Przekierowanie stron w przeglądarkach - ransomware?

[gambitx]

Witam
Jakieś "gówno" mi się doczepiło do telefonu. W przeglądarce (android) odpalając stronę www przekierowuje mi na adres 217.12.221.100 law-enforcement-ztq.socialfiesta.com.ar i piszą jakieś "UWAGA pańska przeglądarka została zablokowana ble ble ble" i że jestem oskarżony świadome lub nieświadome przeglądanie/przechowywanie lub rozpowszechnianie pornografii ... xD Później powołując się na jakieś artykuły i każą wpłacić 500 zł jakimś voucherem Ukash? Co to za gówno? Oczywiście dodam, ze telefon nie służył mi nigdy do tak fikuśnych rzeczy ... porno jak już to na kompie xD
Wydawało mi się, że pomógł restart routera bo w telefonie wszystko działało poprawnie, jednak po paru minutach znów wyskakuje mi ten adres, oczywiście inne ip urządzenia i odliczanie do wpłaty kasy się zeruje.
Korzystam z darmowego AVG antivirus ale nic nie wykrywa. Niestety nie mam kopi zapasowej uradzenia ... czy tylko restart do fabrycznych coś tu da?
Jeszcze to zdjęcie bronka komorowskiego w prawym górnym rogu z krytycznie oceniającym wzrokiem

[ Dodano: 2014-07-31, 16:40 ]
Niestety restart do ustawień fabrycznych nic nie pomógł. Po odpaleniu przeglądarki przekierowuje mnie na jakiś adres www.dot.tk gdzie można wybierać nazwy domen itp.
Macie jakieś pomysły?

[vario87]

Od wczoraj walczę z tym samym problemem. Odkryłem że coś zmienia mi adres DNS w routerze na 217.12.221.100, zmieniłem go z powrotem na 8.8.8.8 a dzisiaj znowu jest przestawiony na 217.12.221.100. Na kompie ustawiłem sobie stałe dnsy co zapobiegło przekierowaniom na wyżej wspomnianą stronę. Teraz zabieram się za skanowanie kompa i dwóch lapków które mają dostęp do mojej sieci.
Także gambitx polecam sprawdzić ustawienia routera i połączeń wifi w telefonie czy czasem nie jest ustawiony podejrzany dns.

[gambitx]

Czyli na komputerze też masz taki problem?
Faktycznie, u mnie na stacjonarnym PC jak i laptopie mam stałe DNS, więc nie zauważyłem tego problemu. Do tego na innym forum o androidzie ten problem przytrafił się w ostatnich dniach wielu osobom.
Zaraz zrobię jeszcze jeden restart telefonu do fabrycznych i włączę go bez podłączania do domowego wifi, Święcie byłem przekonany, ze to problem tylko z telefonem bo te przekierowania dzieją się też jak odpalam net z Playa, ale robiłem już po kilkukrotnym odpaleniu wifi w telefonie.

EDYTA:
telefon po restarcie i bez podłączenia do wifi działał normalnie przez ponad godzinę, strony wczytywały się bez problemu. Gdy podłączyłem go do wifi po niecałej minucie znowu to gówno.
Komputer jak i laptop przeskanowałem KIS 2014 i nic nie wykrył.
Restartować router?

[Flash999]

Coś wątpliwe, aby jakaś aplikacja zmieniała parametry routera, przecież to wymaga przejścia przez drzewo i ręcznego wpisania. Ewentualnie poprzez konsole routera. Czy to router TP-Linka? Na ich routery były dziury, dzięki którym można było zarządzać routerem bez hasła. Jedno jest pewne, na 99% nie jest to wina routera - coś nim kieruje, a jest to najprawdopodobniej jakieś malware z komputera (chyba żaden wirus nie modyfikuje firmware routera?).
Przeskanuj system programem Malwarebytes Anti-Malware. Nie usuwaj, tylko po skanowaniu wrzuć tutaj treść z notatnika (wyskoczy okno po skanowaniu). Pomyślimy co dalej, na tym nie skończymy.

[user_delete21]

Przy tych masowych atakach na routery które były kilka miesięcy temu była jakaś odmiana która trwale podmieniała firmware routera. Żeby go całkowicie wyleczyć, trzeba było flashować czysty system.

[gambitx]

Router to najprostszy TP Link. Jeśli rzeczywiście jakiś robak siedzi w systemie to i tak trochę dziwne bo telefon mi wariuje w sytuacji gdzie w domu laptop i PC są wyłączone a uruchomiony jest tylko router - na prosty rozum wygląda to tak jakby tam coś się zrypało.
Inna sprawa, że nie mogę się wbić na router, na hasło na które zmieniłem

Żeby go całkowicie wyleczyć, trzeba było flashować czysty system.

Rozumiem, że restart do fabrycznych routera nic tu nie pomoże tylko format PCta?

Przeskanowałem laptopa programem który polecił Flash999, z PC zrobię to samo jutro jak wrócę do domu.

[user_delete21]

Rozumiem, że restart do fabrycznych routera nic tu nie pomoże tylko format PCta?

Nie "format PCta", tylko wgranie na router od nowa całego oprogramowania (firmware) -- czystego, pewnego obrazu prosto od producenta. A przed i po tej operacji pełny reset routera oczywiście, i samo flashowanie na sprzęcie (routerze i komputerze) odpiętym od internetu, przez kabel ethernet.

[gambitx]

Sytuacja wygląda tak.
Przeskanowałem PC i laptopa programem Malwarebytes Anti Malware, na tym pierwszym znalazł mi dwa, na laptopie ponad 100 podejrzanych obiektów, ale większość to PriceMeter, pamiętam, że KIS kiedyś mi krzyczał na lapku i wydawało mi się, że go wywaliłem, ale jakieś pozostałości w rejestrze itp. nadal siedziały. Tak czy inaczej wywaliłem to gówno.

Poczytałem trochę o tym co napisał datumplane odnośnie ataków na routery i okazało się, że "mój sprzęt" jest już wycofany z produkcji i był jednym z modeli "podatnych na atak". Mało tego, wstyd się przyznać, ale wielce prawdopodobne jest, że opcja zdalnego dostępu do panelu konfiguracyjnego urządzenia mogła być włączona. Do końca nie jestem pewien, bo nie mogłem wbić się na mój router, problem z hasłem ale po przeskanowaniu laptopa
http://cert.orange.pl/modemscan/
krzyczało mi, ze mój router jest zagrożony.

Zrestartowałem więc router, skonfigurowałem, wyłączyłem zdalny dostęp i na razie (od rana) wszystko działa, tzn. telefon przez wifi normalnie ładuje strony.
Niby ściągnąłem sobie firmware do tego TP Linka, ale jeszcze go nie instalowałem bo sam już nie wiem czy nie lepiej będzie jak oddam go do muzeum i zainwestuje w coś nowszego.

Pozdrawiam i dziękuję za pomoc ... chyba, ze za jakiś czas znowu się posypie xD

[Shynorj]

Ostatnio określonymi w swobodnym dostępie do antywirusowego anty-TeslaCript 3.0. http://sureshotsoftware.com/guides/teslacrypt-mp3/ Łatwy w użyciu interfejs, a ten program naprawdę działa!

[MaciejM]

Bez sensu jest instalowanie antywirusa w telefonie. Zainwestuj w nowszy router, a telefon zrootuj i zablokuj reklamy programem Adaway. Dzisiaj systemy operacyjne (od visty do najnowszych) są już bardzo dobrze zabezpieczone, głównym problemem są stare tplinki oraz nieświadomość użytkownika (bardzo popularne reklamy na androidzie "masz wirusa") byleby zainstalować oprogramowanie antywirusowe co więcej szkodzi niż pomaga.