#1 - 2017-9-22 17:31
海盗丸子
如果有网友在卡饭有账号,能登陆能发帖,麻烦诸位把这个帖子在卡饭的“国外杀毒软件—>avast区”复制过去发表一下,万谢。
(我的卡饭账号由于长期未登录,已经被冻结了,解冻后告诉我等级不够发帖……)

我现在使用的是Avast杀毒软件,今年开通了高级版的付费功能,这个Avast杀毒软件用了很长时间,除了有时会误删软件外,没发现其他毛病。

但就在这几天,在使用Avast高级版的过程中,频繁遇到两个让我感到恐慌的问题:

1、使用Avast智能扫描后,有时会出现“DNS劫持”的警告结果,说是我使用的TP-LINK路由器被劫持了,有一些域名被篡改。

由于每次智能扫描过后,Avast给出的警告结果都不一样(主要是被篡改的域名数量与种类不一样),有时候还显示网络没问题没有被劫持,一会儿笑脸一会儿哭脸的检查结果让我很不安。

以下是我记录下来的,Avast在这段时间里曾经显示过的篡改域名目录:
google.com.uk
google.com.br
google.de
twitter.com
facebook.com
instagram.com
pinterest.com

丫丫个呸的,这里必须有骂声,除了一个推特逛过没几次,其余的网站一个都没去过,何来篡改劫持一说?

2、Avast高级版有一个自带的防火墙功能,这个防火墙功能有一个“防火墙日志”的选项,可以点击查看近段时间里的防火墙拦截目录,以前只点击过一次,能够正常显示,之后很长一段时间里都没有点击过。

但就在这几天,每当我点击这个日志,Avast就会程序崩溃,有时候系统还会弹出是否要强制关闭Avast(程序未响应),这个到底要怎么解决,是重新安装Avast还是重装系统?后者本来要考虑年末再折腾的。
#2 - 2017-9-22 17:32
海盗丸子
由于前段时间在Bangumi发主题帖被神秘吞贴一次,特意改了一遍密码,不知道这次会不会被再次吞贴
#3 - 2017-9-22 17:51
麦糕 (Original Flavor)
试试换DNS
#3-1 - 2017-9-22 18:16
海盗丸子
按照杀软的指示换成了谷歌御用DNS,貌似是没事了,过了一会儿发现彻底断网了……重启之后又没事了。
话说怎么才能确认自己的电脑是不是变成肉鸡了?
#3-2 - 2017-9-24 14:41
LunarShaddow🌙
宴夜曲 说: 按照杀软的指示换成了谷歌御用DNS,貌似是没事了,过了一会儿发现彻底断网了……重启之后又没事了。
话说怎么才能确认自己的电脑是不是变成肉鸡了?
啥肉鸡,篡改的都是我党,8888时不时就会连不上,不能解析当然就像是断网了
#3-3 - 2017-9-29 23:20
海盗丸子
LunarShaddow 说: 啥肉鸡,篡改的都是我党,8888时不时就会连不上,不能解析当然就像是断网了
只要不是机器或账户的问题就不担心……
#4 - 2017-9-22 18:39
頂上ノ月🌙 (DD雷达搜寻中...?)
我装杀毒软件从来不是为了杀毒
现在电脑里的火绒只是因为它的小工具刚好够我用(bgm37)
#5 - 2017-9-22 19:22
chitanda@Lv2 (Make Bangumi Great Again!)
哈哈哈这几个域名被DNS劫持不是很正常吗。。你去解析下会发现都指向某个特定IP

顺带一提路由器看有没有被劫持很简单,进到WEB管理设置页面里看他的DNS服务器设置里有没有奇奇怪怪的ip
#5-1 - 2017-9-22 19:24
chitanda@Lv2
第二个问题十有八九是avast自己的问题。。重装下估计就好。。其实如果你可以找到他的日志目录的话直接删了没准就好了。。我猜可能是日志文件里有特殊字符啥的处理不了出bug了也没准
#5-2 - 2017-9-22 20:09
海盗丸子
chitanda@Lv1 说: 第二个问题十有八九是avast自己的问题。。重装下估计就好。。其实如果你可以找到他的日志目录的话直接删了没准就好了。。我猜可能是日志文件里有特殊字符啥的处理不了出bug了也没准
我用的这个路由器的设置页面里好像没有你提到的“可以看到有没有奇怪IP的DNS服务器设置”,DNS默认都是0000,全让我改成谷歌老流氓的8888and8844了,自己电脑的MAC和IP已绑定(虽然没多大用处),设备管理里,暂时没看到陌生的设备登录。

avast确实出过类似的问题,刚查明的,网上给出的终极办法就是重装电脑,删了疑似日志的东西,还是崩溃,老老实实重装电脑吧,唉……
#5-3 - 2017-9-22 20:25
菜叶
宴夜曲 说: 我用的这个路由器的设置页面里好像没有你提到的“可以看到有没有奇怪IP的DNS服务器设置”,DNS默认都是0000,全让我改成谷歌老流氓的8888and8844了,自己电脑的MAC和IP已绑定(虽然没多...
国内直接向 8888 和 8844 查询也会被劫持吧,如果没有走隧道的话
#5-4 - 2017-9-22 21:42
海盗丸子
菜叶 说: 国内直接向 8888 和 8844 查询也会被劫持吧,如果没有走隧道的话
好吧,我还是改回原来的默认0000吧
#5-5 - 2017-12-4 20:13
星空仰望者
宴夜曲 说: 好吧,我还是改回原来的默认0000吧
可以改为百度的dns:180.76.76.76
#6 - 2017-9-22 19:30
chitanda@Lv2 (Make Bangumi Great Again!)
其实都2017年了,现在黑产的目标基本上都不再是传统的二进制病毒了。因为性价比太低。。除非还在用XP之类的,不然电脑中毒的概率已经很低了
#6-1 - 2017-9-22 20:11
海盗丸子
一般来说,买了新主机新设备,怎样才能尽可能地减少变成肉鸡的可能性?
#6-2 - 2017-9-22 20:22
菜叶
宴夜曲 说: 一般来说,买了新主机新设备,怎样才能尽可能地减少变成肉鸡的可能性?
安装 FreeBSD (bgm38)
#6-3 - 2017-9-22 21:43
海盗丸子
菜叶 说: 安装 FreeBSD
(bgm38)那么困难的安装工具……我还是放弃的好
#6-4 - 2017-9-22 21:48
ouoω
宴夜曲 说: 那么困难的安装工具……我还是放弃的好
freebsd还好吧, 安装程序和debian接近, 可能还短一些
#6-5 - 2017-9-22 22:34
Rくん
那现在黑产的目标是啥?社会工程学?
#6-6 - 2017-9-23 00:14
chitanda@Lv2
Rくん 说: 那现在黑产的目标是啥?社会工程学?
web漏洞,各种实名制啥的,论坛拖个库比木马病毒不爽的多。。不过木马病毒也还有,客户端病毒主要集中在移动端。PC端确实不多了
#6-7 - 2017-9-26 10:10
Franklin Yu
chitanda@Lv1 说: web漏洞,各种实名制啥的,论坛拖个库比木马病毒不爽的多。。不过木马病毒也还有,客户端病毒主要集中在移动端。PC端确实不多了
移動端也有病毒?不是有 sandbox 麼?
#6-8 - 2017-9-29 10:15
事实是柿子 - ⭐️VIP3
Franklin Yu 说: 移動端也有病毒?不是有 sandbox 麼?
不是经常有新闻说吗,被手机病毒骗了xxxxRMB
点进去一看都是人家给弹了个窗,这人就乖乖的把密码什么的输进去了(bgm38)活该
#6-9 - 2017-9-29 10:31
lhb5883-吹冈王♛⑩
mono 说: freebsd还好吧, 安装程序和debian接近, 可能还短一些
问题是装完以后的Xwindow丑出境界,吓得我回到祖传命令行,不过也是十几年前的事情了,不知道现在怎么样了
#6-10 - 2017-9-29 20:40
ouoω
lhb5883-污喵王VIP⑩ 说: 问题是装完以后的Xwindow丑出境界,吓得我回到祖传命令行,不过也是十几年前的事情了,不知道现在怎么样了
xwin醜是正常的.
要花的有kde/gnome, 要簡樸的有xfce/lxde, 都比xwin的默認能看.
#7 - 2017-9-23 22:53
fantasy (Q, Σ, Γ, δ, q0, Z0, F)
难道不是O指挥的?
#8 - 2017-9-23 23:00
frank1998sj (不想上班)
DNS劫持在国内属于正常现象
#8-1 - 2017-9-26 08:42
橘枳橼
劫持✖
污染✔
#8-2 - 2017-9-29 23:22
海盗丸子
InQβ 说: 劫持✖
污染✔
这话不假,只是分辨不清哪个属于污染
#8-3 - 2017-10-5 16:19
橘枳橼
宴夜曲 说: 这话不假,只是分辨不清哪个属于污染
劫持类似现实中的劫持:通过盗用邮箱或者DNS的账号(如果有的话)从原本的持有者那里获得域名的所有权,是对域名所有权的干扰。
污染类似网络上的水军:成天在你耳边BB“XX是错的,OO才是对的”,干扰视听。
#9 - 2017-9-28 13:09
東瀬まつり🦋❄️🐻💎🐺🍎🐠 ([s]安静点格子[/s] ☄️⚓ ☁️⭐️)
lz应该是身在大陆吧
那样的出现那些网站dns返回结果错误是很正常的情况,这也是墙的一部分。
dns用8.8.8.8或者8.8.4.4都可以继续用没问题,并不会因为换个dns就有改变的。
如果想要修好这个问题,请搜索 dnsmasq+pdnsd
#9-1 - 2017-9-29 23:22
海盗丸子
感谢支招
#10 - 2017-9-28 14:59
粒织
改回0000是不是自动获取运营商的DNS?运营商的DNS简直已经家常便饭。。。
8.8.8.8或者8.8.4.4在国内丢包也是家常便饭(bgm38)
现在个人也在用Avast高级版,路由和电脑里都设置了固定的DNS,改了DNSPod的公共DNS,
至少暂时没有发现投毒,感兴趣的可以搜索一下~
至于小A的崩溃就不清楚了,我的小A貌似还挺乖。。。
然而没有卡饭账号(bgm38)(bgm38)(bgm38)
#10-1 - 2017-9-29 23:28
海盗丸子
怎么改我稍微会点,就是不知道改哪些数字能保险。

顺带问下,你们那边有DHCP服务器的设置吗?
#11 - 2017-9-29 08:30
Cushyi (=超監督=)
DNS可以试试1.2.4.8
你可以检查一下hosts
#11-1 - 2017-9-29 23:30
海盗丸子
谢谢,日后备用着,不知道到时候又会出什么幺蛾子的事情

检查hosts……14年的时候,倒是在谷歌吧沦陷前,把谷歌吧那边给出的hosts列表复制粘贴了一份,现在用的还是他们当年给的Hosts
#12 - 2017-9-29 10:28
lhb5883-吹冈王♛⑩ (BGMのTrinitas<=>婊冈妈<=>补冈妈<=>拜冈妈 三位一体 ...)
这是tg对lz的爱护 (bgm38)
虽然确实是是在运营商路由器上搞得dns污染,不过avast识别成tplink也是智障,
另外现在浏览器都有预读取,所以没点的链接也会预加载。
#12-1 - 2017-9-29 23:32
海盗丸子
原来还有预读取这回事,谢谢。
顺便,年底准备入手其他厂家的路由器,马甲厂的TP-Link太让人失望了。
#12-2 - 2017-12-4 20:16
星空仰望者
还好我从来都不开预读取
#12-3 - 2017-12-4 20:52
lhb5883-吹冈王♛⑩
星空仰望者 说: 还好我从来都不开预读取
这个现在都是默认开的吧?除非是IE默认不开。
#12-4 - 2017-12-4 20:58
星空仰望者
lhb5883-污喵王VIP⑩ 说: 这个现在都是默认开的吧?除非是IE默认不开。
不知你说的是系统还是浏览器,我用的谷歌浏览器都一直不开。
#12-5 - 2017-12-4 22:14
lhb5883-吹冈王♛⑩
星空仰望者 说: 不知你说的是系统还是浏览器,我用的谷歌浏览器都一直不开。
谷歌浏览器默认就是开的
ie是11新加的,都是默认开的。
#12-6 - 2017-12-5 15:32
星空仰望者
lhb5883-污喵王VIP⑩ 说: 谷歌浏览器默认就是开的
ie是11新加的,都是默认开的。
可以关的吧?我这可以关闭。
#12-7 - 2017-12-5 19:43
lhb5883-吹冈王♛⑩
星空仰望者 说: 可以关的吧?我这可以关闭。
预读取 预加载 还有dns预查询你关的是哪个?(bgm38)
#12-8 - 2017-12-6 14:47
星空仰望者
lhb5883-污喵王VIP⑩ 说: 预读取 预加载 还有dns预查询你关的是哪个?
预读取
#12-9 - 2017-12-6 14:49
星空仰望者
lhb5883-污喵王VIP⑩ 说: 预读取 预加载 还有dns预查询你关的是哪个?
刚才我百度了一下,大致明白了,谢谢。
#13 - 2017-10-1 00:37
漫步ACG (好想穿越去二次元)
对于DNS的设置建议,如果不是走中转服务器的话,建议还是改回国内的吧,因为除了可能被干扰特种情况,还有可能解析延迟、无CDN优化等问题。
#14 - 2017-10-5 20:11
疾風迅雷のナイトハルト
不用杀软的路过
#15 - 2017-10-23 20:01
妹抖猫四 (喵)
前几天我在的某个群里也有人问一模一样的问题,不会是LZ吧【笑

顺便一提我的ESET Smart Security用UDP查那几个域名走国外的DNS也会提示检测到DNS投毒攻击。
#15-1 - 2017-10-29 21:48
海盗丸子
(bgm38)没准是我,不过我在群里询问的时候没人理我
#16 - 2017-10-29 22:13
lhb5883-吹冈王♛⑩ (BGMのTrinitas<=>婊冈妈<=>补冈妈<=>拜冈妈 三位一体 ...)
说起来Google要搞dns over tls了
#16-1 - 2017-11-2 20:19
海盗丸子
据说会整合到安卓系统里面,日后只要管用,我天天喊谷歌大法好(bgm38)
#16-2 - 2017-11-3 12:03
lhb5883-吹冈王♛⑩
宴夜曲 说: 据说会整合到安卓系统里面,日后只要管用,我天天喊谷歌大法好
证书reset不要再easy(bgm38)
#17 - 2017-11-2 20:55
无知之幕 (虚惊一场最好)
第一段讲的跟鬼故事似的(bgm38)
#18 - 2017-11-2 22:10
当歌 (不易相处)
我只记得Avast会把你访问的所有https网站的根证书替换成他们的。
虽然目前来看没有什么大新闻,不过我个人非常反对这种行为。
#18-1 - 2017-11-3 00:41
海盗丸子
愿闻其详,会有什么样的坏影响(bgm38)
#18-2 - 2017-11-3 20:53
当歌
宴夜曲 说: 愿闻其详,会有什么样的坏影响
http://www.williamlong.info/archives/3461.html
虽然不完全是一回事,不过可以参考12306的那个根证书的影响.
不过不用怕,avast 那个就算被利用,也不可能是针对你一个人的.
#18-3 - 2017-11-9 22:49
海盗丸子
宴夜曲 说: 愿闻其详,会有什么样的坏影响
也就是说,如果Avast替换证书的那些网站原本使用的是冒牌证书,倒霉的就是吾等屁民了
#19 - 2017-11-3 11:47
halfelf (a halfelf ronin)
看来lz主要还是担心变成肉鸡这件事。结论上面有人说过了,就是这个事成本太高根本不划算。只要有良好的上网习惯就完全不会有问题,这是一个码农裸奔超过二十年的经验。
#19-1 - 2017-11-5 20:56
海盗丸子
原来如此,谢谢白帽子兄的指导
#19-2 - 2017-12-6 15:55
默不作声的结城照美(仮)
裸奔超过二十年有点厉害(bgm38)(bgm38)
#19-3 - 2017-12-6 18:14
halfelf
默不作声的结城照美(仮) 说: 裸奔超过二十年有点厉害
裸奔二十年也不是没出过问题,xp时代是最糟糕的,重新镜像装了不少回。之前的时代网络不发达,之后的时代系统鲁棒多了。当然我还有很多非windows更不用杀软。