redirigir localhost a otro sitio ... ¿troyano?

Como título, parece que hay un troyano en mi servidor
cuando pongo una URL como

localhost / mysite

redirige al sitio free-merchants.com y luego regresa a mi sitio ...
Pero si pongo

127.0.0.1/mysite

todo funciona correctamente ...
Entonces, ¿qué es? Escaneo con avast y malwarebytes y sin virus ...
Con HijackThis no puedo ver nada extraño ... Los hosts de archivos solo tienen fila

127.0.0.1 localhost

Puede ser un error de mi servidor web que se ejecuta con

Apache / 2.2.21 (Win32) PHP / 5.4.32

¿O qué debo escanear?

apache-http-server localhost trojan Onofrio De Divitiis
fuente

Tal vez el navegador está comprometido?

Moab

¿Qué sucede si haces ping localhost? ¿Sale a una IP externa?

ethanwu10

Respuestas:

Yo también tengo el mismo problema.

Parece un troyano oculto en una de las extensiones de Chrome. Simplemente no sé cuál.

He encontrado esta página web sobre el mismo tema: http://www.eenyhelp.com/answer/bug-811371-chromium-unwanted-redirection-chromium-help-215926861.html

Manera rápida y sucia de bloquearlo: bloquea el acceso a www.free-merchants.com (ya sea en el enrutador o al menos en el archivo de hosts en la PC local)

Forma correcta: encuentre la extensión culpable y desactívela.

Honza Skýpala
fuente

Gracias, el problema era la extensión "Traducir selección" ... Desactivado no hay problema ahora

Onofrio De Divitiis

La gran pregunta ahora es si eso es solo lo que hizo o si debería considerar su PC comprometida. (por ejemplo, ya no confía en nada. No hay banca por Internet, ni Amazon, ni paypall, ... ....). Al menos no hasta la eliminación y la reinstalación completas

Hennes

Supongo que la PC no está comprometida. Chrome Extension se está ejecutando en el sandbox de la página web y de lo contrario no debería poder infectar la PC. La otra pregunta sería si sus contraseñas se vieron comprometidas, lo que podría suceder a través de la redirección. Tal vez sea hora de cambiar las contraseñas en las páginas web que usa con frecuencia. Y eventualmente habilite la autenticación de dos factores, si el servicio lo permite.

Honza Skýpala

Extensión de "incógnito esto" en mi caso.

Zenklys

En mi caso también fue 'Traducir selección'. ¿Podría ser que algún tipo de programa de malware modifica estas extensiones después de la instalación? No creo que vengan infectados de la tienda ...

ebutusov

Para mí fueron las extensiones de Chrome "Facebook Album Downloader". Desactivar y se va. Lo informé en la tienda de Chrome. Deberías hacer lo mismo.

Lo encontré desactivando todas las extensiones de Chrome y luego volviéndolas a activar una por una hasta que aparezca el problema.

B3ret
fuente

¡Para mí fue este álbum de Facebook! chrome.google.com/webstore/detail/download-facebook-album/…

chodorowicz

Exactamente el mismo para mí.

B3ret