BIOSまたはMBRでマルウェアをリダイレクトして削除できない
私は真新しいDell Inspiron 15 7567ラップトップの工場出荷時に密封された新品を購入しました。起動して、インストールプロセスを経て、ようやくログインしました。Edgeブラウザーを開き、Youtubeで音楽を再生しましたが、すべて正常に機能しています。 Atmel studio 7をインストールしたいのですが、リンクをクリックしてダウンロードしたところ、別のタブが開いて偽のサイトにリダイレクトされ、Adobe flashplayerをダウンロードするように求められましたが、Adobe以外のサイトです。これは、ウェブサイトのリンクをクリックするたびに起こります。同じ結果で他のウェブサイトを試してみました。 Googleでも同じ結果Chromeでも同様です。
本当に楽しい部分です。このアドウェアやマルウェアを取り除く。
PCを元の状態に戻しましたが、何も変わりません。同じ問題です。
PCをリセット!マルウェアを取り除きませんでした。 (複数回)
別のWindow 10 ISOをダウンロードしてUSBドライブに書き込み、何も保持しないオプションでインストールしました。どちらも動作しませんでした
HDD全体をフォーマットし、Windows 10をインストールしました。これはまったく新しいですが、まだ喜びはありません。 (複数回)
インストールせずにUbuntuを試して(そのためのオプションがあります)、Firefoxを開き、Atmelサイトに再び行きました。確かにリダイレクトマルウェアはここで正しく動作しませんか?違う!それでも別のタブが開き、別の偽のWebサイトにリダイレクトされます。
システムの完全な核を回避するために、このマルウェアはどこに隠れていますか? BIOSまたはMBRにありますか。これらのマルウェアは、システムの完全な削除後も、これらの場所で生き残ることができると私は読んだ。リダイレクトは、「onclickrev.com」を通じて、アドビの偽のWebサイトまたは愚かな減量方法に関するいくつかの広告に行われます。 MalwareBytes、Kasperskyを使用して、MBRのブートキットまたはルートキットをスキャンしました。 BIOSをチェックするものを見つけることができませんでした。
デルによるアップデートのインストール中に、ラップトップがBSODでクラッシュしたことを覚えています。それは、アドウェア/マルウェアが出現する前に起こった唯一の奇妙なことでした。
私は何をすべきか?どうすれば削除できますか?交換は私の唯一の希望ですか?私はこのコンピュータを、いかなる種類のオンライン決済や銀行取引についてもまったく信用できません。
TL; DR:新しいラップトップに感染したリダイレクトマルウェア。それを取り除くためにほとんどすべての方法を試しました!他に方法はありますか?
編集:onclickrev.comは何らかのリダイレクトウイルスであり、同じ問題が発生している人がいることがわかりました(OSの再インストールは試みていません)。このウイルスを削除するためにWebサイトが提供するソリューションの一部(信頼できるサイトでもないようです)は疑わしく見えます。完全に再インストールした後も、この状態がシステムにどのように残っているのかわかりません。 Googleで「onclickrev.comの削除」を検索して、何が表示されるか確認してください。
この広告ウイルスまたはマルウェアのリダイレクトURLはhttp://onclickrev.com/afu.php?zoneid=1220488
@ByteCommanderがコメントの1つで述べたように、この広告は、接続しているルーターから、またはISPから(直接的または間接的に)送信されている可能性が高いです。
この問題をテスト/修正するためにできること:
- 信頼できるサーバーへのSSHまたはVPNトンネルを設定します(またはTORを使用することもできます)。
- ルーターを切り替えます(自分のものであり、他の人からインターネットを「借りている」わけではない場合)。
- コンピューターのDNS設定を8.8.8.8に変更します (google dns)
これがMBRやBIOSに関係していることを真剣に疑っています。問題はあなたのUbuntu Live CDに残っているので、OSの外で何かを疑うのは正しいです...しかし、BIOSが感染している場合、コードはおそらくWindowsをターゲットにしているでしょう(C /で相互互換性のあるルートキットを書くのはかなり難しいでしょう)制限付きのC++ ROMスペース)。
これがEFIで機能するかどうかはわかりませんが、「クリーンな」システムであることが確かな場合は、MBRを上書きしてパーティションを再作成してみましたか? (Microsoft)のコードを何度も使用しています。 DEBUGコマンドラインから機能し、アセンブリコードを使用してMBRを上書きします。 BIOSのフラッシュ、MBRの上書き、HDDの再パーティション化の間に、ほとんどの厄介な作業をなくすことができます。次に、使用したブラウザにNoScript、広告ブロッカー、Ghosteryをインストールします。
もちろん、これはPC感染でのみ機能します-ルーター/ネットワークまたはWebサイト自体が危険にさらされている場合-他のアクションを実行する必要があります。
ところで、私はライブLinuxディストリビューションを使用して、PCにあるすべての適切なファイルを取り出してUSBなどに入れます。次に、それらをスキャンして「新しい」マシンに戻す前に、それらが正常であることを確認します。
ブラウザ広告かもしれません。その場合、ブラウザにログオンするたびに拡張機能/アドオンが同期され、このリダイレクトが発生する可能性があります。
コメントの@Serverfrogは、リダイレクトが潜在的にAtmleウェブサイト自体から来る可能性があると述べました。 AtmleのWebサイトにアクセスするたびに、偽のFlash Webサイトを開く新しいタブが表示されるという質問もありました。
現在、これらの新しいタブを開くのはWebサイト自体である可能性があります。この動作は、それほど「まともな」Webサイトでは一般的ではありません。クリックしたものがリンクでなくても、Webサイトでクリックするという基本的なアクションで悪意のあるポップアップが表示されます。このようなより専門的なWebサイトでは、このような動作は起こりにくく、発生した場合は、Webサイトが侵害されて悪意のあるスクリプトが挿入されたことが原因である可能性があります。
このウェブサイト はあなたが参照しているウェブサイトですか?私はそれをVirusTotalに入れ、クリーン(0/65検出)で起動しました。少なくともChrome OSでは、ページをロードしただけではリダイレクト動作が発生しません。リンクしたページとダウンロードページの両方でuBlockをオフにしても、リダイレクトはありません。
ここでの提案は、ソフトウェアのWebサイトから離れることです。この新しいタブの動作が停止した場合は、この問題の原因となっているのはWebサイト自体です。すべてのJavaScriptをオフにしてサイトにアクセスしてみて、動作がまだ持続するかどうかを確認することもできます(持続しない場合、Webサイトに悪意のあるJavaScriptがいくつかあります)。