Przeglądarki przekierowują na poziom3.com, jeśli domena nie istnieje

1

Jeśli podam nieprawidłowy adres URL, moja przeglądarka Firefox czasami przekierowuje mnie na http://searchguide.level3.com

  1. Dzieje się tak również w Chrome.
  2. Uruchomiłem ponownie Firefoksa w trybie awaryjnym i nadal tak się dzieje
  3. Uruchomiłem ponownie system Windows 10 w trybie awaryjnym i nadal tak się dzieje
  4. Zainstalowałem Hitman Pro Alert. Skan nie znalazł niczego i nie mógł zapobiec przekierowaniu.
  5. Mój plik HOSTS jest czysty.
  6. Moje ustawienia Ethernet Właściwości IPv4 korzystają z DNS Google: 8.8.8.8 i 8.8.4.4
  7. Jedyny inny problem, jaki mam, to wizyta na stronie http://www.moneysavingexpert.com, która wytwarza wiele wyskakujących okien, chyba że wyłączę skrypty.
  8. Mam zainstalowany Comodo Internet Security (program antywirusowy i zapora ogniowa), który niczego nie identyfikuje.

Jakieś inne sugestie?

windows ip malware browser-tabs iantresman
źródło
Czy sprawdziłeś w Ustawieniach zaawansowanych dla IPv4, że Google DNS są jedynymi określonymi dla Twojej karty sieciowej?
Kārlis K.
Strzał w dziesiątkę! Znaleziono nowe wpisy @ 82.163.143.157 i 82.163.142.159 (1) Można by pomyśleć, że główny ekran DNS wskazywałby, że ustawienia nie są wyświetlane. (2) Jakiś sposób, aby dowiedzieć się, co wstrzyknęło ustawienia?
iantresman
Zwykły panel ustawień IPv4 wyświetla tylko dwa pierwsze wpisy na liście wyszukiwania DNS, dlatego dodatkowe wpisy można „ukryć” ... Jeśli żadne oprogramowanie antywirusowe / antywirusowe nie wykryje niczego w twoim systemie, zakładamy, że cokolwiek to zrobiło, nie jest już w twoim systemie, mogło to być coś w rodzaju zdarzenia na czas, które można uzyskać odwiedzając niebezpieczną lub zainfekowaną stronę (czasami nawet Reklamy na całkowicie bezpiecznej stronie mogą dostać twój komputer zarażony).
Kārlis K.
Możesz wypróbować Sophos Home ... wydaje się, że ostatnio specjalizują się w łapaniu i wykrywaniu kryptowalut i różnych porywaczy.
Kārlis K.
Jakie są wyniki działania nslookup w dowolnej domenie, która przekierowuje cię do poziomu 3? Czy dzieje się tak również w przypadku innych komputerów w tej samej sieci?
Patrick R.

Odpowiedzi:

1

Jest również bardzo prawdopodobne, że korzystasz z bezpłatnych publicznych serwerów DNS między 4.2.2.1 a 4.2.2.6. Ten zakres adresów IP jest obsługiwany przez sieć poziomu 3 , więc konfiguracja ich DNS zasadniczo przekierowuje cię do ich wyszukiwarki. Zobacz: Co to jest 4.2.2.2?

Oto proste wiersze poleceń powłoki * nix do sprawdzenia:

$ dig non-existing.domain
        ︙
;; ANSWER SECTION:
non-existing.domain.    10  IN  A   104.239.213.7
non-existing.domain.    10  IN  A   198.105.254.11
        ︙

$ dig non-existing.domain | grep SERVER
;; SERVER: 4.2.2.1#53(4.2.2.1)

W takim przypadku możesz zmienić serwer DNS na

  • ten, który twój ISP zapewnia dla twojej sieci,
  • Twój lokalny DNS, taki jak brama / router 1 ,
  • Google Publiczny DNS: 8.8.8.8i 8.8.4.4lub
  • OpenDNS: 208.67.222.222i208.67.220.220

Pamiętaj, że niektóre serwery DNS udzielą odpowiedzi zawierającej adres IP wyszukiwarki w przypadku nieistniejących nazw domen. Inni nie udzielą żadnej odpowiedzi. Wiele osób jest zirytowanych przekierowaniem do wyszukiwarki, ale takie zachowanie nie jest z natury złośliwe.

Powiązane: Nieistniejące adresy URL przekierowują do „przewodnika wyszukiwania - poziom 3” w Safari w Apple.SE
_______________
1 oczywiście wtedy musisz się martwić o to, jakiego prawdziwego serwera DNS używa twoja brama / router.

kenorb
źródło
Zredagowałem twoją odpowiedź, aby wyjaśnić, że przy pierwszym digpoleceniu nie wyświetlasz pełnego wyniku polecenia. (Zobacz komentarze w przecenach dla innych opcji.) Wprowadź podobne zmiany do swojej odpowiedzi w Ask Different , ponieważ nie mam tam konta. Zastanów się również, czy powiesz coś o znaczeniu ->>HEADER<<-linii (tj. statusPole NOERRORvs. NXDOMAINi ANSWER: 1vs. ANSWER: 0).
Scott
0

Przeprowadzenie wyszukiwania 82.163.143.157 pokazuje, że ten adres IP pochodzi z Izraela. Co wydawało mi się podejrzane. Rozglądając się po Internecie, widzę, że zakres adresów IP 82,163 zawiera wiele artykułów związanych z DSNUnlocker, który jest programem Malware / Adware. Powinien zajrzeć do katalogu zainstalowanych programów i zaplanowanych zadań, jak pokazano w https://forums.malwarebytes.com/topic/172208-removal-instructions-for-dns-unlocker/ .

Javier Fonseca
źródło
Tak, też to widziałem. Ale nie mogę znaleźć żadnych oznak złośliwego oprogramowania, zwłaszcza zainstalowanego DNSUnlocker.
iantresman
0

Mogę potwierdzić, że winowajcą był DNSUnlocker, ale nie mam pojęcia, który program go zainstalował. Chociaż Hitman Pro nie był tak skuteczny, jak się spodziewałem, następujące dwa programy były doskonałe, identyfikując i kwarantannie wiele złośliwych programów:

  1. Malwarebytes AdwCleaner (bezpłatny)
  2. Malwarebytes (wersja darmowa) Szkoda, że ​​wersja premium jest tak droga.
iantresman
źródło