Redirigir el malware en BIOS o MBR no puede eliminarlo

Navega tus respuestas
4

Compré un nuevo Dell Inspiron 15 7567 de fábrica sellado y nuevo. Lo reinicié, pasé por el proceso de instalación y finalmente inicié sesión. Abrí el navegador Edge y fui a YouTube para reproducir música, todo está funcionando bien. Quería instalar Atmel studio 7 y hacer clic en el enlace para descargarlo, mientras eso sucede, otra pestaña se abre, me redirige a un sitio falso y me pide que descargue Adobe Flashplayer, pero el sitio no es de Adobe. Esto sigue ocurriendo cada vez que hago clic en cualquier enlace en el sitio web. Probé otros sitios web con el mismo resultado. El mismo resultado en Google Chrome también.

Ahora la parte realmente divertida. Deshacerse de este adware o malware.

  1. Restaurando la PC para indicar que la tengo, nada cambió, el mismo problema.

  2. ¡Reiniciando la PC! No deshacerse del malware. (Varias veces)

  3. Descargué una unidad USB Windows 10 ISO grabada por separado y se instaló con Mantener la opción Nada. Tampoco funcionó

  4. Formateó todo el disco duro e instaló Windows 10. Esto es tan reciente como consigue, todavía no hay alegría. (Varias veces)

  5. Probé Ubuntu sin instalarlo (hay una opción para eso), abrió Firefox Y fui al sitio de Atmel de nuevo. Seguramente el malware de redireccionamiento no puede funcionar aquí. ¿Correcto? ¡Incorrecto! Todavía abre otra pestaña y me redirige a otro falso sitio web.

¿Dónde se esconde este malware para evitar una bomba nuclear completa del sistema? Está en el BIOS o en el MBR. Leí que estos programas maliciosos pueden sobrevivir en estos lugares incluso después de completar la supresión del sistema. La redirección pasa a través de "onclickrev.com" a un sitio web falso para adobe o algunos anuncios sobre métodos de pérdida de peso estúpidos. Utilicé MalwareBytes, Kaspersky para buscar cualquier kit de inicio o raíz en el MBR. No se pudo encontrar uno que compruebe la BIOS.

Recuerdo que el portátil se estrelló con BSOD durante una instalación de actualización por Dell. Esa fue la única cosa rara que sucedió antes de que el adware / malware comenzara a aparecer.

¿Qué debo hacer? ¿Como puedo quitarlo? ¿El reemplazo es mi única esperanza? No puedo confiar en esta computadora para ningún tipo de pago o banca en línea.

TL; DR: un malware redirigido infectó mi nueva computadora portátil. ¡Probé casi todos los métodos para deshacerte de él! ¿Hay más métodos?

EDITAR: Aparentemente, el onclickrev.com es un virus de redireccionamiento de algún tipo, encontró que algunas personas experimentan el mismo problema (ninguno de ellos intentó la reinstalación del sistema operativo). Algunas de las soluciones proporcionadas por los sitios web (los sitios tampoco parecen ser dignos de confianza) para eliminar este virus parecen sospechosas. No puedo entender cómo esta cosa todavía puede estar en el sistema después de una reinstalación completa. Búsqueda de Google 'eliminación onclickrev.com' y ver lo que surge!

La URL de redireccionamiento de este virus o malware publicitario es http://onclickrev.com/afu.php?zoneid=1220488

    
pregunta newbie 10.09.2017 - 14:49
fuente

4 respuestas

2

Como @ByteCommander indicó en uno de los comentarios que está viendo, lo más probable es que venga del enrutador al que está conectado o (directa o indirectamente) de su ISP.

Cosas que podrías hacer para probar / solucionar este problema:

  • Configura un túnel SSH o VPN en un servidor en el que confíes (o posiblemente incluso uses TOR).
  • Apague su enrutador (si es suyo y no está "pidiendo prestado" internet a otra persona.
  • Cambie la configuración de DNS de su computadora a 8.8.8.8 (google dns)

Dudo seriamente que esto tenga algo que ver con su MBR o BIOS. Tiene razón al sospechar algo fuera del sistema operativo porque el problema persiste en su Live CD de Ubuntu ... sin embargo, si su BIOS se infectó, lo más probable es que el código esté orientado a Windows (bastante difícil escribir un conjunto de root compatible en C / C ++ con espacio ROM limitado).

    
respondido por el CaffeineAddiction 18.09.2017 - 15:20
fuente
0

Podría ser un anuncio en el navegador. Si es así, podría sincronizar sus extensiones / anuncios cada vez que inicie sesión en el navegador, lo que resultará en esta redirección.

    
respondido por el Kelvin Wang 10.09.2017 - 18:27
fuente
0

@Serverfrog en los comentarios mencionó que las redirecciones podrían provenir del propio sitio web de Atmle. También me he enterado de que, cuando visita el sitio web de Atmle, obtiene una nueva pestaña que se abre en el sitio web falso de Flash.

Ahora, es posible que el sitio web en sí cause que se abran estas nuevas pestañas; este comportamiento es común en sitios web menos "decentes", donde la acción básica de hacer clic en los elementos del sitio web es suficiente para que aparezcan ventanas emergentes maliciosas, incluso si las cosas en las que hizo clic no eran enlaces. Con un sitio web más profesional como este, este comportamiento es poco probable, y cuando sucede, puede ser porque el sitio web ha sido comprometido e inyectado con scripts maliciosos.

¿Es este sitio web el sitio web al que se refiere? Lo puse en VirusTotal y salió limpio (0/65 detecciones), y no obtengo ningún comportamiento de redireccionamiento simplemente cargando la página, al menos en Chrome OS. Incluso desactivé uBlock, tanto para la página que vinculé como para la página de descargas, y no tengo redirecciones.

Mi sugerencia aquí es mantenerse alejado del sitio web para el software. Si este nuevo comportamiento de la pestaña se detiene, es el propio sitio web el que causa este problema. También puedes intentar visitar el sitio con todos los JavaScript desactivados y ver si el comportamiento persiste (si no es así, hay algunos JavaScript maliciosos en el sitio).

    
respondido por el MoonRunestar 22.09.2017 - 12:03
fuente
0

No estoy seguro de si esto funcionará con EFI, pero, si está seguro de tener un sistema "limpio", ¿ha intentado sobrescribir el MBR y volver a particionar? He usado un trozo de código de (Microsoft) muchas veces. Funciona desde la línea de comandos DEBUG y usa el código de ensamblaje para sobrescribir el MBR. Entre actualizar el BIOS, sobrescribir el MBR y volver a particionar el disco duro, eso debería eliminar a la mayoría de los desagradables. Luego instalaría NoScript, un bloqueador de anuncios y Ghostery en cualquier navegador que use.

Por supuesto, esto solo funcionará con una infección en la PC, si su enrutador / red o el sitio web en sí están comprometidos, entonces deberá tomar otras medidas.

Por cierto, usaría una distribución Linux en vivo para extraer cualquier archivo bueno que tenga en la PC y ponerlo en un USB, etc. Luego, escanéelos para asegurarse de que estén bien antes de volver a ponerlos en su "nuevo "máquina.

    
respondido por el CBear42 22.09.2017 - 15:10
fuente

Lea otras preguntas en las etiquetas

¿Un problema de ISP o un malware? Le ha sucedido esto a usted? ¿Puedo usar de forma segura una memoria USB física dentro de VirtualBox (aislada) sin posiblemente infectar el sistema operativo host?