|
|||||||
|
_L.jpg)
|
|
 |
|
|
Strumenti |
15-09-2017, 13:55
|
#1 |
|
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
redirect a ONCLKDS.COM su siti News
Buongiorno a tutti,
come da titolo riscontro quanto segue: quando apro con qualsiasi browser alcuni siti di testate giornalistiche nazionali appena clicco su qualsiasi cosa mi si apre un'altra finestra con indirizzo iniziale ONCLKDS.COM etc etc e poi compare una pubblicità sempre diversa e sgradita. Una volta chiusa questa seconda pagina si continua a navigare su quel sito tranquillamente. Su altri siti di lavoro ed istituzionali questa cavolata non succede. Ho provato a far scansionare tutto il PC con diversi antivirus, ma non trovano niente. Mi è successo adesso anche su questo sito, cliccando ai bordi. Sul PC che ho a casa questo non succede quindi per logica penso che ci sia qualche intrusione su questo PC. Inutile aggiungere che sarei propenso ad evitare la formattazione vista la mole di dati e app che ho sul PC. So che in questo fantastico forum (lo seguo in lettura da molto tempo) ci sono tanti bravissimi smanettoni. Spero mi suggeriate qualche dritta per stanare questa sgradevolissima novità. Ultima modifica di Ferny : 15-09-2017 alle 14:46. |
|
|
|
15-09-2017, 21:21
|
#2 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao
esegui i software sotto in sequenza come postati : Malwarebyte antimalware scaricalo da qui https://it.malwarebytes.com/ fai la scansione ed elimina cio che trova e posta il log generato Poi scarica adwcleaner da qui https://www.bleepingcomputer.com/download/adwcleaner/ tasto dx sopra eseguibile avvia come amministratore e fai la scansione elimina quello che trova e posta il log poi prova jrt scaricalo da qui https://www.bleepingcomputer.com/dow...-removal-tool/ disattiva antivirus metti l eseguibile sul desktop tasto dx sopra ed apri come amministratore dai invio quando richiesto attendi la fine della scansione riattiva antivirus posta il log scaturito(lo trovi sul desktop) Infine scarica frst da qui https://www.bleepingcomputer.com/dow...ery-scan-tool/ scarica la versione adatta al tuo sistemaoperativo 32 o 64 bit posiziona l eseguibile sul desktop tasto dx sopra eseguibile--apri come amministratore una volta aperto clicca su scan postare log frst.txt e addition.txt le scansioni sono tutte relativamente veloci... Ciao Ultima modifica di Dan1979 : 15-09-2017 alle 21:26. |
|
|
|
|
25-09-2017, 12:19
|
#3 |
|
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
Grazie Dan1979,
leggo ora, Li ho provati tutti, hanno trovato qualcosa nelle chiavi nelle chiavi di registro o nell'user ma non è cambiato nulla, anzi è peggiorata: mentre prima i popup si aprivano in altra pagina, ora si aprono nella stessa pagina e non ti fanno andare ne avanti ne tornare indietro. Magari se si riprova a digitare lo stesso sito poi si ferma. E' incredibile che nessun antivirus veda nulla, come è altrettanto incredibile come questo ADS funzioni SOLO con determinati siti, compreso questo. |
|
|
|
|
25-09-2017, 13:57
|
#4 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao postami i relativi log delle scansioni....
Sopratutto mi servono quelli di frst che si chiamano frst.txt e addition.txt Grazie vediamo come risolvere...Ciao |
|
|
|
|
26-09-2017, 11:06
|
#5 | |
|
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Non ho capito come l' ho beccato........non ho scaricato niente, zero assoluto, non installo o scarico qualcosa da oltre due mesi........ Non riuscivo più a entrare nel forum, non mi faceva fare niente, qualsiasi pagina cercassi di aprire, qualsiasi browser usassi, mi reindirizzava tutte le pagine . Ho provato Chrome, Firefofox, Slimjet che è il browser che uso di solito, poi anche Microsoft Edge e IE11....niente.............. Ho provato tutti i software inimmaginabili.................risultato 0! : - AdwCleaner - Malwarebytes Anti-Malware - Zemana Antimalware Portable - Windows Defender - HitManPro - Plumbytes Anti-Malware - GridinSoft Anti-Malware - SpyHUnter 4 - Delfix - Tdskiller - Adsfix - RKill..............risultato >>> 0 ! Ok, mi sono detto, reinstallo W10 e risolvo tutto........  Installato W10 da zero, eliminato 2 volte il volume e ricreato 2 volte e formattato 2 volte, onde evitare...... Installo W10 da zero e senza installare assolutamente nessun programma, neanche scaricare sul desktop, un programma in versione portable-standalone tipo Iobit Uninstaller freeware, apro Microsoft Edge, tra l' altro unico browser presente dopo aver installato da zero W10 e tranquillo vado subito a digitare in Google > Hardware Upgrade Forum....appare la scritta blu che il link usa cookies e do ok come sempre e....................come sempre parte il reindirizzamento della pagina....appena installato W10 da zero, fatto tutti gli aggiornamenti che erano da fare compresi quelli per la sicurezza..... Apro altre pagine e il reindirizzamento continua, senza neanche girarsi...........  Il problema non sono le infezioni nel pc o almeno oltre alle infezioni, se vengono trovate....................il problema sono > i DNS infettati Come ho risolto ? Resettando il router . DNS modificati sul router e redirect verso pagine malevole: come risolvere > https://www.ilsoftware.it/articoli.a...isolvere_11213 Se il reset del router non risolve, bisogna aggiornare il firmware del modem . PS > non fare scan antivirus, anti malware............non risolvono nulla, perchè il problema sono i DNS modificati . Resetta il modem, risolvi subito PS >>> Prima di installare da zero Windows 10 Creators Update . 1 - Facendo uno scan con HitManPro, tra l' altro l' unico software che mi ha trovato qualcosa, mi aveva trovato circa 60 cookie da eliminare in AppData/Local/Microsoft/Windows/INetCookies........peccato che cercando in Windows la parola INetCookies non uscisse niente.........ma se li ha trovati HitManPro mi dicevo............ Faccio la ricerca con la ricerca di Windows ed escono.......Questi cookie avevano un nome composto da 8 caratteri + .Cookie tipo > HPV537UV.Cookie o tipo > XFOJ8FB8.Cookie Ok trovati, cancellati, il problema del reindirizzamento delle pagine web, di qualsiasi pagina, rimane......... 2 - Ho reinstallato W10 CU sopra quello che stavo usando, quindi in Aggiornamento, facendo partire l' iso a SO funzionante, mi ha mantenuto dati, programmi, tutto.........ma il problema continuava.......... NB > premetto che il SO, i programmi, tutte le impostazioni, qualsiasi cosa nel SO, funzionava senza nessun problema . Il problema erano le pagine web, che venivano costantemente reindirizzate . Non dicono che pagine uscivano che è meglio..........
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 26-09-2017 alle 12:26. |
|
|
|
|
|
26-09-2017, 11:54
|
#6 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao infatti se i dns sono infetti dai due report che mi pistera si vede se lo sono...
Intanto provare non nuoce... Posta i due report comunque, in caso di insuccesso vediamo se cè qualcos altro... |
|
|
|
|
26-09-2017, 12:03
|
#7 |
|
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Nel link postato ci sono anche 2 link dove provare a vedere se c'è un problema di DNS, come facile che sia, poi.....
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
|
|
|
26-09-2017, 13:05
|
#8 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Solitamente se i dns del router sono stati attaccati ,il router potrebbe avere un bug sul furmware detto rom0,
Solitamente ne soffrono router un po vecchiotti... Nei piu moderno questo bug è stato patccato.. Per vedere se il router ha questo bug visitare il seguente link http://rom-0.cz Per porre rimedio ,aggiornare il firmware visitando il sito del produttore e cambiare password e metternre una forte, cioe lettere minuscole maiuscole numeri e simboli,di lunghezza minima 9 caratteri.... Ultima modifica di Dan1979 : 26-09-2017 alle 13:08. |
|
|
|
|
26-09-2017, 17:11
|
#9 |
|
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Si, il modem ha più di 6 anni, sicuramente il problema sarà stato quello, in quanto il So era non lindo, ma di più, ossia nessun software ha trovato nulla, tranne HitManPro, che ha trovato i cookie di cui ho parlato sopra .
Cookie che si saranno formati sicuramente dopo che la pagina veniva reindirizzata a link sciocchi.........diciamo cosi.........  Al momento nessun problema, se il problema si dovesse ripresentare, cambio password, poi aggiorno il firmware e....se non basta, cambio modem
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
|
|
|
26-09-2017, 19:48
|
#10 | ||||
|
Bannato
Iscritto dal: Jun 2015
Messaggi: 3828
|
Quote:
Quote:
Quote:
Ma avevi user/pwd @ default? (se si, sarebbe veramente grave a prescindere dalla sofisticazione del probabile attacco cui sei rimasto vittima) Oppure il tuo Router era davvero vulnerabile all'attacco indicato nell'articolo o ad altri equivalenti... Quote:
|
||||
|
|
|
|
27-09-2017, 07:38
|
#11 | |
|
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
Quote:
sono costretto a scrivervi da altro PC, perchè il mio principale non ti permette di scrivere su questo forum a causa numerosi redirect. Intanto ringrazio tutti per i vostri cortesi interventi in particolare Tailles (quotato sopra) per il tuo dettagliato ed ottimo intervento. Vero, HitmanPro è riuscito a trovare 429 link e chiavi malevoli, ma non ha risolto la causa. Questi si riformano continuamente. Per quanto al Router, ho i miei dubbi, su quel router sono collegati 4 altri colleghi e non hanno questo problema. La cosa strana che questo virus/ads sembra si attacchi alle pubblicità, faccio qualche esempio per farvi capire meglio: - se provo a collegarmi ai siti (tipo ilgiornale.it) in cui normalmente esce la velina dal basso di una pubblicità tipo fastweb o sky, questa non si vede proprio, ma si sostituisce con il redirect. - se provo a fare una ricerca con google su un prodotto, oltre ai soliti link/dettaglio vengono fuori (sopra o affianco) delle piccole foto pubblicitarie di alcuni venditori, già, ma se provo a cliccare su quelle foto/link mi dice che il server non è stato trovato oppure "googleservice.com non server non trovato". - Stranamente su alcuni siti istituzionali tipo Microsoft e altri simili il Redirect malevolo NON funziona e fila tutto liscio Purtroppo non posso formattare in questo momento a causa della enorme mole di lavoro fino a fine mese con altre App fortunatamente tutte funzionanti, ma mi rode troppo sta storia 
|
|
|
|
|
|
27-09-2017, 08:42
|
#12 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Ciao ,
hai effettuato la scansione con frst come indicato nel mio primo post??? Se no eseguila e posta i relativi log frst.txt e addition.txt... Grazie vediamo come risolvere se possibile... Nel frattempo non installare o disinstallare programmi o apportare modifiche di nessun genere al pc, questo per una lettura dei log migliore....
|
|
|
|
|
27-09-2017, 09:15
|
#13 | |
|
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18053
|
Quote:
Successe qualcosa analoga su un PC al lavoro, con Google Chrome. Risolto molto semplicemente adoperando l'apposito "ripulitore" di schifezze fornito da Goggle stessa: https://www.google.com/chrome/cleanup-tool/ Evidentemente il malware si era attaccato al browser. Non so se può esserti utile come informazione ma te l'ho passata lo stesso
|
|
|
|
|
|
27-09-2017, 09:24
|
#14 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Torino provincia
Messaggi: 6321
|
Seguo perchè ho un PC (ma forse anche lo smartphone a casa in wifi.....) che è diventato quasi inutilizzabile....
__________________
Mobo: Asus P8Z77V-PRO; CPU: Intel i5-2500K@4500MHz cooled by OcLabs-6E; S.Video: Gigabyte GTX960 Windforce X2 4Gb RAM: 2*4Gb DDRIII Corsair Dominator |
|
|
|
|
27-09-2017, 10:51
|
#15 | |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Quote:
Prima volevo visionare i log di frst... |
|
|
|
|
|
27-09-2017, 14:33
|
#16 | |||||||||||
|
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Quote:
Quote:
Quote:
30 APRILE 2014 DNS MODIFICATI SU 300 MILA ROUTER ANCHE IN ITALIA (D-LINK, HAMLET, MICRONET, TP-LINK, KRAUN E ALTRI) Quote:
Ho fatto tutta la trafila detta, per sicurezza, pensando che magari se formattavo e basta l' infezione (se ci fosse stata e non è stata trovata...) potesse rimanere dov' era o tornare fuori . Ho Eliminato per due volte anche la partizione di avvio di W10, da 500 Mb, in modo tale, da essere sicuro che l' infezione, magari non fosse andata in quella partizione............ Poi riavviato il pc, aperto Edge.........ho capito che potevo fare a meno di formattare.......... visto che il problema mio, erano i DNS modificati .Quote:
In francese, quello che hai scritto, Tailles, significa dimensioni Quote:
Basta andare in C/Utenti o Users/tuo nome utente/AppData (devi visualizzare i file nascosti, altrimenti non la vedi, in quanto la cartella è nascosta di default)/Local o già in AppData vai sopra a destra nella ricerca e scrivi > .cookie . Tutti quelli che escono, li cancelli . Quote:
Fai scan antivirus, meglio se da provvisoria, tipo quelli che ho nominato, in più puoi anche provare Kaspersky freeware, l' antivirus è disponibile anche in versione Freeware, questa decisione è stata presa dalla stessa società alla fine di Luglio 2017 . Quindi è una cosa recente, io non l' ho usato, perchè avevo capito di non avere infezioni, tranne quelle trovate da HitManPro . Quote:
Tipo AdsBlockPlus o UBlockorigin ? Che browser usi ? Installa un' estensione anti-pubblicità: sono andato nel sito del Il Giornale, non vedo nessuna pubblicità Quote:
Quote:
e se usi Google Chrome come browser, magari con i suggerimenti di Nicodemo, risolvi, senza fare scan antivirus .....
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 27-09-2017 alle 14:50. |
|||||||||||
|
|
|
|
27-09-2017, 17:15
|
#17 |
|
Junior Member
Iscritto dal: Sep 2017
Messaggi: 19
|
R I S O L T O
  1 - resettato il router, 2 - pulizia HitmanPro Il PC come per incanto è risorto, problema scomparso definitivamente. Grazie a tutti per i cortesi consigli. L'ADS aveva attacato il router ed un'altro dei miei colleghi iniziava ad accusare redirect ONCLKDS vari .... |
|
|
|
|
27-09-2017, 20:06
|
#18 | |
|
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Mi sembrava un pò strano, il fatto che tu avevi problemi e i tuoi colleghi no, poi.........infatti il problema, si stava estendendo . Però.....non basta resettare, perchè gli intrusi sono sempre fuori dalla porta e rientreranno ............ Che modem usate ? La password è quella di default ? Leggi cosa mi è capitato ieri sera, dopo il primo reset : dopo un pò di tempo, forse un' ora....è ri-iniziato il reindirizzamento > Dopo un pò di tempo, proprio ieri, che ero qui nel forum, non chissà dove.......alla fine di una risposta data a un utente, seleziono il pulsante Salva, per inviare la risposta all' utente e............riparte il reindirizzamento........ E tra le varie finestre che mi appaiono, ne ho salvate due: - quella che ti invitano a giocare al casino......... - quella che ti dicono che devi scaricare Java Runtime o Flash Player - quella dove ti dicono di scaricare il software xyx che ti risolverà i problemi del tuo pc, perchè il tuo pc è infetto e in uno stato praticamente irrecuperabile e solo loro ti salveranno dalle infezioni............ e la finestra a tempo..........questa >  provando a chiuderla, appare il messaggio sotto >  Mettendo il segno di spunta certe volte ti faceva chiudere la finestra, solo quella piccola........ma non uscivi........ altre volte apparivano altre finestrelle piccole con altre cose, senza farti assolutamente uscire dalla finestra stessa..... altre volte non appariva nessuna finestrella secondaria, ma.......non uscivi ugualmente dalla finestra principale, se non chiudendo il browser dal task manager . Questo mi è ri-capitato, ieri sera, dopo il primo Reset del modem . Altra cosa importante > non so se prima del reset o dopo il reset, andando in Gestione dispositivi, alla voce Scheda di rete, non mi compariva solo il nome del modem, ma ben altre 7 voci: - WAN Port 1 - WAN Port 2 - WAN MiniPort -................ Provando a cancellarle, ossia a disinstallarle, da Gestione dispositivi, è saltata la connessione internet . Ho resettato di nuovo, il modem e > - ho cambiato delle voci che erano messe su Deactived e WAN.....che coincidenza ehhh......... Porta WAN........vabbè che il modem che ho da la possibilità anche di avere una connessione Wi-Fi, peccato che non l' ho mai abilitata, usando solo la connessione Lan . Infatti, erano i filtri da mettere su Actived + LAN........ alla voce Access Management DDNS, nella finestra del modem Kraun.....e già questo sarebbe bastato per risolvere il problema, aumentando la sicurezza - in più ho cambiato la password di default, mai cambiata............e ne ho messa una con ben 26 caratteri alfanumerici . Da quando ho fatto queste 2 operazioni, il reindirizzamento non è più comparso, su nessuna pagina visitata e il tempo che ho usato internet per aprire pagine web è tre volte superiore dopo il secondo reset, rispetto al tempo utilizzato ieri, dopo il primo reset........ Se dovesse ripetersi il problema, ma non credo, poi.......nella nuova password che metterò, metterà questo giro anche alcuni caratteri speciali, basta digitare in W10, ma penso sia cosi anche per i SO precedenti, da Start/Cerca > mappa caratteri Di questi caratteri basta metterne duo e tre in qualsiasi password, prima che riescano a leggerla, hai voglia...... Poi vediamo se riescono ancora a entrare
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 Ultima modifica di tallines : 27-09-2017 alle 20:24. |
|
|
|
|
|
27-09-2017, 22:13
|
#19 |
|
Member
Iscritto dal: Jun 2017
Messaggi: 175
|
Pet decifrare una password come la tua ,servirebbero miliardi di anni con un attacco bruteforce...
Vai tranquillo..... L unico problema potrebbe essere il firmware , ma la vedo dura...  Quello che mi sento di dire é che questa infezione oltre a insediarsi nel router a volte si infiltra in profondita nei browser e a volte bisogna reinstallarli... |
|
|
|
|
28-09-2017, 06:20
|
#20 |
|
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18053
|
Scusate ma che router avete? Nessun router appena appena decente consente di poter accedere alla configurazione dello stesso da "internet". Ma solo dalla rete locale.
È il firmware ad essere buggato ed in questo caso hai voglia a cambiare password, se conoscono come attaccarlo se ne cacafottono della password... Aggiornare il firmware se c'è un aggiornamento o cambiare router con uno più moderno ed affidabile, secondo me non ci sono alternative. |
|
|
|
|
|
_S.jpg){kind=small}
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:38.
_XXL.jpg)
