adware adcash - Cần anh em giúp đỡ diệt tận tay
anngoc911
5 nămBình luận: 38
Số là thế này, mình có con Note 3 đang dùng ngon lành thì bỗng nhiên ngày nọ đang lướt web thì dính cái popup adcash.com rất khó chịu, sau đó nó chuyển mình sang trang quảng cáo "cảnh báo máy bạn đã bị nhiễm virus, yêu cầu tải ...." và tự động chuyển đến appstore down app gì ấy về diệt. Nghi máy bị nhiễm adware mình thử tất cả các app diệt virus, malware trên appstore về diệt cũng ko thành. Ngay cả con Ipad 2 mình đang dùng cũng vậy ko tài nào diệt được. Mình restore cả 2 máy thì cũng thế. Hôm trước mình vừa sắm con smart tivi Samsung về, ngay ngày đầu tiên kết nối wifi lướt web thử trên tivi thì trang adcash lại hiện ra, mình ko hiểu lý do tại sao dù tivi mới khui thùng nhập pass wifi lại bị dính?
Anh em tinhte có cách nào giúp mình ko, mình tìm trên google thông tin con này gần như ko có, hoặc nếu có cũng chung chung tiếng anh. Mình hậu tạ anh em rất nhiều....!
cũng bị đây, bạn thử thay modem hoặc reset lại, nếu không được kết nối mạng khác xem sao, bực với cái này vãi
anngoc911
ĐẠI BÀNG
5 năm
Đã thử reset modem nhưng ko dc, mình chịu rồi các bạn @@
Bạn thử search mấy trang nước ngoài xem, mình chưa gặp nên cũng không biết giúp sao nữa 😔 Mà nghe có vẻ nó nhiễm qua cục wifi nhà bạn rồi.
Vừa hôm nay mình cũng bị nhiễm cái này, điện thoại máy tính đều bị hết, có cách nào xử trí ko các pro ơi?
anngoc911
ĐẠI BÀNG
5 năm
Các bạn nào rành về antivirus giúp đỡ bọn mình với....
@anngoc911 Update: cách bên dưới không có tác dụng, kết luận dưới là sai, các bạn xem cách khắc phục ở #21

Tình hình là thế này bạn à, hiện tại mình đã tạm xử lý đc con adcash cho hệ thống mạng của mình rồi. Mình tạm thời rút ra kết luận nguyên nhân ban đầu của việc con adcash lây nhiễm tràn lan là do tính năng WPS trên router Wi-Fi.
Trình tự xử lý chi tiết của mình như sau:
1. Đảm bảo có đủ thông tin của nhà cung cấp dịch vụ mạng cho mạng của nhà mình
2. Reset modem về mặc định, ngắt Wi-Fi
3. Xử lý 1 máy tính để chuẩn bị cấu hình lại modem. Máy tính này cần: reset tất cả các trình duyệt web về mặc định, dùng AdwCleaner để quét và làm sạch các trình duyệt.
4. Kết nối modem vào máy tính trên qua dây LAN, bắt đầu cấu hình lại modem dựa trên các thông tin có sẵn. Lưu ý đến phần thiết lập Access Point thì chọn chuẩn là WPA2 và mã hóa AES, đặc biệt là phải tắt ngay WPS. Nên tạm thời để SSID và Pass mới để tránh các thiết bị tự động kết nối vào.
5. Trên các máy tính còn lại, xử lý tương tự máy tính trên. Trên các thiết bị Android và iOS, cũng thực hiện xóa sạch dữ liệu web (cache, cookie, ...) hoặc đưa về mặc định.
6. Đã có thể bắt đầu sử dụng lại bình thường.
Nếu vậy nhiễm mấy cái này cũng phức tạp khiếp, liên quan đến cả hệ thống 😕
Mình xin đc đính chính lại là WPS vô tội trong vụ này. Và cách xử lí đơn giản hơn nhiều, bạn vẫn cần can thiệp vào modem/router
Chuyện là thế này: Sau khi đã xử lý như post bên trên của em, đc vài hôm thì lại liên tục bị quấy nhiễu bởi 2 thằng adcash và rdsrv đến nỗi ko duyệt nổi web nữa. Thế thì vô tình vào mục chỉnh DNS thì lại thấy 1 địa chỉ rất lạ mà mình ko hề đặt vào. Vậy là thử đổi lại thành DNS của Google (8.8.8.8/8.8.4.4) thì pop-up quảng cáo đã biến mất, mọi thứ trở lại bình thường.*
Như vậy, 1 trang web nào đó đã ép modem/router sử dụng địa chỉ DNS này, và từ đó mọi thiết bị kế nối vào router này sẽ xuất hiện các quảng cáo mà DNS đó đưa vào. Ban đầu, mục DNS này là mình để Auto (tức ko có gì), nhưng router đã tự động bị dùng DNS này. Hiện tại, cách xử lí sẽ là đặt DNS khác, cụ thể là của Google (8.8.8.8, 8.8.4.4) hoặc OpenDNS (208.67.222.222, 208.67.220.220) để router ko có cơ hội dùng DNS khác.
*: Đối với các thiết bị iOS, bạn cần "Quên mạng này" của Wi-Fi bạn đang dùng rồi kết nối lại để các thiết lập cũ bị xóa đi và lấy thiết lập mới (bởi vì iOS sẽ sao chép DNS từ router vào Wi-Fi bạn đang dùng). Còn đối với Android thì mình chưa thử nhưng bạn cũng nên làm theo cách tương tự. Còn với máy tính, mình thấy máy tính ko sao chép lại DNS từ router, tuy nhiên bạn cũng nên kiểm tra lại.

Hình 1: DNS lạ bị phát hiện
IMG_0264.JPG

Hình 2: Ví dụ về nơi đổi DNS ở modem/router

DNS.png
anngoc911
ĐẠI BÀNG
5 năm
@causelove94 Đã thử và thành công. Mình đã test và ra 1 địa chỉ DNS rất lạ, copy dán lên google thì trang nước ngoài liệt nó vào danh sách trojan. Cám ơn bro rất nhiều. Cho topic lên top share cho anh em về trường hợp này
@causelove94 Mình bị giống bạn, modem tp link nhưng sao mình không đổi được DNS (đã reset modem, nhập 8.8.8.8/8.8.4.4 xong bấm save, thoát ra rồi vào kiểm tra lại nó vẫn n/a). Hay modem bị virus nó ngăn không cho sửa DNS.
@dungatvt Bạn thử dùng 1 trình duyệt IE để vào xem, nhiều khi Firefox hay Chrome lưu ko ăn đâu, lúc bạn ấn Save trình duyệt nó phải nháy 1 cái load lại thì mới được
romeo_133
TÍCH CỰC
5 năm
Đã thank và phải note lại để sau có khi cần 😃
anngoc911
ĐẠI BÀNG
5 năm
Đã làm theo cách trên. Quét bằng chương trình Kaspersky Bitdefender và các phần mềm nổi tiếng khác... cuối cùng DNS trong modem vẫn bị thay đổi một cách vô lí... Đã reset modem Tplink TD-8817 về lúc xuất xưởng nhưng bó tay. Lên google thấy modem này bị hack hàng loạt. Bạn cho mình hỏi bạn quét bằng chương trình gì vậy?
@anngoc911 Công nhận như bạn nói, đổi DNS xong chỉ đc vài bữa là lại xuất hiện 1 DNS lạ khác bị cài vào modem. Về máy tính thì mình có thể đảm bảo là máy mình hoàn toàn sạch, bỏ qua khả năng máy tính còn virus rồi lây sang modem. Thế nên mình nghĩ vấn đề ở đây là chúng ta đã vô tình truy cập vào 1 trang web nào đó có malware, và từ đó modem bị malware này tấn công, và ko nhất thiết phải là truy cập bằng máy tính, vì mấy nay mình toàn dùng iPhone để lướt web, mà iOS thì có tiếng là an toàn, thế nên việc modem bị tấn công có thể là hoàn toàn chỉ do "1 trang web".
Mình có xem qua 1 số trang nói modem bị hack DNS nhưng ko có câu trả lời nào, vậy cách duy nhất bây h là thử upgrade firmware cho modem để mong rằng nhà sản xuất đã fix lỗi trong bản firmware mới nhất.
Riêng với trường hợp của mình, do modem là của VNPT cung cấp, firmware cài vào ko phải là của nhà sản xuất TP-Link nữa rồi (đăng nhập ko phải là admin mà là megavnn), nhiều trang nói nếu up firmware cho modem do nhà mạng cung cấp sẽ làm cho modem die tức thì, thế nên mình ko thể thử cách này, đành phải theo dõi đổi lại DNS thường xuyên.
Nếu modem của bạn là chính hãng, ko liên quan đến nhà mạng, còn cả bảo hành thì tốt, bạn có thể thử up firmware. Tuy nhiên đây là 1 công việc hết sức nguy hiểm, bạn cần cẩn trọng và tìm hiểu kĩ trước khi làm để tránh up nhầm firmware, up ko đúng cách dẫn đến modem bị die.
Cùng cảnh ngộ với bạn. Tối hôm qua đổi DNS ngon lành, tối hôm nay lại bị trang adcash làm phiền. Kiểm tra lại modem thấy DNS đã bị thay đổi. Chắc phải thay modem mới.
anngoc911
ĐẠI BÀNG
5 năm
Không lẽ bó tay rồi sao 😔 Lên top cho mọi người gặp được quới nhân
Tìm đc 1 bài báo nói về vấn đề của anh em mình: http://anninhmang.net/tin-tuc-an-ninh-mang/modem-tp-link-bi-tan-cong-thay-doi-cau-hinh/ . Đó là lỗ hổng ZynOS. Từ đây hacker có thể dễ dàng lấy đc mật khẩu truy cập của modem. Và chính vì thế việc modem bị thay đổi cấu hình tự động là điều quá dễ hiểu! Làm như bài báo nói, khi truy cập vào địa chỉ 192.168.1.1/rom-0 , chúng ta sẽ tải về đc 1 file ko có đuôi, dựa vào 1 số công cụ đc cung cấp công khai trên mạng như tại trang web này: http://www.routerpwn.com/zynos/ , các bạn up file rom-0 của mình lên và sau khi giải mã, mật khẩu truy cập modem đã hiện nguyên hình. Mấy nay DNS bị đổi lại có chiều hướng khác, thay vì hiện pop-up quảng cáo thì gửi luôn mã độc vào những trang web phổ biến nhất như google, facebook, thực sự là quá nguy hiểm! Ảnh dưới cho thấy phần mềm AVG đã phát hiện ra virus Fake Flash từ chính trang chủ Google, mà ko nhầm thì con này cực kì nguy hiểm. Sau khi AVG diệt con virus này xong thì trang web cần đến gần như ko truy cập đc hoặc rất chậm. Vào đổi lại DNS, khởi động lại máy tính thì hết, nhưng chỉ 1 nhoáng sau lại bị thay bằng DNS khác! Bây giờ, ko thể xác định đc trang web nào chứa mã độc để chặn, up firmware thì ko đc mà có vẻ TP-Link họ cũng ko fix (ko thấy ghi trong changelog). Chắc là phải mua modem mới quá các bác ạ. Em đang tính mua 1 con Wi-Fi xịn xịn chút. Lúc đầu định mua Linksys nhưng mà giá chát quá, hiện tại đang nhắm đến con Asus RT-N12 D1. Nhưng mà hầu như cục Wi-Fi bây h thì toàn là chỉ có router mà thôi (ko có cổng ADSL mà chỉ có cổng WAN). Vậy h phải mua cả modem nữa, mà loại này thấy ít thông tin quá, mà cũng toàn D-Link với TP-Link cả! 😔 (trước đây mình cũng từng dùng 1 modem của D-Link và nó ko đc bền cho lắm, dùng đc có 3 năm thì hỏng hoàn toàn)
avg.png
tam1104
ĐẠI BÀNG
5 năm
hoàn toàn nhất trí với bác @causelove94 , máy em giờ ở nhà bị 1 ios, 1 android, 1 máy bàn, 1 laptop. Em đã liều upgrade con TP-link firmware mới nhất TD-8817 mà vẫn bó tay với con adware này.
- Hướng xử lí của em như bác @causelove94 hướng dẫn nhưng vẫn ko dc. Máy bàn của em thì lại ko bị ảnh hưởng => nó lây wa cục wifi tp-link thì phải vì laptop vào web rất chậm. Iphone thì bị dính pop-up kiểu như trên hoài luôn, Z1 cũng bị.
@causelove94
theo bác thế này thì phải đổi không dùng router tp-link nữa ạ, nghe bác nói em đang muốn táy máy reset hoặc up firmware mà hết dám thử? mấy hôm nay nhà em đang bị thế này tức quá, có 3 thiết bị iOS trong nhà nhiễm hết rồi, các máy tính thì lại không làm sao. phải lập hẳn nick trên đây để vào hỏi vụ này
Hôm nay bạn @darioterios nói mới nhớ ra, cách đây gần 1 tháng em có thử 1 cách ở trên mạng, và từ đó tới nay bình yên đã quay trở lại với em, DNS đã không còn bị đổi nữa. Vậy hôm nay em xin được trình bày lại cách đó để mọi người áp dụng. Đây là cách tạm thời để ngăn chặn sự truy cập trái phép của các mã độc vào modem/router nhằm thay đổi các thông số cấu hình của chúng ta. Cách này sẽ không cần mua mới hay đổi thiết bị, không cần reset modem/router, cũng không cần up firmware gì cả. Nó sẽ ngăn con đường truy cập vào modem/router thông qua trình duyệt. Đã test với 2 con TP-Link TD-8951ND và TD-8840T đều ngon!
Vì sao chúng ta dùng cách này thì các bác đọc ở #18 để tìm hiểu nhé.
Đây là 2 nguồn mà em đã tham khảo:
http://egyptianvulture.blogspot.com/2014/06/how-to-fix-zynos-vulnerability-prevent.html


Và dưới đây em sẽ trình bày lại cụ thể cho mọi người, nhìn dài dài nhưng mà rất dễ làm thôi.
1. Trước hết để đảm bảo thì mọi người hãy ngắt hết các client, tốt nhất là chỉ để 1 máy tính kết nối với modem/router qua cổng LAN và ngắt Wi-Fi

2. Thay đổi mật khẩu quản trị của modem/router, đổi thành gì cũng được miễn là khác trước (bởi vì mật khẩu cũ đã bị lấy cắp bởi các trang web)

3. Mở Command Prompt (có thể vào Run gõ cmd rồi enter)

4. Gõ dòng lệnh sau: telnet 192.168.1.1 (nếu địa chỉ IP của modem/router của các bạn khác thì đổi tương ứng)

Nếu gõ lệnh mà cmd báo 'telnet' is not recognized ... như hình dưới thì các bạn làm như sau:
telnet is not recognized.png

Vào Control Panel -> Programs and Features -> Turn Windows features on or off rồi tick vào mục Telnet Client và ấn OK. Đợi máy cài xong chúng ta mở cmd và làm lại.

telnet client.png

5. Sau khi gõ lệnh ở bước 4, chúng ta nhập mật khẩu quản trị modem/router vào rồi enter

6. Các bạn lần lượt gõ vào chính xác 8 dòng lệnh sau như hình (có thể copy paste cho chuẩn bởi vì không được sai, nếu sai có thể sẽ phải reset modem/router):
  1. sys server load
  2. sys server access ftp 1
  3. sys server access web 1
  4. sys server access icmp 1
  5. sys server access tftp 1
  6. sys server access snmp 1
  7. sys server access telnet 2
  8. sys server save
telnet10.png

7. Lúc này về cơ bản là ta đã xong. Nếu các bạn thử truy cập vào trang quản trị modem/router thông qua trình duyệt thì sẽ vô tác dụng -> các trang web sẽ không thể lấy rom file để lấy cắp mật khẩu của chúng ta nữa.

* Thế nếu trong trường hợp chúng ta muốn truy cập vào trang quản trị để thay đổi cấu hình thì sao, rất đơn giản, các bạn chỉ cần làm như sau: thực hiện các bước 1,3,4 rồi nhập mật khẩu và gõ các lệnh sau:
  1. sys server load
  2. sys server access web 2
  3. sys server save
Sau đó thực hiện vào trang quản trị, cấu hình theo ý định rồi trở lại cmd và đóng lại đường truy cập bằng cách gõ:
  1. sys server access web 1
  2. sys server save
Xong!

telnet 3.png

Cách xử lý một số vấn đề gặp phải:
Nếu đang gõ lệnh mà lỡ nhập sai xong không xóa không nhập thêm gì được (ấn nút gì máy cũng kêu ting ting) thì chỉ cần tắt cmd đi, khởi động lại modem/router rồi làm lại là được.
Ngoài ra nếu có thắc mắc gì các bạn để lại comment để mình nghiên cứu thêm nhé!

Mình đã soạn lại bài hướng dẫn này tại trang web cá nhân của mình, tổng hợp phân tích nguyên nhân, các bạn có thể vào đọc thêm tại đây: http://ngodung.tk/cach-xu-li-pop-up-quang-cao-adcash-rdsrv-hoanh-hanh-tren-moi-thiet-bi/
1/ cau hinh lai m0dem,R0UTER

chi ch0 phep 1 d/c MAC(IP) truy cap quyen admin la 0K nhe

2/ disable Java scrip va Flash tren dt, PC
thanhmeomay
ĐẠI BÀNG
5 năm
hóng các thánh. tình hình là máy bàn nhà em cũng ko bị sao. 2 cái laptop + 3 cái windowphone + 1 android đều dính cái khỉ gió này. chắc em chết quá
@thanhmeomay Bạn có làm theo cách mình viết ở #21 nhé! Tất cả các thiết bị đến cả Windows Phone và iOS vốn bảo mật rất tốt đều dính thì nhiều khả năng là do thiết bị mạng (modem/router). Bạn hãy đọc tất cả các bình luận của topic này để hiểu rõ hơn nhé! Máy bàn của bạn ko bị có thể là do dùng cổng LAN lấy từ thiết bị mạng khác, còn các thiết bị không dây bắt Wi-Fi từ 1 thiết bị mạng khác => thiết bị Wi-Fi cần đc xử lý.

Bạn @darioterios nói các máy tính ko bị thì cũng có thể là như trường hợp của bạn này hoặc nếu bạn dùng add-ons chặn quảng cáo trên trình duyệt (ví dụ như Adblock Plus) thì nó cũng tự động chặn pop-up giúp bạn nên có thể sẽ ko thấy.
anngoc911
ĐẠI BÀNG
5 năm
Thay modem mới cho an toàn các bạn à, mình vừa thay modem thì hiện trạng ko còn nữa. Dùng phần mềm diệt víu cũng vô ích, nó chỉ quét được trên ổ cứng chứ ko can thiệp vào modem được.
anngoc911
ĐẠI BÀNG
5 năm
@causelove94 vừa gọi lên VNPT yêu cầu thu modem về rồi thì thấy bài của bạn, tiếc quá. Mình sẽ lưu lại cho các bạn sau này cần, tks!
Cá nhân
Bạn
Hi bạn!
Điểm Reward Store: 
Tuổi Tinh tế: 
Cấp độ thành viên Tinh Tế


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store



Cộng đồng nổi bật




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019