Всплывающий рекламный вирус на Chrome и Firefox

Question

Всплывающий рекламный вирус на Chrome и Firefox

Всплывающее рекламное окно появляется на любом сайте, который я открываю. Пробовал сброс настроек, отключение расширений, удаление всех пользователей на chrome.

Кажется, речь идет не о Chrome, поскольку в Firefox происходит то же самое, чего я раньше даже не открывал.

Я подозреваю, что это может иметь отношение к некоторым репозиториям, которые я добавил в последнее время, даже если так, что делать?

Позвольте мне описать всплывающее окно, так как я не могу загрузить изображение, потому что у меня недостаточно репутации. Он размещается в середине страницы и не такой большой. Не перемещается с остальной частью страницы, остается при прокрутке страницы. Внутри иногда есть реклама Google. AdBlock блокирует контент, но не само всплывающее окно.

Изображение всплывающего окна

Результат проверки элемента:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

введите описание здесь

Примечание. С помощью AdBlock Plus его можно заблокировать. Я просто добавил идентификатор div блока в список фильтров, но это только излечивает симптомы, а не реальную болезнь. Итак, путешествие продолжается.

О сканировании с помощью ClamTk: было обнаружено около 1732 угроз, которые состоят в основном (я имею в виду почти все) из файлов Windows и, что интересно, из собственных файлов ClamAV. Это были только значимые записи:

/usr/lib/shim/shim.efi
/usr/lib/shim/shim.efi.signed
/boot/efi/EFI/ubuntu/shimx64.efi
/boot/efi/EFI/ubuntu/MokManager.efi
/home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Я только что удалил Firefox, но не думаю, что другие вещи вредны.

Хорошо, я нашел этот подозрительный код на вкладке источников инструмента отладчика Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Даже при попытке установить Ubuntu с самого начала она есть.

У этого парня, похоже, такая же проблема со мной. Я подозреваю, что это какой-то корневой набор, но оба rkhunter а также chkrootkit ничего не нашел. Может быть, это новый рут-кит.

Я попробовал другой роутер без удачи. Многократный перезапуск роутера не помог. Он больше не отображается на машине с Windows в сети или Windows на моей машине (это система с двойной загрузкой), но я видел по крайней мере один раз на обеих. Я думаю, у меня есть только один вариант сейчас.

10

14.04 malware rootkit popup-ads

Источник

mumi 28 окт '14 в 16:22

6 ответов

Решение

Могут ли настройки прокси-сервера маршрутизировать ваш трафик через какой-либо сервер, который внедряет это в HTML? Попробуйте это с вашего терминала:

echo $http_proxy

Должен вернуться ни с чем. (Или, по крайней мере, ничего неожиданного.)

1

Источник

Chrisky 28 окт '14 в 23:25

Это может быть расширение браузера. Пожалуйста, войдите в Меню> Инструменты> Расширения, удалите все расширения, которые вы считаете подозрительными.

Итак, вы можете попробовать удалить файлы конфигурации из этих браузеров.

Закройте браузер, откройте терминал и выполните:

rm -fR ~/.config/google-chrome

Откройте браузер.

Удачи.

0

Источник

Marcos Silveira 28 окт '14 в 19:22

Просто переустановка браузеров должна исправить это. У меня была похожая проблема, и я удалил как можно больше панелей инструментов; но ничего не помогло. Если вы можете, сделайте резервную копию закладок и переустановите браузеры.

0

Источник

vembutech 28 окт '14 в 16:27

Попробуйте установить Ad-block plus addon для Chrome и Firefox из Интернет-магазина Chrome и Firefox Addon соответственно. Это должно избавить от чего-то ошибочного, как ваша проблема.

Надеюсь это поможет...

0

Источник

manishraj2011 28 окт '14 в 17:58

Новая установка Ubuntu, кажется, решает проблему.

0

Источник

mumi 01 ноя '14 в 11:25

Другие вопросы по тегам 14.04 malware rootkit popup-ads

Sergiy Kolodyazhnyy 31 окт '14 в 15:01 2014-10-31 15:01 · Accepted Answer · 2014-10-31 15:01

Поскольку вы упомянули в комментарии, что на другом компьютере в сети возникла такая же проблема, вполне возможно, что настройки вашего маршрутизатора изменены или маршрутизатор заражен (да, это возможно). На самом деле ваша проблема очень похожа на этот пост от security.stackexchange.com . FIY, вы можете использовать этот сайт в таких случаях, потому что есть больше людей, которые занимаются этим типом вопросов.

Хорошо, вернемся к проблеме. Если вы немного исследуете это, то обнаружите, что, вероятно, очень распространенная проблема с маршрутизаторами - это когда настройки DNS изменены. Также есть более серьезные вредоносные программы для маршрутизаторов. DNS-сервер, по сути, является переводчиком: поскольку компьютеры работают только с цифрами, когда вы набираете "google.com" в браузере, ваш компьютер отправляет запрос на DNS-серверы со словами "Эй, какой IP-адрес для google.com? " . DNS-сервер на своей стороне просматривает базы данных и находит, какие IP-адреса принадлежат google.com. Теперь, если настройки DNS вашего роутера изменены, запрос отправляется на фальшивый DNS-сервер, который перенаправит вас на фальшивый сайт или сайт, который выглядит как настоящий, но с вредоносным ПО.

Что можно сделать, это следующее:

Получите доступ к настройкам вашего маршрутизатора и проверьте, не были ли изменены настройки DNS. Вы можете получить к ним доступ, как правило, набрав 192.168.0.1 в адресной строке Firefox или любого другого браузера, и он должен открыть страницу со всеми видами настроек для вашего маршрутизатора (прочитайте руководство по эксплуатации вашего маршрутизатора, чтобы убедиться, что адрес правильный). Но если вы никогда не просматривали эти настройки раньше, может быть трудно определить, было ли что-то изменено. Кроме того, посмотрите, были ли изменены какие-либо настройки маршрутизации или вы видите что-то подозрительное.
Сбросьте настройки маршрутизатора по умолчанию. Опять же, это может быть сделано через 192.168.0.1 . Это может быть в разделе "Дополнительные параметры", но поискать настройки или просто прочитать руководство. Хорошая идея - перезагрузить маршрутизатор после того, как вы изменили настройки обратно на стандартные, чтобы убедиться, что они вступили в силу. Если это помогает, и всплывающее окно больше не появляется ни на одной машине, измените пароль администратора маршрутизатора на что-то другое, чем прежде, и что-то прочное, плюс, возможно, измените пароль Wi-Fi (WPA PSK или что вы используете).
Получи новый роутер. Вы можете либо купить его самостоятельно и настроить, либо связаться с вашим интернет-провайдером, объяснив ситуацию. Они также могут предложить больше вариантов.

Помимо всего прочего, я бы сделал несколько небольших тестов.

Вы упомянули, что вы подключаетесь по Wi-Fi и там есть файлы Windows. Так это ноутбук? ты двойная загрузка? Попробуйте перенести его в другую сеть и посмотреть, не появляется ли всплывающее окно. Если он не отображается на другой сети - это определенно ваш маршрутизатор.
Это появляется в Windows? Если это маршрутизатор, он определенно не связан с ОС, вашими браузерами или чем-то в этом роде.
Измените настройки для DNS в Ubuntu. Дело в том, что сетевой менеджер Ubuntu по умолчанию позволяет подключаемому dnsmaq решать, какой DNS использовать (и обычно это будет поставщик вашего интернет-провайдера). Теперь вы можете использовать свой собственный DNS независимо от того, что дает интернет-провайдер. Для этого откройте индикатор Networ Manager в правом углу и перейдите в "Редактировать соединения". Выберите сеть и нажмите кнопку "Изменить". Перейдите на вкладку IPv4, измените раскрывающееся меню с "Автоматический (DHCP)" на "Только автоматические (DHCP) адреса" и укажите, где DNS-серверы вводят любой DNS-сервер, который вам нравится. Вы можете выбрать 8.8.8.8 (общедоступный DNS Google). Я использую OpenDNS(208.67.222.222). они хорошо известны и заслуживают доверия. Затем откройте терминал и введитеsudo nano /etc/NetworkManager/NetworkManager.conf и изменить строкуdns=dnsmasq в #dns=dnsmasq, Сохраните файл с помощью Ctrl+O и выйдите с помощью Ctrl+X. Теперь вы можете сделать sudo service network-manager restart или просто перезагрузите компьютер. Я бы предпочел перезагрузку. Подключитесь снова к вашей сети, и как только будете готовы в терминалеnm-tool | tail, Он должен подтвердить, что вы используете выбранный DNS. Если всплывающее окно не сохраняется с такими настройками - определенно проблема DNS маршрутизатора. Шаги, которые я прошел здесь, такие же, как я описал в моем другом посте здесь

Вот и все. Я ни в коем случае не эксперт по компьютерной безопасности, поэтому все, что в этом посте, - лучшее, что я могу предложить. Удачи! и дайте нам знать, если это поможет, или как вы решили проблему в конце.