю версию прошивки сразу, мой отказался и пришлось качать те версии прошивки которые были выпущены после покупки мной роутера, и по очереди согласно датам релиза прошивок, подсовывая их роутеру, я обновил его до последней. После перепрошивки роутера нужно сбросить все браузеры установленные на Вашем компьютере, снова дам ссылки: для хрома (https://support.google.com/chrome/answer/3296214?hl=ru) эта  для эксплорера (https://support.microsoft.com/ru-ru/kb/923737) для мозиллы (http://news.softodrom.ru/ap/b14275.shtml). Последний шаг, настроить роутер для раздачи интернета. Как настроено у Вас я не знаю, надеюсь техподдержка Вашего провайдера Вам поможет на данном этапе. Плюс ко всему рекомендую дополнительно просканировать компьютер в безопасном режиме Dr.Web Cureit, и Malwarebytes Anti-Malware. Надеюсь это Вам поможет. Удачи!

+1
Life123 отправил
Спасибо. Уже больше недели мучаюсь и ниак не могу избавится.
+1
pon007 отправлено
Поледнее время в хромоподобных браузерах прописывается рекламщик в виде ява- скриптов.

Антивирусы срабатывают плохо. Лечится такая штука удалением файлов с расширением .js из папки app data/local/папка с браузером.

+1
 siverJohn отправил

он на казино и  разные паблики скидывал?

+2
 Finsternis отправлено

На всякие соц. опросы, вы выиграли шанс крутаните колесо, обновите то обновите это, супер-пупер примочка для вашего дома, срубите бабла и тому подобное.

+2
 siverJohn отправил

как же не хочется этого гемора с роутером

раскрыть ветвь 3
+1
 wakeonlan отправлено

круто ))

0
 Marcus1Aurelius отправлено

Дорогой пользователь! Модель роутера в студию!

0
 SmokingMan отправил

Сталкивался на ADSL-роутерах D-Link и TP-Link, распространённая зараза.

0
kuller12 отправлено
В отеле однажды такое встретил. Думал что администрация сама сделала, на рекламе отбивает деньги за бесплатный вайфай:)
0
FairyCatty отправила

а я замучалась уже!

сижу думаю, вирусов нахватала

может кто научит в настройках модема что изменить надо?

r_girl@inbox.ru

0
 mato отправил

DD

W

R

T

0
FairyCatty отправила

хмммм

спасибо, попробую сделать)

0
 devcor отправлено
Только вчера с этой парашей столкнулся. Открылись левые вкладки (почему-то в основном на главную Facebook и иногда на скачивание yandex browser) на планшетах, а когда в стиме вылезло - сразу понял, что что-то не так.
Настройки роутера сбрасывал, даже обновил прошивку, перенёс локальный IP на другой (поменял последние два числа), поставил другой пароль.

Пока не понял, помогло или нет, но жена говорила сегодня, что опять эта херня открывается, правда реже намного. Настройки в роутере такие, как и должны быть. Комп чистил адварем.
0
 Finsternis отправлено

Ещё сбросить надо все настройки браузера, вирь в куках дополнительно пакостит.

0
Nakedwman отправил
Может кто подскажет. похожая штука, только вот в интернете сижу через 3Г модем. И реклама открывается только в хроме. Заражение модема исключается его отключением( он как юсб флешка). Чем убить заразу, искал уже всяким
0
fresch отправлено
+1 LeRoman отправил 7 часов назад #
В планировщике заданий (taskschd.msc) в библиотеке может прописываться задача на добавление в реестр в любимый "..CurrentVersion\Run" любая дрянь. В итоге можно все чистить и реестр в том числе, но при каждом новом запуске она снова пропишется. Характерное явление: краткое всплытие cmd-шного окна. Одно время так сайт kb-ribaki прописывался у многих.
ответить
0fresch отправлено 0 секунд назад #
Может просто задача для хрома, например, на открытие определенного сайта с периодичностью.
0
 Varrenlad отправил
Malwarebytes AntiMalware
0
sstalkerr123 отправлено

Меня шифровальщики накаляют! И главное сделать почти ничего нельзя, ну кроме бэкапов собственно и антивирусы их пропускают =(
Ух я бы руки и ноги ломал создателям этой дряни.

0
mosD отправлено
Я как то цепанул странную дрянь. Он тянул самые разнообразные софтины и без какого либо участия, ставил их. Проги были самые разные, в том числе он как то затянул все сервисы мейлру... Чего я только не перерыл. В итоге так совпало что надо было продавать ноут, и переустановить винду. Так и не узнал как его победить.
0
Archibaldio отправлено

а если у меня нет роутера и просто витая пара в комп воткнута, то чего делать...?

0
zasholplusanut отправила

Я в планировщике задач эту хрень нашла. Раз в 40 минут стоял запуск рекламы. Отключила - и всё, нет проблем. Я не очень в этом разбираюсь, но, наверное же, эта дрянь осталась на ноуте, но, во всяком случае, не выскакивает.

0
 telecomengineer отправил
Проверять систему свежими антивирусными программами(cureit, avz, trojanremover). Поменять вручную DNS провайдера на общедоступные Гугл или Яндекса.
-1
 P4EJIA отправил
Ничего
0
 lyssel отправила

Раз уж такая тема, может сможет кто помочь... Через пару минут после запуска браузера открывается вкладка с рекламой, разная, то игры, то казино, то ещё что-то. Роутера нет. Перепробовала уже наверное всё что находила в гугле. Сбрасывала настройки браузера, переустанавливала его, искала всякие скрытые файлы и расширения, нет ли чего лишнего в автозапуске и так далее. Антивирусы тоже ничего не находят, уже не знаю где и искать эту заразу. Браузер Хром. Неужели только систему переустанавливать теперь?(

+4
kernerrus отправил
Посмотрите с какими атрибутами запускается хром.Необходимо нажать правой кнопкой на ярлыке хрома и выбрать пункт свойства.Там есть пункт ссылка на файл
+1
 Finsternis отправлено

Можно проверить в безопасном режиме Cureit, и проверить малварем, обычно этого хватает чтобы вычистить и файлы и реестр.

+1
 lyssel отправила

Малвар нашёл, оказалось в каком-то левом месте была эта гадость) Спасибо огромное, уж думала не избавлюсь от неё)

раскрыть ветвь 1
+1
 Chooseyourpower отправил
Тоже такая же херня, ничего не помогает, оно еще называется, блять, "спонсорская страница"
0
SirFirion отправил

http://compfixer.info/time-to-read-ru-kak-udalit/
Эта инструкция помогла

0
 dbond отправил

Где-то в реестре эта дрянь сидит, лет 5 назад шеф такое цеплял, долго его искал. Нашел не помню где, но какое-то нетрадиционное место было. Типа шелла. Он приписывается в конец строки. Если вспомню - напишу. Копайте в реестре все, что имеет отношение к запуску браузеров.

-1
 Ossara отправила
У меня тоже такая же фигня со вчерашнего дня. Не могу никак удалить. Перерыла форумы, не помогает
0
 Anloo отправил

у меня тоже подобне было. но открывал сам браузер и отправлял на разные сайты с казино или рекламой. Ничего не помогло. но у самого модема нет, раздаю интернет через телефон. Спасла переустановка системы.

0
 Mr.Poopybutthole отправил
неплохой повод сменить пароль у роутера.
0
p1ngw1n отправил
А этой дряни роутеры на openwrt подвержены? А то нечто похожее у себя заметил на днях ...
+1
SH1P отправил

сделайте в командной строке nslookup ya.ru

1-й строкой он выдаст, какой DNS сервер у вас, дальше айпи адреса, которые передал DNS

к примеру у меня там google-public-dns-a.google.com

2-й строкой у меня идет его адрес 8.8.8.8 (но может и не быть 2-й строки)

если DNS не ваш - значит в роутере беда

а openwrt это или любой другой - все подвержены атакам при стандартных паролях

0
p1ngw1n отправил

спасибо за совет, но дело в том, что openwrt, грубо говоря, сама выступает dns-сервером для локальной сети и у меня будет отображаться только адрес из внутренней сети.


да, кстати, в настройках роутера стоят адреса 8.8.8.8 и 8.8.4.4


проблема лишних вкладок замечена только на ноуте, так что дело вряд-ли в роутере.

но на ноуте в /etc/resolv.conf и /etc/network/interfaces ничего сверх естественного не нашел... пойду копать дальше...

раскрыть ветвь 1
0
 elfl0rd отправил

Любые подвержены, особенно если пароли не менять и использовать уязвимые прошивки.

0
p1ngw1n отправил

пароль не стандартный, но и не слишком уж сложный...

раскрыть ветвь 1
0
 Finsternis отправлено

Не знаю, не использовал ранее такие, после этого случая задумался об его приобретении.

0
 Sanchezz01 отправил
Простите что оффтоп, но как вообще роутер заражается? Вы запускаете прогу на пк, она автоматом логинится в роутер и подменяет днс?
раскрыть ветвь 4
0
 Buuuuuuuuububu отправила

Эта херня может появиться после пачки от мэйлсру?

+1
 Finsternis отправлено

В моём случае мэйлру не фигурировал и их я не обвиняю, подозреваю эмми админ, поскольку это была единственная программа которая была скачана как раз перед появлением вируса у меня, малварь долго ругался и плевался, но я сам виноват отключил его. Но! Говорить что это 100% эмми не могу, так как работает презумпция невиновности + я сам отключил малварь.

0
 Varrenlad отправил
http://news.softodrom.ru/ap/b23593.shtml
Пользуйтесь лучше чем-нибудь нормальным
0
 Buuuuuuuuububu отправила

Просто подобная фигня у меня появилась после скачивания пачки от мэйла (ступила, да)). Парень вроде все вычистил, а реклама в браузере так и вылезает.

0
Sk1vvy отправлено

На работе есть ammy admin на нескольких ПК, не был замечен в таком трешаке. Хотя антивирус ругается, да.

раскрыть ветвь 1
ещё комментарии


Пожалуйста, войдите в аккаунт или зарегистрируйтесь