ฉันจะระบุมัลแวร์ที่มีส่วนขยายของ Chrome ใน Linux ได้อย่างไร

ดูเหมือนว่าฉันจะติดมัลแวร์ โดยเฉพาะอย่างยิ่งทุก ๆ คราว (ทุกๆสองสามวันโดยปกติ) ฉันถูกเปลี่ยนเส้นทางไปยังหน้าเว็บที่ขอให้ฉันดาวน์โหลดบางอย่างซึ่งมักจะเป็น "เวอร์ชันใหม่ของ Flash" สันนิษฐานว่ามันไม่มีอะไร แต่จริง ๆ แล้วเป็นไวรัสหรือโทรจันบางประเภท

ฉันใช้google-chromeเวอร์ชั่น 30.0.1599.114 บน Debian Linux และค่อนข้างแน่ใจว่าสิ่งนี้เกิดจากส่วนขยาย ฉันรู้ว่าฉันสามารถถอนการติดตั้งส่วนขยายหรือลบ~/.config/google-chromeโฟลเดอร์ของฉันได้แต่ฉันไม่อยากทำ ฉันต้องการระบุส่วนขยายที่ทำให้เกิดสิ่งนี้และลบเฉพาะส่วนขยายนั้น

ในการพยายามแก้ไขข้อบกพร่องนี้ (ขอบคุณ @Braiam) ฉันได้ตรวจสอบตัวบันทึกเหตุการณ์chrome://net-internals/#eventsแล้วและค้นหาหนึ่งใน URL ที่ฉันเปลี่ยนเส้นทางไปที่:

เนื้อหาของchrome://net-internals/#eventsคือ:

122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358

t=1393864121358 [st=  0] +REQUEST_ALIVE  [dt=334]
t=1393864121359 [st=  1]   +URL_REQUEST_START_JOB  [dt=332]
                            --> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
                            --> method = "GET"
                            --> priority = 2
                            --> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st=  1]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_OPEN_ENTRY  [dt=0]
                              --> net_error = -2 (ERR_FAILED)
t=1393864121359 [st=  1]      HTTP_CACHE_CREATE_ENTRY  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_ADD_TO_ENTRY  [dt=0]
t=1393864121359 [st=  1]     +HTTP_STREAM_REQUEST  [dt=1]
t=1393864121360 [st=  2]        HTTP_STREAM_REQUEST_BOUND_TO_JOB
                                --> source_dependency = 122670 (HTTP_STREAM_JOB)
t=1393864121360 [st=  2]     -HTTP_STREAM_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_SEND_REQUEST  [dt=0]
t=1393864121360 [st=  2]        HTTP_TRANSACTION_SEND_REQUEST_HEADERS
                                --> GET /p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980 HTTP/1.1
                                    Host: cdn.adnxs.com
                                    Connection: keep-alive
                                    User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.114 Safari/537.36
                                    Accept: */*
                                    DNT: 1
                                    Referer: http://ib.adnxs.com/tt?id=2301980&cb=1393864120&referrer=http://fra1.ib.adnxs.com/if?enc=gbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.&pubclick=http://fra1.ib.adnxs.com/click?XkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA./cnd%3D!8gXSNwiT18QBEIujlwYY0cEVIAA./referrer%3Dhttp://www.imgclck.com/serve/imgclck.php/clickenc%3Dhttp://optimized-by.rubiconproject.com/t/9164/15602/101258-2.3581666.3755480?url%3D&cnd=%218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.&ccd=%21vwV6NgiCtsABEL3CkgYYt5YRIAA.&udj=uf%28%27a%27%2C+279660%2C+1393864119%29%3Buf%28%27c%27%2C+3152642%2C+1393864119%29%3Buf%28%27r%27%2C+12886333%2C+1393864119%29%3B&vpid=77&apid=189016&referrer=http%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php&media_subtypes=1&ct=0&dlo=1&pubclick=http://fra1.ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAALTIdr6fGus_AAAAAAAAAAAAAAAAAAAAAA-Oj4oIzbJcljpJTzhxcH-4rRRTAAAAANYjIwB6AgAAEAkAAAIAAAAfKcUAD5wFAAAAAQBVU0QAVVNEANgCWgCqqwAAtdQAAQUCAQIAAIwA6xZV3wAAAAA./cnd=%21GgafOwjH0sYBEJ_SlAYYj7gWIAE./referrer=http%3A%2F%2Ffra1.ib.adnxs.com%2Fif%3Fenc%3DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%26pubclick%3Dhttp%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%2Fcnd%253D%218gXSNwiT18QBEIujlwYY0cEVIAA.%2Freferrer%253Dhttp%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php%2Fclickenc%253Dhttp%3A%2F%2Foptimized-by.rubiconproject.com%2Ft%2F9164%2F15602%2F101258-2.3581666.3755480%3Furl%253D%26cnd%3D%25218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.%26ccd%3D%2521vwV6NgiCtsABEL3CkgYYt5YRIAA.%26udj%3Duf%2528%2527a%2527%252C%2B279660%252C%2B1393864119%2529%253Buf%2528%2527c%2527%252C%2B3152642%252C%2B1393864119%2529%253Buf%2528%2527r%2527%252C%2B12886333%252C%2B1393864119%2529%253B%26vpid%3D77%26apid%3D189016%26referrer%3Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%26media_subtypes%3D1%26ct%3D0%26dlo%3D1/clickenc=
                                    Accept-Encoding: gzip,deflate,sdch
                                    Accept-Language: en-US,en;q=0.8,fr;q=0.6
                                    Cookie: __gads=ID=386c1f6bc0285adb:T=1390666421:S=ALNI_MZXJdGrAsWELFKRsS7QcqnPTkuaMw; uuid2=9182964126870747798; sess=1; icu=ChIIr54TEAYYASAAKAEwu8_EmAUKEgiCyRUQBhgDIAAoAzDGkb-XBQoSCKraFRAGGAEgACgBMIyKv5cFChII5I8WEAYYASAAKAEw0szplwUKEgjXlhYQBhgCIAAoAjDFvM2YBQoSCP7-CBAKGAUgBSgFMMjU0pgFChIIpogJEAoYByAHKAcwqtXSmAUKEgiDtwoQChgdIB0oHTCx29KYBQoSCNuECxAKGAUgBSgFMPbX0pgFChII0aELEAoYASABKAEwuc3SmAUKEgjLzwsQChgBIAEoATDrzNKYBQoSCK7fCxAKGAEgASgBMJfH0pgFChII0eQLEAoYASABKAEw5czSmAUKEgi78AsQChgHIAcoBzDwyNKYBQoSCL_yCxAKGAEgASgBMKzV0pgFChIIkoAMEAoYAiACKAIwrdvSmAUKEgi3hQ0QChgBIAEoATCv1dKYBQoSCMWnDhAKGAcgBygHMOzY0pgFChII_KcOEAoYBSAFKAUwisHSmAUKEgiIqA4QChgEIAQoBDCr1dKYBQoSCJ7pDhAKGAUgBSgFMMnK0pgFChII3ukOEAoYICAgKCAwuNvSmAUKEgi0hw8QChgBIAEoATC2ydKYBQoSCOeVDxAKGAUgBSgFMMnK0pgFChII_J4PEAoYASABKAEwrtvSmAUKEgi_lxAQChgDIAMoAzC8zdKYBQoSCNCkEBAKGAIgAigCML3N0pgFChII6acQEAoYBiAGKAYw5dfSmAUKEgjpsRAQChgGIAYoBjCv1dKYBQoSCMy5EBAKGAEgASgBMO3U0pgFChII1uoQEAoYASABKAEwstXSmAUKEgipghEQChgIIAgoCDCJy9KYBQoSCIaeERAKGAQgBCgEMOzY0pgFChIIh54REAoYAyADKAMw79jSmAUKEgjJpREQChgBIAEoATCbytKYBQoSCI-yERAKGAEgASgBMInL0pgFChIIqbcREAoYAiACKAIwisvSmAUKEgievhEQChgBIAEoATCtw9KYBQoSCP7GERAKGAYgBigGMNzT0pgFChIIofMREAoYAyADKAMwttHSmAUKEgjK-xEQChgCIAIoAjCx1dKYBQoSCJ6BEhAKGBsgGygbMNvX0pgFChII9ogSEAoYBiAGKAYw18rSmAUKEgjvmRIQChgDIAMoAzDP2dKYBQoSCI2qEhAKGAQgBCgEMLXJ0pgFChIInLASEAoYAiACKAIw0srSmAUKEgjXsRIQChgCIAIoAjDYytKYBQoSCKO0EhAKGAMgAygDMKjV0pgFChIIvrQSEAoYByAHKAcw19jSmAUKEgjFthIQChgCIAIoAjD0zNKYBQoSCLHAEhAKGAEgASgBMKDE0pgFChIIqswSEAoYASABKAEwzsrSmAUKEgiv0hIQChgDIAMoAzCPwdKYBQoSCOTYEhAKGAEgASgBMLTV0pgFChIIrNkSEAoYByAHKAcw7MLSmAUKEgj-2xIQChgDIAMoAzCx1dKYBQoSCInfEhAKGAIgAigCMMDN0pgFChIIxuASEAoYByAHKAcw3dnSmAUKFQj14BIQChjIASDIASjIATC429KYBQoSCPfgEhAKGAEgASgBMMDN0pgFChII9-ISEAoYBCAEKAQw5djSmAUKEgjw5BIQChgDIAMoAzD4wdKYBQoSCJXqEhAKGAMgAygDMI3F0pgFChII6uwSEAoYAiACKAIwpNLSmAUKEgjB8BIQChgGIAYoBjC_zdKYBQoSCOTyEhAKGAIgAigCMPXM0pgFChII5fISEAoYAyADKAMw-czSmAUKEgiG8xIQChgHIAcoBzDQ2dKYBQoSCIuJExAKGBMgEygTMMTW0pgFChIIoIwTEAoYBSAFKAUw7dTSmAUKEgjDohMQChgBIAEoATC21dKYBQoSCI-wExAKGAUgBSgFMLrN0pgFChIIxLATEAoYBiAGKAYwqtXSmAUKEgjIsBMQChgDIAMoAzDzzNKYBQoSCLyyExAKGAQgBCgEMOnL0pgFChIIvrITEAoYASABKAEw2cnSmAUKEgj6shMQChgBIAEoATDbx9KYBQoSCMi2ExAKGAEgASgBMNnG0pgFChII5bgTEAoYAiACKAIwhNfSmAUKEgiXuRMQChgEIAQoBDDU2NKYBQoSCIq-ExAKGAYgBigGMMfC0pgFChIInsITEAoYASABKAEw2cbSmAUKEgibxRMQChgGIAYoBjCE0dKYBQoSCP_FExAKGAIgAigCMOjM0pgFChIIkcYTEAoYBCAEKAQwz8fSmAUKEgi3xhMQChgBIAEoATCfydKYBQoSCOvGExAKGAEgASgBMLjb0pgFChIIx8gTEAoYBCAEKAQw6NTSmAUKEgiFyhMQChgBIAEoATDTzNKYBQoSCI_KExAKGAIgAigCMMbU0pgFChIIu9ETEAoYAyADKAMw2sfSmAUKEgjr2BMQChgCIAIoAjC21dKYBQoSCIbbExAKGAIgAigCMLnb0pgFChIIzuUTEAoYASABKAEw8MzSmAUKEgj76RMQChgCIAIoAjCqydKYBQoSCIHrExAKGAEgASgBMKrJ0pgFELnb0pgFGNYE; anj=dTM7k!M4.g1IKw2hK`RZ[+9f#Abz#5Z8>#V-^@!KG9XLO4442ch)Pc]jvxZ!#GhOwx*meAdp/D)elWNRR%-I!MOpSn=J+VCrW%0=hj]Bz32M!LSOQ5gll*LP_br1!?zqWv$YT0!S8!Ssqbx<[gw>6wFG2.OXE$1'cEc8BdiTCWLi:P+XwDKQDr`LmI$bR^3u%?co]YbrY[FD44<J(CU/Gn<5H=tP`n<jx[Cz6px:fcFXbqHccp2?vY*$/m>4GqE.2:v`'pIRgJ@wKuwpOTY'2wRpvC`e.1o[gHdch:d8Ly_dx!x3SeM0^!qrZIi%XQ$0pC/UUYEnNS-^j>32us+UP1VB_*ML]?KovH`x8g7%)dRu@#?pr+Lx<$9w@Af%inZIpkFAP#Y`t[+c'OBbc?!FUlhh4fF<-9S<1`W1<W3_z!``x7Jhjeh
t=1393864121360 [st=  2]     -HTTP_TRANSACTION_SEND_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_READ_HEADERS  [dt=330]
t=1393864121360 [st=  2]        HTTP_STREAM_PARSER_READ_HEADERS  [dt=330]
t=1393864121690 [st=332]        HTTP_TRANSACTION_READ_RESPONSE_HEADERS
                                --> HTTP/1.1 200 OK
                                    Server: Apache
                                    ETag: "d932a372371bd0a47ba7e2a73649a8d0:1393776550"
                                    Last-Modified: Sun, 02 Mar 2014 16:09:10 GMT
                                    Accept-Ranges: bytes
                                    Content-Length: 5255
                                    Content-Type: application/x-shockwave-flash
                                    Date: Mon, 03 Mar 2014 16:28:41 GMT
                                    Connection: keep-alive
t=1393864121690 [st=332]     -HTTP_TRANSACTION_READ_HEADERS
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121691 [st=333]   -URL_REQUEST_START_JOB
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121691 [st=333]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=1]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334] -REQUEST_ALIVE

และจากURL_REQUEST:

122669: DISK_CACHE_ENTRY
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.359

t=1393864121359 [st=  0] +DISK_CACHE_ENTRY_IMPL  [dt=350]
                          --> created = true
                          --> key = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 304
                            --> index = 0
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 304
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 2
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121691 [st=332]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 2612
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121691 [st=332]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 2612
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1448
                            --> index = 1
                            --> offset = 2612
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1448
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1195
                            --> index = 1
                            --> offset = 4060
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1195
t=1393864121693 [st=334]    ENTRY_CLOSE
t=1393864121709 [st=350] -DISK_CACHE_ENTRY_IMPL

การสแกนDISK_CACHE_ENTRYแสดงให้เห็นว่าสะอาด

$ sudo clamscan -r .config/google-chrome/
[...]
Known viruses: 3138491
Engine version: 0.97.8
Scanned directories: 543
Scanned files: 1511
Infected files: 0
Data scanned: 70.93 MB
Data read: 135.29 MB (ratio 0.52:1)
Time: 22.528 sec (0 m 22 s)

หน้าเว็บที่ให้บริการมักจะ (อาจไม่แน่ใจเสมอ) ในxxx.adnx.comโดเมน ( xxxส่วนต่าง ๆ ) การค้นหาสตริงนั้นในgoogle-chromeไดเรกทอรีจะส่งคืน:

$ grep -lR adnx .config/google-chrome/
.config/google-chrome/Default/Preferences
.config/google-chrome/Default/History Provider Cache
.config/google-chrome/Default/Cookies
.config/google-chrome/Default/Current Tabs
.config/google-chrome/Default/History
.config/google-chrome/Default/Archived History
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/#cdn.adnxs.com/settings.sol
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/settings.sol
.config/google-chrome/Default/Favicons-journal
.config/google-chrome/Default/Preferences~
.config/google-chrome/Default/Favicons
.config/google-chrome/Default/Cookies-journal

ส่วนเสริมที่ติดตั้งของฉันติดตามอยู่ สิ่งเหล่านี้มาจากส่วนเสริมของ Chrome:

"View Vote totals" without 1000 rep
AutoReviewComments 1.3.0
Chat Reply Helper for Stack Exchange sites 2.4.0
Close Tabs 1.1
Desktop Notifications for Stack Exchange 1.6.5.1
Docs PDF/PowerPoint Viewer (by Google) 3.10
Edit with Emacs 1.13
Hangout Chat Notifications 2.0.0
IE Tab 6.1.21.1
KBD Button for Stack Exchange sites 0.2.0
Sexy Undo Close Tab 7.4.13
Smooth Gestures 0.17.14
SmoothGestures: Plugin 0.9.1
Yet another flags 0.9.10.0

สิ่งเหล่านี้มาจากแอปสแต็ค :

Dude, where's my cursor 1.0
SE Comment Link Helper 1.0
Super User Automatic Corrector 1.0
threading-comments 1.0
stackexchange-tab-editing 1.0

ปลั๊กอินที่ติดตั้ง:

ฉันจะใช้ข้อมูลนี้ (หรืออื่น ๆ ) เพื่อระบุว่าส่วนเสริมใดทำให้เกิดสิ่งนี้

ฉันไม่แน่ใจว่านี่เป็นกรณีของปัญหาเฉพาะของคุณหรือไม่ แต่มีบางสถานการณ์ที่มีการขายส่วนขยายที่ดีที่รู้จักให้แก่บุคคลที่สามซึ่งจากนั้นเลือกใช้ส่วนขยายร่วมเพื่อจุดประสงค์สามานย์ นี่คือหนึ่งในเรื่องดังกล่าวที่กล่าวถึงนี้: ขยายของ Google Chrome จะถูกขายให้กับ บริษัท

สิ่งที่สกัดมา

Ron Amadeo จาก Ars Technica เพิ่งเขียนบทความเกี่ยวกับผู้ขายแอดแวร์ที่ซื้อส่วนขยายของ Chrome เพื่อวางอัปเดตที่เป็นอันตรายและโฆษณา

Google Chrome มีการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าผู้ใช้จะได้รับการอัปเดตล่าสุดอยู่เสมอ เห็นได้ชัดว่า Google Chrome ได้รับการอัปเดตโดยตรงจาก Google อย่างไรก็ตามกระบวนการอัปเดตนี้จะรวมส่วนขยายของ Chrome ไว้ด้วย ส่วนขยายของ Chrome ได้รับการอัปเดตโดยเจ้าของส่วนขยายและขึ้นอยู่กับผู้ใช้เพื่อพิจารณาว่าเจ้าของส่วนขยายนั้นเชื่อถือได้หรือไม่

เมื่อผู้ใช้ดาวน์โหลดส่วนขยายพวกเขาจะให้สิทธิ์เจ้าของส่วนขยายในการส่งรหัสใหม่ไปยังเบราว์เซอร์เมื่อใดก็ได้

สิ่งที่เกิดขึ้นอย่างหลีกเลี่ยงไม่ได้คือผู้ค้าแอดแวร์กำลังซื้อส่วนขยายดังนั้นผู้ใช้จึงมาจากผู้เขียนส่วนขยาย ผู้จำหน่ายเหล่านี้กำลังผลักดันให้แอดแวร์ออกไปยังผู้ใช้ทุกคนของส่วนขยายซึ่งสามารถสร้างประสบการณ์การท่องเว็บที่อันตราย

ผู้เขียนส่วนขยายของ Google รายหนึ่งให้บัญชีส่วนตัวของเขาในโพสต์บล็อกของเขาที่มีชื่อว่า“ ฉันขายส่วนขยายของ Chrome แต่เป็นการตัดสินใจที่ไม่ดี”

คำแนะนำของฉันคือการใช้สถานการณ์นี้อย่างจริงจังและปิดการใช้งานส่วนขยายที่คุณไม่แน่ใจ ฉันจะติดตามสถานการณ์เพื่อดูว่ามันจะลดลงหรือดำเนินต่อไป

ถ้ามันยังดำเนินต่อไปฉันจะขุดให้ลึกและเริ่มตรวจสอบเซิร์ฟเวอร์ DNS ที่คุณใช้ ฉันมักจะใช้OpenDNSด้วยเหตุผลที่แน่นอนเนื่องจากบริการนี้ (ฟรี) พยายามขัดขวางเวกเตอร์โจมตีโดยเปลี่ยนเส้นทางการค้นหา DNS ไปยังหน้า OpenDNS อื่นแทน

ทำไมต้องใส่ใจ DNS

เซิร์ฟเวอร์ DNS ของ OpenDNS จะเพิ่มผลการค้นหาอย่างตั้งใจเมื่อคุณทำการค้นหาหากทราบว่าชื่อโฮสต์มีส่วนเกี่ยวข้องกับกิจกรรมที่เกี่ยวข้องกับสแปม / แฮ็ค / ฟิชชิ่ง พวกเขาอยู่ในตำแหน่งที่ไม่ซ้ำกันตั้งแต่พวกเขาดำเนินการค้นหาสำหรับเว็บไซต์ทุกจราจรลูกค้าของพวกเขาเพื่อให้พวกเขาสามารถตรวจสอบความผิดปกติดูที่นี่: OpenDNS ฟิชชิ่งการคุ้มครองเช่นเดียวกับที่นี่

มีอะไรอีกบ้าง?

ฉันจะตรวจสอบให้แน่ใจว่า/etc/hostsไฟล์ของคุณไม่ถูกบุกรุกและติดตามสถานการณ์โดยใช้บางสิ่งบางอย่างเช่นnethogซึ่งจะแสดงว่ากระบวนการใดบ้างที่กำลังเข้าถึงเครือข่ายของคุณ

Amit Agarwal สร้างส่วนขยาย Feedly สำหรับ Chrome ในเวลาไม่ถึงหนึ่งชั่วโมงและขายให้ผู้จำหน่ายแอดแวร์โดยไม่รู้ตัวสำหรับข้อเสนอตัวเลข 4 ตัว ส่วนขยายนี้มีผู้ใช้มากกว่า 30,000 คนบน Chrome ในขณะที่ขาย เจ้าของคนใหม่ผลักดันการอัปเดตไปยัง Chrome store ซึ่งฉีดแอดแวร์และลิงค์พันธมิตรเข้ากับประสบการณ์การท่องเว็บของผู้ใช้ ในขณะที่ส่วนขยายนี้ถูกลบเนื่องจากการประชาสัมพันธ์ที่ Agarwal สารภาพผิดทำนี่เป็นเหตุการณ์ที่พบบ่อยมากในส่วนขยายของ Chrome

ดูความคิดเห็นของส่วนขยายSmooth Gestures ( ลิงก์โดยตรง )

หากคุณเรียงลำดับความเห็นตามวันที่ (โดยคลิกล่าสุด ) คุณจะเห็นว่าบทวิจารณ์ใหม่เกือบทั้งหมดมีคะแนนหนึ่งดาวและบ่นเกี่ยวกับโฆษณาที่เล่ห์เหลี่ยม:

เควินลี 1 วันที่ผ่านมา

ขายให้กับ บริษัท บุคคลที่สามที่เพิ่มโฆษณาและคุณลักษณะการจ่ายเพื่อลบโฆษณา

Suresh Nageswaran 3 วันที่แล้ว

เกลียดโฆษณา ทำงานได้ดีจนกระทั่งมันเริ่มฉีดโฆษณาลงในประสบการณ์การท่องเว็บ ฉันจะได้รับเงินเพื่อใช้งานต่อไป แต่ฉันรู้สึกถึงความดื้อรั้นอย่างมาก เส้นขอบบนสปายแวร์

John Smith 6 วันที่แล้ว

ห้ามใช้สิ่งนี้ มันกำลังฉีด JS เพื่อคลิกสิ่งต่าง ๆ และทำให้เกิดปัญหาความปลอดภัย XSS กับ https

Tomas Hlavacek 23 ก.พ. 2014

อึจริง ... จำเหตุการณ์ที่เกิดขึ้นด้วยการแอบ URL ไม่ได้รับอนุญาตหรือไม่ จากนั้นพวกเขาก็เริ่มบังคับให้ผู้ใช้ "บริจาค" หรือประสบกับโฆษณา มันก็เริ่มที่จะล่าช้าในบางหน้า (ซึ่งไม่ใช่กรณีก่อน "การปรับปรุง" เหล่านั้นทั้งหมด) ดังนั้นฉันจึงเปลี่ยนไปใช้ CrxMouse และฉันก็สบายดี

kyle barr 19 ก.พ. 2014

มันเป็นส่วนขยายท่าทางเมาส์ทึบ แต่โฆษณาใหม่นั้นน่ากลัว ก่อนอื่นเพราะส่วนขยายจะอัปเดตและเพิ่มโฆษณาอย่างเงียบ ๆ ดังนั้นคุณจึงไม่ทราบว่ามาจากไหน ที่นี่ฉันกำลังสแกนคอมพิวเตอร์ด้วยสแกนเนอร์มัลแวร์หลายตัวเพราะฉันได้รับโฆษณาแบบสุ่มจนกว่าฉันจะรู้ว่านี่เป็นสมูทเจสเจอร์ที่จะแทรกพวกเขา

ไม่มีเหตุผลที่ดีที่จะใช้ส่วนขยายนี้อีกต่อไปและโดยส่วนตัวฉันต้องการทราบว่าใครเป็นผู้พัฒนาส่วนขยายนี้ดังนั้นฉันจึงมั่นใจได้ว่าจะไม่ติดตั้งส่วนขยายใด ๆ จากพวกเขาในอนาคต

ดูเหมือนคนร้ายคนนั้น

นอกเหนือจากคำตอบที่นี่ฉันพบทรัพยากรที่มีประโยชน์เพิ่มเติมไม่กี่แห่ง

1. บทความ Howtogeek นี้แนะนำโปรแกรมที่เรียกว่าFiddlerที่ทำหน้าที่เป็นพร็อกซี่การตรวจแก้จุดบกพร่องบนเว็บช่วยให้คุณตรวจสอบคำขอเครือข่าย (มีเวอร์ชันอัลฟ่าLinux ) @slm ชี้ให้ฉันเห็นคำตอบนี้บน SO ที่มีโปรแกรมที่คล้ายกันหลายรายการเช่นกัน

2. โหมดผู้พัฒนาในchrome://extensionsหน้าของ Chrome ช่วยให้คุณสามารถตรวจสอบแต่ละส่วนขยายสำหรับกระบวนการที่ทำงานในพื้นหลัง:

   

   การคลิกที่background.htmlเปิดจะเปิดหน้าต่างเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ของ Chrome ซึ่งช่วยให้คุณสามารถดูที่มาของสคริปต์ต่างๆที่ส่วนขยายประกอบด้วยได้อย่างง่ายดาย ในกรณีนี้ฉันสังเกตเห็นโฟลเดอร์ที่เรียกsupportในต้นไม้ต้นกำเนิดของแท็บ Sexy Undo Close ที่มีสคริปต์ชื่อbackground.jsที่ดูน่าสงสัย (มันสร้างช่วงเวลาแบบสุ่มซึ่งเหมาะกับอาการของฉัน)

3. บทความ howtogeek อื่น ๆนี้มีรายการส่วนขยายที่ทราบที่ต้องหลีกเลี่ยง แต่ยิ่งดีกว่าคือhttp://www.extensiondefender.comซึ่งน่าจะเป็นฐานข้อมูลที่ผู้ใช้สร้างขึ้นจากส่วนขยายที่เป็นอันตราย อย่างไรก็ตามพวกเขาไม่ได้ระบุว่าส่วนขยายที่เฉพาะเจาะจงถูกแท็กเป็น mal- หรือแอดแวร์ดังนั้นจึงควรใช้เกลือเม็ด

4. คนที่อยู่เบื้องหลัง extensiondefender.com (ใครก็ตามที่พวกเขามี) นอกจากนี้ยังได้มีการพัฒนาที่เย็นมากขยายเล็ก ๆ น้อย ๆ ที่เรียกว่า (รัวกลอง) ขยาย Defender ทั้งสองอย่างนี้ช่วยให้คุณสแกนส่วนขยายที่มีอยู่ของคุณเพื่อหาส่วนที่ "ไม่ดี" ที่รู้จักและบล็อกไม่ให้ติดตั้งส่วนขยายที่อยู่ในบัญชีดำ

ส่วนขยายใน OP ของฉันทั้งSmooth Gestures (ขอบคุณ @Dennis) และSexy Undo Close Tabเป็นแอดแวร์ จากซอร์สโค้ดของsupport/background.jsไฟล์หลังผมค่อนข้างแน่ใจว่าเป็นหนึ่งในการไฮแจ็กหน้าเว็บปัจจุบันของฉันโดยการสุ่ม แต่ฉันจะให้เวลาอีกสองสามวันเพื่อให้แน่ใจ

ส่วนขยายที่มีประโยชน์อีกอย่างคือตัวแจ้งการอัปเดตส่วนขยาย (ขอบคุณ@Dennis ) ซึ่งช่วยให้คุณทราบทุกครั้งที่มีการอัปเดตส่วนขยายซึ่งสามารถช่วยระบุผู้กระทำผิดในกรณีที่มีการอัปเดตพฤติกรรมประเภทนี้

ฉันจะมุ่งเน้นไปที่วิธีการตรวจจับ

ตรวจสอบการเปลี่ยนแปลง

ดูเหมือนจะชัดเจน ตรวจสอบหน้าส่วนขยายของ chrome เพื่อดูการเปลี่ยนแปลงเปรียบเทียบว่าส่วนขยายนั้นได้รับการอัปเดตล่าสุดเมื่อใดเมื่อพฤติกรรมเริ่มทำงาน นี่เป็นตัวชี้ที่ดีในกรณีที่คุณต้องการระบุนามสกุลที่ผิด

แยกวิเคราะห์สคริปต์พื้นหลัง

ในไฟล์ chrome extension manifest.json ให้มองหาbackgroundวัตถุดังนี้:

  "background" : {
    "persistent" : true,
    "scripts" : [
        "js/jquery.js",
        "js/jQuery.loadScript.js",
        "js/i18n.js",
        "js/MangaElt.js",
        "js/mgEntry.js",
        "js/BSync.js",
        "js/analytics.js",
        "js/personalstat.js",
        "js/wssql.js",
        "js/amrcsql.js",
        "js/background.js"
    ]
  },

โดยปกติสคริปต์เหล่านี้จะทำงานตลอดเวลาในขณะที่ส่วนขยายนั้นเปิดใช้งานอยู่และเป็นเวกเตอร์การโจมตีที่พบบ่อยที่สุด แยกข้อความสำหรับ:

chrome.extension.sendRequest({action: "opentab"
chrome.tabs.create({
chrome.windows.create({

และชื่อโดเมน (เช่นadnxs) เป็นวิธีการที่ดี สิ่งนี้จะไม่ทำงานหากไฟล์อยู่ในลักษณะที่ทำให้สับสนซึ่งเป็นตัวชี้ว่ามีบางสิ่งบางอย่างที่ซ่อนเร้นอยู่

กำจัดโดย bruteforce

วิธีที่ง่ายกว่านั้น แต่ในกรณีของคุณการยืดเวลาเป็นการยกเลิกส่วนขยายทีละส่วนจนกระทั่งคุณสามารถระบุผู้กระทำผิดได้

ตรวจสอบเหตุการณ์ซ็อกเก็ต

นี่คือขั้นสูงสุด แต่จะไม่ระบุส่วนขยาย แต่เป็นวิธีการรวบรวมข้อมูลข้อเสียเปรียบเพียงอย่างเดียวคือ chrome / ium อาจลบกิจกรรมเมื่อหน่วยความจำหมดและแนะนำค่าใช้จ่ายเล็กน้อย

เปรียบเทียบส่วนขยายของคุณกับคนอื่น ๆ ที่ได้รับผลกระทบ

หากคนสองคนมีปัญหาเดียวกันและมีส่วนขยายเดียวเท่านั้นพวกเขาสามารถสันนิษฐานได้อย่างปลอดภัยว่าส่วนขยายนั้นเป็นตัวการและปิดใช้งาน หากยังใช้งานไม่ได้แสดงว่าส่วนขยายนั้นสะอาดและสามารถเปรียบเทียบกับผู้อื่นได้

จุดเริ่มต้นที่ดีคือส่วนขยายสำหรับ "โครเมี่ยมสำหรับ Chrome" มันจะช่วยเปิดเผยส่วนขยายที่มีปัญหาของ KNOWN มีให้บริการใน Chrome เว็บสโตร์ฟรีไลต์และใช้งานง่ายมาก https://chrome.google.com/webstore/detail/shield-for-chrome/cbaffjopmgmcijlkoafmgnaiciogpdel

หรือ "ผู้พิทักษ์ส่วนขยาย" https://chrome.google.com/webstore/detail/extension-defender/lkakdehcmmnojcdalpkfgmhphnicaonm?hl=en

หากคุณติดตั้งWine Windows Emulatorอาจติดเชื้อและ Chrome กำลังเปิดขึ้นเนื่องจากมัลแวร์กำลังเปิดเบราว์เซอร์เริ่มต้น

คุณสามารถลองย้าย / ลบ~/.wineไดเรกทอรีและรีสตาร์ทเครื่อง ฉันมีปัญหาเดียวกันเมื่อสองสามเดือนก่อนและนั่นคือวิธีที่ฉันจะแก้ไข

ในการเข้าใจถึงปัญหาหลังฉันหวังว่าฉันจะเก็บสำเนาของไดเรกทอรีเพื่อตรวจสอบเฉพาะของการติดเชื้อ ในขณะที่ฉันไม่ทราบวิธีการนี้จะใช้งานได้และไม่มีการติดเชื้ออย่างกว้างขวางดังนั้นฉันจึงเลือกที่จะลบทั้งหมด

คุณแน่ใจหรือว่าเป็นมัลแวร์จริง ๆ มีผื่นโฆษณาเกิดขึ้นเองทำให้เกิดการเปลี่ยนเส้นทางเป็นต้นและเนื่องจากพวกเขาสามารถเรียกใช้ JavaScript ได้ค่อนข้างน้อยพวกเขาสามารถทำได้ด้วยความล่าช้า ความจริงที่ว่าการดีบักคำขอของคุณแสดงให้เห็นสิ่งที่ฉันเชื่อว่าเป็นแพลตฟอร์มการแสดงโฆษณาที่แนะนำว่าอาจเป็นที่ที่น่ามอง

ฉันจะลองใช้ ad blocker (ไม่แน่ใจว่าเป็นสิ่งที่ดีใน Chrome วันนี้)

ดูเหมือนว่า 99% จะเป็น Windows เท่านั้น - แต่ลองทำตามคำแนะนำนี้

จากสิ่งที่คุณโพสต์เป็นไปไม่ได้ที่จะบอกได้ว่าส่วนขยายใดที่ทำให้เกิดปัญหาเหล่านั้น

โชคดี!