Всплывающий рекламный вирус на Chrome и Firefox

9

Всплывающее рекламное окно появляется на любом сайте, который я открываю. Пробовал сброс настроек, отключение расширений, удаление всех пользователей на chrome.

Кажется, речь идет не о Chrome, поскольку в Firefox происходит то же самое, чего я раньше даже не открывал.

Я подозреваю, что это может иметь отношение к некоторым репозиториям, которые я добавил в последнее время, даже если так, что делать?

Позвольте мне описать всплывающее окно, так как я не могу загрузить изображение, потому что у меня недостаточно репутации. Он размещается в середине страницы и не такой большой. Не перемещается с остальной частью страницы, остается при прокрутке страницы. Внутри иногда есть реклама Google. AdBlock блокирует контент, но не само всплывающее окно.

Изображение всплывающего окна

Результат проверки элемента:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

введите описание изображения здесь

Примечание. С помощью AdBlock Plus его можно заблокировать. Я просто добавил идентификатор div коробки в список фильтров, но это только излечивает симптомы, а не реальную болезнь. Итак, путешествие продолжается.

О сканировании с помощью ClamTk: было обнаружено около 1732 угроз, которые состоят в основном (я имею в виду почти все) из файлов Windows и, что интересно, из собственных файлов ClamAV. Это были только значимые записи:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Я только что удалил Firefox, но не думаю, что другие вещи вредны.

Хорошо, я обнаружил этот подозрительный код на вкладке источников инструмента отладчика Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Даже при попытке установить Ubuntu с самого начала она есть.

У этого парня, похоже, такая же проблема со мной. Я подозреваю , что это корень набор какой - то , но так rkhunterи chkrootkitне нашли ничего. Может быть, это новый рут-кит.

Я попробовал другой роутер без удачи. Многократный перезапуск роутера не помог. Он больше не отображается на машине с Windows в сети или Windows на моей машине (это система с двойной загрузкой), но я видел по крайней мере один раз на обеих. Я думаю, у меня есть только один вариант сейчас.

Муми
источник
1
Не могли бы вы добавить к своему вопросу снимок этого всплывающего окна или снимок экрана с Chrome или Firefox?
Сергей Колодяжный
2
Загрузите снимок на imgur.com и добавьте ссылку в свой вопрос. Кто-то поместит реальную картину там.
user68186
1
В chrome попробуйте зайти chrome://pluginsи опубликовать список того, что вы видите там, в основном посте.
MoonRunestar
1
Хм, страница плагинов такая же, как и у меня - там нет ничего подозрительного
Сергей Колодяжный
2
Это похоже на инъекцию рекламы посредником. Вы в надежной сети? Можете ли вы опубликовать детали настроек вашего прокси, если вы используете прокси? Кроме того, если это возможно, не могли бы вы опубликовать ссылку на полный HTML-код веб-страницы, которая показывает всплывающее окно? Наконец, появляется ли всплывающее окно, если вы посещаете зашифрованную страницу, например, свою веб-почту?
Трэвис Г.

Ответы:

9

Поскольку вы упомянули в комментарии, что на другом компьютере в сети возникла такая же проблема, вполне возможно, что настройки вашего маршрутизатора изменены или маршрутизатор заражен (да, это возможно). На самом деле, ваша проблема очень похожа на этот пост от security.stackexchange.com. FIY, вы можете использовать этот сайт в таких случаях, потому что есть больше людей, которые занимаются этим типом вопросов.

Хорошо, вернемся к проблеме. Если вы немного разберетесь в этом, то обнаружите, что, вероятно, очень распространенная проблема с маршрутизаторами - это изменение настроек DNS. Также есть более серьезные вредоносные программы для маршрутизаторов. DNS-сервер, по сути, является переводчиком: поскольку компьютеры работают только с цифрами, когда вы набираете «google.com» в браузере, ваш компьютер отправляет запрос на DNS-серверы со словами «Эй, какой IP-адрес для google.com?». DNS-сервер на своей стороне просматривает базы данных и находит, какие IP-адреса принадлежат google.com. Теперь, если настройки DNS вашего роутера изменены, запрос отправляется на фальшивый DNS-сервер, который перенаправит вас на фальшивый сайт или сайт, который выглядит как настоящий, но с вредоносным ПО.

Что можно сделать, это следующее:

  • Получите доступ к настройкам вашего маршрутизатора и проверьте, не были ли изменены настройки DNS. Вы можете получить к ним доступ, как правило, набрав 192.168.0.1 в адресной строке Firefox или любого другого браузера, и он должен открыть страницу со всевозможными настройками для вашего маршрутизатора (прочитайте руководство по эксплуатации вашего маршрутизатора, чтобы убедиться, что адрес правильный). Но если вы никогда не просматривали эти настройки раньше, может быть трудно определить, было ли что-то изменено. Кроме того, посмотрите, были ли изменены какие-либо настройки маршрутизации или вы видите что-то подозрительное.

  • Сбросьте настройки маршрутизатора по умолчанию. Опять же, это можно сделать через 192.168.0.1. Это может быть в разделе «Дополнительные параметры», но поискать настройки или просто прочитать руководство. Хорошая идея - перезагрузить маршрутизатор после того, как вы изменили настройки обратно на стандартные, чтобы убедиться, что они вступили в силу. Если это помогает, и всплывающее окно больше не появляется ни на одной машине, измените пароль администратора маршрутизатора на что-то другое, чем прежде, и что-то прочное, а также, возможно, измените пароль Wi-Fi (WPA PSK или что вы используете).

  • Получите новый роутер. Вы можете либо купить его самостоятельно и настроить, либо связаться с вашим интернет-провайдером, объяснив ситуацию. Они также могут предложить больше вариантов.

Помимо всего прочего, я бы сделал несколько небольших тестов.

  • Вы упомянули, что вы подключаетесь по Wi-Fi и там есть файлы Windows. Так это ноутбук? ты двойная загрузка? Попробуйте перенести его в другую сеть и посмотреть, не появляется ли всплывающее окно. Если он не отображается на другой сети - это определенно ваш маршрутизатор.

  • Это появляется в Windows? Если это маршрутизатор, он определенно не связан с ОС, вашими браузерами или чем-то в этом роде.

  • Измените настройки для DNS в Ubuntu. Дело в том, что сетевой менеджер Ubuntu по умолчанию позволяет подключаемому dnsmaq решать, какой DNS использовать (и, как правило, это будет поставщик услуг Интернета). Теперь вы можете использовать свой собственный DNS независимо от того, что дает интернет-провайдер. Для этого откройте индикатор Networ Manager в правом углу и перейдите в «Редактировать соединения». Выберите сеть и нажмите кнопку «Изменить». Перейдите на вкладку IPv4, измените раскрывающееся меню с «Автоматический (DHCP)» на «Только автоматические (DHCP) адреса» и укажите, где DNS-серверы вводят любой DNS-сервер, который вам нравится. Вы можете выбрать 8.8.8.8 (общедоступный DNS Google). Я использую OpenDNS (208.67.222.222). они хорошо известны и заслуживают доверия. Затем откройте терминал и введите sudo nano /etc/NetworkManager/NetworkManager.confи измените строку dns=dnsmasqна#dns=dnsmasq, Сохраните файл с помощью Ctrl + O и выйдите с помощью Ctrl + X. Теперь вы можете сделать sudo service network-manager restartили просто перезагрузить компьютер. Я бы предпочел перезагрузку. Подключитесь снова к своей сети, и как только будете готовы в терминальном типе nm-tool | tail. Это должно подтвердить, что вы используете выбранный DNS. Если всплывающее окно не сохраняется с такими настройками - определенно проблема DNS маршрутизатора. Шаги, которые я прошел здесь, такие же, как я описал в моем другом посте здесь

Вот и все. Я ни в коем случае не эксперт по компьютерной безопасности, поэтому все, что в этом посте, - лучшее, что я могу предложить. Удачи! и дайте нам знать, если это поможет, или как вы решили проблему в конце.

Сергей Колодяжный
источник
Полный сброс в роутере, пожалуй, лучший вариант, который вы можете сделать сами
Сергей Колодяжный,
1

Могут ли настройки прокси-сервера маршрутизировать ваш трафик через какой-либо сервер, который внедряет это в HTML? Попробуйте это с вашего терминала:

echo $http_proxy

Должен вернуться ни с чем. (Или, по крайней мере, ничего неожиданного.)

Chrisky
источник
1
Да, это ничего не напечатало
Муми
1
ХОРОШО. Так что это, вероятно, не вещь прокси. Еще один совет: пытались ли вы запустить Chrome Debugger (F12), использовать вкладку «Сеть», посетить простую страницу, а затем посмотреть на сетевой трафик? Код для всплывающего окна обслуживается где-нибудь здесь? Или провал: Wireshark. Опять же, посетите простейшую страницу, которая генерирует рекламу, и посмотрите, откуда идет трафик для этого. Если это не идет через сеть, тогда да, это, вероятно, плагин.
Криски
Это как-то остановилось на chrome, но на firefox это показывает в сети. но я действительно не понял, что они имеют в виду. Это просто домены, которые используют рекламу Google для рекламы. Если есть способ поделиться результатом сетевого инструмента, я могу.
Муми
0

Просто переустановка браузеров должна исправить это. У меня была похожая проблема, и я удалил как можно больше панелей инструментов; но ничего не помогло. Если вы можете, сделайте резервную копию закладок и переустановите браузеры.

vembutech
источник
кажется, что это не имеет ничего общего с браузерами, но попробую, если в конце ничего не поможет.
Муми
0

Попробуйте установить Ad-block plus addon для Chrome и Firefox из Интернет-магазина Chrome и Firefox Addon соответственно. Это должно избавить от чего-то ошибочного, как ваша проблема.

Надеюсь это поможет...

manishraj2011
источник
Расширения, запрещающие рекламу, блокируют рекламу внутри ящика, но не сам ящик. Вот почему я думаю, что это вид вредоносного ПО. Но спасибо.
Муми
1
АД может также блокировать ящик ...
manishraj2011
1
Мне удалось предотвратить его появление, заблокировав его div id в настройках adblock, поэтому проблема практически решена, но для этого могут быть более глубокие причины, поэтому позвольте мне немного подождать, чтобы принять это как ответ, но большое спасибо.
Муми
0

Это может быть расширение браузера. Пожалуйста, войдите в Меню> Инструменты> Расширения, удалите все расширения, которые вы считаете подозрительными.

Итак, вы можете попробовать удалить файлы конфигурации из этих браузеров.

Закройте браузер, откройте терминал и выполните:

rm -fR ~/.config/google-chrome

Откройте браузер.

Удачи.

Маркос Сильвейра
источник
Сейчас активен только adblock, и у меня действительно нет большого расширения. Просто один вопрос об удалении вещей в системе Linux: это обратимо?
Муми
1
Если вы удалите этот каталог, это не создаст никаких проблем в вашей системе. Каталог ./config/google-chrome создается при первом открытии браузера. При удалении и повторном открытии браузера каталог создается снова. Поэтому, если вы не синхронизируете свои закладки, я рекомендую переименовать каталог, используя, mv ~/.config/google-chrome ~/.config/google-chrome-backupнапример.
Маркос Сильвейра
Хм .. Это не сработало для меня :( Я имею в виду не резервное копирование, а удаление файла конфигурации.
Mumi
@mumi Вы упомянули, что это как-то остановилось в Chrome. Остановился ли он после удаления папки и перезагрузки? Или просто случайно остановился?
Сергей Колодяжный
@Xieerqi Случайно остановился и вернулся, а потом начал на другом компьютере в сети
Муми
0

Новая установка Ubuntu, кажется, решает проблему.

Муми
источник