5 votos

Algunas páginas en Chrome siempre redirigen a la página de rescate en http://system-check-fyeltkhn.in

Esto es tan raro y aleatorio que tengo problemas para explicarlo completamente. Desde ayer, esos comportamientos comenzaron:

Algunas páginas en Chrome siempre son redirigidas:

http://system-check-fyeltkhn.in/js?t=53616c7465645f5fdc73029d4884acc0f7c68721db05e546f3bd3e721e01b9b76d6dbbcf918d95a3fcf0e861ab541e81968f107a0ae2ab13

Si abro la misma página ahora mismo en otro navegador, o incluso una navegación privada en Chrome, funciona. Algunos sitios web, después de un tiempo, dejan de ser accesibles. Incluso con ping . Por ejemplo, Facebook. Lo tenía abierto y en uso hace diez minutos, y ahora un tracert dice

Unable to resolve target system name www.facebook.com

En Firefox comienza una búsqueda en Yahoo con el sitio web como tema.

Ahora mismo tengo un flujo en marcha y no tiene ningún problema, a menos que refresque la página. Desactivando y volviendo a activar la conexión parece que se resuelve el problema desde hace algún tiempo, en algunos sitios web.

Intenté cambiar el DNS a Google DNS sin éxito. Tengo el cortafuegos encendido, y Avast funcionando todo el tiempo.

Tomemos el ejemplo de twitch.tv, que es un sitio web al que nunca puedo llegar en Chrome normal, pero al que puedo llegar en la navegación privada de Chrome y Firefox.

Si hago un ping, tengo un tiempo de espera. Si hago un tracert esto es lo que obtengo:

  1    <1 ms    <1 ms    <1 ms  192.168.2.1
  2    <1 ms    <1 ms    <1 ms  192.168.1.2
  3    20 ms    19 ms    19 ms  2-234-97-1.ip222.fastwebnet.it [2.234.97.1]
  4    19 ms    18 ms    18 ms  10.6.105.66
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.

Por pura casualidad, desactivé el Escudo Avast! y lo que obtuve fue una redirección a una página que me permitió identificar el virus como un rescate. Una variación de Troyano. Ransomlock

La página muestra una página de "policía" falsa:

Screenshot of fake police ransom page

Aparentemente Avast estaba interceptando y bloqueando la redirección, así que lo que obtuve fue "Error 324 NO SE RECIBEN DATOS" de Chrome. Todavía no puedo explicar el tipo de comportamiento.

Estoy en Windows 7.

3voto

Anon Puntos 46

Sí, hemos tenido el problema en Italia en los últimos días: servidor DNS primario en el router/módem modificado a 94.249.192.105 -> rescate (javascript) descargado de este mismo servidor por cualquier dispositivo en la LAN y múltiples sitios y servicios bloqueados.

Ver también http://www.tomshw.it/forum/network/428865-dns-del-ruoter-che-cambia-solo-2.html?s=04f2682c7d0ab269bc6a9342980b64d4

Solución a confirmar: cambiar la contraseña del router/actualizar el firmware + cambiar los servidores DNS del router a los de Google + borrar los datos del navegador (reset)

2voto

gronostaj Puntos 15369

Definitivamente suena como algún tipo de malware.

  • Comprueba las extensiones de tu navegador. En Chrome es el menú de hamburguesasHerramientasExtensiones . Primero, trata de deshabilitarlos a todos y comprueba si ese comportamiento extraño persiste. Si no es así, habilítelos uno por uno, cada vez comprobando si la reorientación sigue ocurriendo. De esta manera podrás rastrearlo hasta una extensión específica. Es muy probable que la extensión extraña pretenda ser algo útil, no confíes en ellos.

  • Revise su configuración de proxy: menú de hamburguesas → Ajustes → Desplácese hacia abajo → Mostrar la configuración avanzadaRed sección, Cambiar la configuración del proxy . Se abrirá una nueva ventana. Haga clic en el Configuración de la LAN y asegúrate de que Usa un servidor proxy para tu LAN es sin marcar .

  • Ejecute el análisis de malware. Malwarebytes Antimalware y SpyBot Search & Destroy son herramientas de eliminación de malware muy conocidas. Tenga en cuenta que el malware puede intentar evitar que descargue herramientas antimalware, por lo que es posible que tenga que utilizar otro dispositivo para descargar esos archivos. Los análisis deben realizarse preferentemente en Modo seguro .

Esos son sólo algunos pasos básicos. Si esos no son suficientes, tenemos un toda la cuestión dedicado a la lucha contra los virus y el malware.

1voto

nybergh Puntos 66

Haga una copia de seguridad de sus documentos y cosas personales, formatee el disco duro y reinstale Windows 7. Esa es la solución más fácil y segura.

1voto

ian Puntos 11

Ayer tuve el mismo problema en un Galaxy Note 3 con cromo. Limpiar los datos de la aplicación me ayudó.

Más detalles:

Cada página web a la que fui fue redirigida a esta url con un error

system-check-elotpdux.in/js?t=sjdhehdjsjdi (long string)

La página dice "no encontrado"

Antes de la redirección hay en realidad otra a una IP:

94.249.192.105/index.html

Intenté una red wifi diferente y aún así sucedió. También intenté con https:// sitios SSL y no se redirigió. Intenté con la pestaña de incógnito y no se redirigió.

Me di cuenta de que el system-check-elotpdux La URL se citó en un foro tailandés con alguien que experimentaba el mismo problema. Sólo cuando busqué "system-check chrome redirect" encontré este post, que menciona un dominio diferente, system-check-fyeltkhn.in . Estoy en Tailandia, así que sospecho que la URL de redirección está siendo geo-objetivo.

Había instalado la aplicación camera360 y noté en los comentarios de la tienda que un AV de los usuarios detectaba malware. La desinstalación y el reinicio del teléfono no funcionó.

El análisis de AVG no mostró nada. También instalé un detector de addons y un detector de empuje de aire y no encontró nada.

Actualizé a la última versión de Chrome y esto no lo arregló.

Instalé Firefox y esto no se vio afectado por la redirección.

Sólo cuando limpié los datos de la aplicación Chrome, la redirección desapareció.

Estoy muy preocupado por cómo esto se las arregló para hacerle esto a Chrome. Fue como si la caché estuviera infectada con un archivo JS troyano. Pero no puedo entenderlo. Esto significa que o bien Android o Chrome tiene un fallo de seguridad en alguna parte.

Espero que esta respuesta ayude a la gente.

Si sabes cuál es la hazaña o cualquier otra información, por favor, envíala. Gracias.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: