Estoy ejecutando Windows 7. Ayer, cuando abrí un sitio web con Firefox, vi 3 anuncios en la parte superior del sitio.
Luego, cuando revisé otros sitios web con diferentes navegadores, vi estos anuncios:
En la fuente de la página, no puedo ver ningún código para estos anuncios. Después de usar Inspect Element, se agregó este código al encabezado:
<iframe src="http://85.25.138.211/index.php?3a2j"></iframe>
Y el código en el cuerpo de este anuncio es:
<a href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659" rel="nofollow" title="wygladzanie zmarszczek"><img src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659" alt="wygladzanie zmarszczek"></a>
No veo ningún complemento nuevo ni no deseado en mis navegadores y no he instalado Hotspot Shield.
¿Se trata de malware y, de ser así, cómo puedo eliminarlo?
Respuesta1
Está experimentando malware que ha sido diseñado para funcionar justo antes de que su navegador web muestre páginas web. Por lo general, intercepta una solicitud del navegador para recuperar una página web, analiza el sitio que está visitando e intenta inyectar anuncios HTML que pueden o no ser pertinentes a lo que está viendo.
Tendrá que verificar la configuración de proxy de todos sus navegadores web y ejecutar análisis completos de malware y antivirus en su PC porque su computadora estágravemente infectado
Adblock no te ayudará, esto es un virus. Supongo con confianza que todas las páginas web se cargan muy lentamente y si revisa su administrador de tareas, FireFox probablemente esté usando entre 300 y 500 MB solo para ver un sitio web.
Respuesta2
Después de investigar encontréesta respuestapor Martín Prikryl:
... el problema ocurre en la red celular solo debido al almacenamiento en caché. Después de un tiempo de estar conectado a la red celular y mantener la actualización, el problema desapareció. Y reapareció solo después de volver a conectarse al Wi-Fi.
Esto hizo obvio que el problema se debe a un enrutador comprometido. Restablecerlo a la configuración de fábrica lo solucionó.
Respuesta3
Tengo exactamente el mismo problema. Plataforma - windows 7 64. No solo ataca a Firefox. Hackea todos tus navegadores web (Firefox, es decir, y supongo que también lo habría hecho con Chrome)... eso significa que se instala como una extensión o como una pieza de código de secuencia de comandos en caché global (para todos los navegadores). ..o tal vez incluso algo más global.
Me las arreglé para "piratear" una solución "curita" al problema, es decir, bloquear estas direcciones IP con el firewall de Windows y también descargar la extensión adblock de Firefox, pero eso no soluciona el problema subyacente, es decir, que el sistema en sí tiene sido hackeado.
RESOLUCIÓN PARCIAL (resuelve la mayor parte del problema visual): busque en su directorio de Windows y edite "lmhosts" o "hosts" para asignar estas URL a
"localhost":
(promo.cityads.ru)
(track.impreskin.pl)
(rcm-na.amazon-adsystem.com)
(www.juicyads.com)
-o-
bloquear estas IP remotas en la configuración del firewall
(72.21.202.62)
(81.177.161.202)
(54.192.118.235)
(199.83.129.149)
-y- instalarbloque de anunciosparafirefox.
Esto =aún= te dejará con el nombre del hacker en tus páginas.
ÁNGULOS NO RESUELTOS PARA ARREGLAR EL RESTO: Todavía estoy trabajando en esta parte... pero estoy intentando buscar en el contenido del archivo de disco archivos .js y/o php/css que contengan: "wygladzanie zmarsczek" y las URL anteriores.
^eliminar archivos relacionados
Salvo que tenga éxito, consulte cómo borrar todo el almacenamiento en caché .js, php y css... lo siento, pero todavía estoy trabajando para descubrir cómo hacerlo.
Nada de eso prueba que realmente hayas limpiado todo el malware de tu PC. Simplemente se trata de abordar un síntoma (como si tuviera una enfermedad pero tomara aspirina para reducir el dolor). Es posible que queden muchos más virus de este tipo en la PC.
Por lo tanto, esta solución está muy lejos de la "perfección", que sería comprender el vector de ataque que utilizó este virus, cerrar el agujero de seguridad y eliminar todos los archivos que pueda haber depositado, pero aún así es mucho mejor que nada.
Si alguien puede encontrar el nombre formal de este ataque y responder cualquiera de esas preguntas, ayudaría a construir un entendimiento público que resuelva el problema.
RESULTADOS: Estos archivos regresaron asociados con esa firma de búsqueda:
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\2E0C4058E084A83FFD5E59DF25634B4708213893
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\C116A7489A2D13D65DA56BD218030121E46D2476
C:\Users\computer_name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HND03M2G\ga[1].js
Relativice la ruta de su propia PC reemplazando "nombre_computadora" con su propio nombre de PC autorreferencial. Esos archivos de caché se generan con lo que podría ser un nombre aleatorio en Firefox... destruir todo el caché podría ser la mejor solución.