ป๊อปอัพโฆษณาไวรัสบนทั้ง chrome และ firefox

9

ช่องโฆษณาป๊อปอัพจะปรากฏขึ้นทุกเว็บไซต์ที่ฉันเปิด พยายามรีเซ็ตการตั้งค่าปิดการใช้งานส่วนขยายนำผู้ใช้ทั้งหมดบน Chrome ออก

ดูเหมือนว่ามันไม่เกี่ยวกับโครเมี่ยมเนื่องจากมีสิ่งเดียวกันเกิดขึ้นกับ Firefox ด้วยซึ่งฉันไม่เคยเปิดมาก่อน

ฉันสงสัยว่าอาจมีบางอย่างเกี่ยวข้องกับที่เก็บข้อมูลบางส่วนที่ฉันเพิ่มเมื่อเร็ว ๆ นี้แม้ว่าจะต้องทำอย่างไร

ให้ฉันอธิบายป๊อปอัปเนื่องจากฉันไม่สามารถอัปโหลดภาพได้เนื่องจากฉันมีชื่อเสียงไม่เพียงพอ มันวางอยู่ตรงกลางของหน้าและไม่ใหญ่มาก ไม่ย้ายไปกับส่วนที่เหลือของหน้าอยู่ในขณะที่เลื่อนหน้า ข้างในบางครั้งก็มีโฆษณา google AdBlock บล็อกเนื้อหา แต่ไม่ใช่ป๊อปอัปเอง

รูปภาพของป๊อปอัป

ผลการตรวจสอบองค์ประกอบ:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

ป้อนคำอธิบายรูปภาพที่นี่

หมายเหตุ:การใช้ AdBlock Plus เป็นไปได้ที่จะปิดกั้น ฉันเพิ่งเพิ่มรหัสของ div ของกล่องลงในรายการตัวกรอง แต่นั่นเป็นเพียงการรักษาอาการไม่ใช่ความเจ็บป่วยจริง ดังนั้นการเดินทางจึงดำเนินต่อไป

เกี่ยวกับการสแกนด้วย ClamTk: พบภัยคุกคาม 1732 ซึ่งส่วนใหญ่ประกอบด้วยไฟล์ windows (และฉันหมายถึงเกือบทั้งหมด) และน่าสนใจบางไฟล์ของ ClamAV รายการที่มีความหมายเท่านั้นเหล่านี้:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

ฉันเพิ่งลบสิ่ง Firefox แต่ไม่คิดว่าสิ่งอื่น ๆ จะเป็นอันตราย

ตกลงฉันพบรหัสที่น่าสงสัยนี้จากแท็บแหล่งที่มาของเครื่องมือดีบักเกอร์ Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

แม้ในขณะที่พยายามติดตั้ง Ubuntu ตั้งแต่เริ่มต้นก็มี

ดูเหมือนว่าผู้ชายคนนี้จะมีปัญหาแบบเดียวกันกับฉัน ฉันสงสัยว่านี่เป็นชุดคิทบางอย่าง แต่ทั้งคู่rkhunterและchkrootkitไม่พบอะไรเลย อาจเป็นชุดรูทใหม่

ฉันลองเราเตอร์ตัวอื่นโดยไม่มีโชค การรีสตาร์ทเราเตอร์อย่างมากมายไม่ได้ช่วยอะไร มันไม่แสดงบนเครื่อง windows บนเครือข่ายหรือ windows บนเครื่องของฉัน (มันเป็นระบบบูตคู่) อีกต่อไป แต่ฉันเห็นอย่างน้อยหนึ่งครั้งในทั้งสอง ฉันเดาว่าฉันมีเพียงหนึ่งตัวเลือกในขณะนี้

14.04  malware  rootkit  popup-ads 
mumi
แหล่งที่มา
1
คุณสามารถเพิ่มสแนปชอตของโฆษณานั้นแบบป๊อปอัปหรือสกรีนช็อตของโครเมี่ยมหรือ Firefox ได้หรือไม่
Sergiy Kolodyazhnyy
2
โปรดอัพโหลดภาพรวมที่imgur.comและเพิ่มลิงค์ในคำถามของคุณ บางคนจะใส่รูปภาพจริงลงไป
user68186
1
ใน Chrome ลองไปที่chrome://pluginsและโพสต์รายการสิ่งที่คุณเห็นในโพสต์หลัก
MoonRunestar
1
อืมหน้าปลั๊กอินเหมือนกับของฉันไม่มีอะไรที่นั่นดูเหมือน
Sergiy Kolodyazhnyy
2
ดูเหมือนว่าโฆษณาจะเป็นแบบคนตรงกลาง คุณอยู่ในเครือข่ายที่เชื่อถือได้หรือไม่? คุณสามารถโพสต์รายละเอียดการตั้งค่าพร็อกซีของคุณได้หรือไม่หากคุณใช้พรอกซี นอกจากนี้หากเป็นไปได้คุณสามารถโพสต์ลิงก์ไปยัง HTML แบบเต็มของหน้าเว็บที่แสดงป๊อปอัปได้หรือไม่ ในที่สุดป๊อปอัพจะปรากฏขึ้นหากคุณเยี่ยมชมหน้าเข้ารหัสเช่นเว็บเมลของคุณ?
Travis G.

คำตอบ:

9

เนื่องจากคุณกล่าวถึงความคิดเห็นว่าคอมพิวเตอร์เครื่องอื่นในเครือข่ายเริ่มมีปัญหาเดียวกันอาจเป็นไปได้ว่าการตั้งค่าเราเตอร์ของคุณเปลี่ยนไปหรือเราเตอร์ติดไวรัส (ใช่เป็นไปได้) ที่จริงแล้วปัญหาของคุณคล้ายกับโพสต์นี้จาก security.stackexchange.com มาก FIY คุณอาจต้องการใช้เว็บไซต์นั้นในกรณีดังกล่าวเพราะมีคนจำนวนมากที่จัดการกับปัญหาประเภทนี้

ตกลงกลับไปที่ปัญหา หากคุณค้นคว้าเพียงเล็กน้อยคุณจะพบว่าปัญหาที่พบบ่อยกับเราเตอร์คือเมื่อมีการเปลี่ยนแปลงการตั้งค่า DNS นอกจากนี้ยังมีมัลแวร์ที่ร้ายแรงยิ่งขึ้นสำหรับเราเตอร์เช่นกัน เซิร์ฟเวอร์ DNS นั้นเป็นนักแปล: เนื่องจากคอมพิวเตอร์มีเพียงตัวเลขเท่านั้นเมื่อคุณพิมพ์ "google.com" ในเบราว์เซอร์คอมพิวเตอร์ของคุณจะส่งคำขอไปยังเซิร์ฟเวอร์ DNS โดยระบุว่า "สวัสดีที่อยู่ IP ของ google.com คืออะไร" เซิร์ฟเวอร์ DNS ที่อยู่ด้านข้างของเขาตรวจดูฐานข้อมูลและค้นหาว่า IP ใดเป็นของ google.com ตอนนี้หากการตั้งค่า DNS ของเราเตอร์ของคุณเปลี่ยนไปคำขอจะไปยังเซิร์ฟเวอร์ DNS ปลอมซึ่งจะนำคุณไปยังเว็บไซต์ปลอมหรือเว็บไซต์ที่ดูเหมือนของจริง แต่มีมัลแวร์

สิ่งที่สามารถทำได้คือ:

  • เข้าถึงการตั้งค่าเราเตอร์ของคุณและตรวจสอบว่ามีการเปลี่ยนแปลงการตั้งค่า DNS หรือไม่ คุณสามารถเข้าถึงได้โดยพิมพ์ 192.168.0.1 ลงในแถบที่อยู่ของ Firefox หรือเบราว์เซอร์อื่น ๆ และควรเปิดหน้าเว็บที่มีการตั้งค่าทุกประเภทสำหรับเราเตอร์ของคุณ (อ่านคู่มือของเราเตอร์เพื่อให้แน่ใจว่าที่อยู่นั้นถูกต้อง) แต่ถ้าคุณไม่เคยดูการตั้งค่าเหล่านี้มาก่อนมันอาจยากที่จะตัดสินว่ามีการเปลี่ยนแปลงบางอย่างหรือไม่ นอกจากนี้ดูว่าการตั้งค่าการกำหนดเส้นทางใด ๆ เปลี่ยนไปหรือคุณเห็นบางสิ่งบางอย่างที่นั่น

  • รีเซ็ตเราเตอร์เป็นการตั้งค่าเริ่มต้น อีกครั้งสามารถทำได้ผ่าน 192.168.0.1 สิ่งนี้อาจอยู่ภายใต้ "ตัวเลือกขั้นสูง" แต่ค้นหาในการตั้งค่าหรืออ่านคู่มือ ความคิดที่ดีคือรีบู๊ตเราเตอร์หลังจากที่คุณเปลี่ยนการตั้งค่ากลับเป็นค่าเริ่มต้นเพื่อให้แน่ใจว่าจะมีผล หากวิธีนี้ช่วยได้และป๊อปอัปไม่ได้เกิดขึ้นในเครื่องใดให้เปลี่ยนรหัสผ่านของผู้ดูแลระบบของเราเตอร์เป็นอย่างอื่นมาก่อนและสิ่งที่ดีรวมถึงอาจเปลี่ยนรหัสผ่าน wifi (WPA PSK หรืออะไรก็ตามที่คุณใช้)

  • รับเราเตอร์ใหม่ คุณสามารถซื้อด้วยตนเองและกำหนดค่าหรือติดต่อผู้ให้บริการอินเทอร์เน็ตของคุณอธิบายสถานการณ์ พวกเขาอาจเสนอตัวเลือกเพิ่มเติมเช่นกัน

เหนือสิ่งอื่นใดสิ่งที่ฉันทำในกรณีเช่นนี้คือทำการทดสอบเล็กน้อย

  • คุณบอกว่าคุณเชื่อมต่อด้วย wifi และมีไฟล์ Windows อยู่ที่นั่น มันคือแล็ปท็อปหรือไม่? คุณบูตสองครั้งหรือเปล่า ลองนำไปใช้กับเครือข่ายอื่นและดูว่าป๊อปอัปยังคงอยู่หรือไม่ ถ้ามันไม่ปรากฏใน networ อื่น - แน่นอนเราเตอร์ของคุณ

  • ปรากฏใน Windows หรือไม่ หากเป็นเราเตอร์จะไม่เกี่ยวข้องกับระบบปฏิบัติการหรือเบราว์เซอร์ของคุณหรืออะไรทำนองนั้น

  • เปลี่ยนการตั้งค่า DNS ใน Ubuntu สิ่งนี้คือตัวจัดการเครือข่ายของ Ubuntu โดยค่าเริ่มต้นจะให้ปลั๊กอิน dnsmaq ตัดสินใจว่า DNS จะใช้อะไร (และโดยทั่วไปจะเป็นผู้ให้บริการอินเทอร์เน็ตของคุณ ') ตอนนี้คุณสามารถใช้ DNS ของคุณเองไม่ว่าผู้ให้บริการอินเทอร์เน็ตจะให้อะไร หากต้องการทำเช่นนั้น - เปิดตัวบ่งชี้ Networ Manager ที่มุมด้านขวาและไปที่แก้ไขการเชื่อมต่อ เลือกเครือข่ายและคลิกปุ่มแก้ไข ไปที่แท็บ IPv4 เปลี่ยนเมนูแบบเลื่อนลงจาก "อัตโนมัติ (DHCP)" เป็น "ที่อยู่อัตโนมัติ (DHCP) เท่านั้น" และที่เซิร์ฟเวอร์ DNS พิมพ์ในเซิร์ฟเวอร์ DNS ที่คุณต้องการ คุณสามารถเลือก 8.8.8.8 (DNS สาธารณะของ Google) ฉันใช้ OpenDNS (208.67.222.222) สิ่งเหล่านี้เป็นที่รู้จักและเชื่อถือได้ จากนั้นเปิดเทอร์มินัลแล้วพิมพ์ sudo nano /etc/NetworkManager/NetworkManager.confและเปลี่ยนบรรทัด dns=dnsmasqเป็น#dns=dnsmasq. บันทึกไฟล์ด้วย Ctrl + O และออกด้วย Ctrl + X ตอนนี้คุณสามารถทำsudo service network-manager restartหรือรีบูตคอมพิวเตอร์ ฉันต้องการรีบูตเครื่อง nm-tool | tailเชื่อมต่ออีกครั้งกับเครือข่ายของคุณและเมื่อพร้อมในประเภทอาคาร ควรยืนยันว่าคุณใช้ DNS ที่คุณเลือก หากป๊อปอัพไม่คงอยู่กับการตั้งค่าดังกล่าว - ปัญหา DNS ของเราเตอร์แน่นอน ขั้นตอนที่ฉันได้ผ่านที่นี่เหมือนกับที่ฉันได้อธิบายไว้ในโพสต์อื่นของฉันที่นี่

อย่างนั้นแหละ. ฉันไม่มีผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์ดังนั้นทุกอย่างในโพสต์นี้เป็นสิ่งที่ดีที่สุดที่ฉันสามารถแนะนำได้ ขอให้โชคดี! และแจ้งให้เราทราบหากสิ่งนี้ช่วยได้หรือคุณแก้ไขปัญหาได้ในท้ายที่สุด

Sergiy Kolodyazhnyy
แหล่งที่มา
การรีเซ็ตแบบเต็มในเราเตอร์น่าจะเป็นตัวเลือกที่ดีที่สุดที่คุณสามารถทำได้ด้วยตัวเอง
Sergiy Kolodyazhnyy
1

อาจเป็นการตั้งค่าพร็อกซีของคุณซึ่งกำหนดเส้นทางการรับส่งข้อมูลของคุณผ่านเซิร์ฟเวอร์บางตัวที่แทรกสิ่งนี้ลงใน HTML ลองสิ่งนี้จากเทอร์มินัลของคุณ:

echo $http_proxy

ควรกลับมาไม่มีอะไร (หรืออย่างน้อยก็ไม่มีอะไรที่ไม่คาดคิด)

Chrisky
แหล่งที่มา
1
ใช่มันพิมพ์อะไร
mumi
1
ตกลง. ดังนั้นจึงอาจไม่ใช่สิ่งที่เป็นตัวแทน ข้อเสนอแนะอีกประการหนึ่ง: คุณลองใช้ Chrome Debugger (F12) ลองใช้แท็บเครือข่ายไปที่หน้าเว็บธรรมดาแล้วดูที่ปริมาณการใช้เครือข่ายหรือไม่ มีรหัสสำหรับป๊อปอัปให้บริการทุกที่หรือไม่ หรือล้มเหลวที่: Wireshark อีกครั้งไปที่หน้าง่ายที่สุดที่สร้างโฆษณาและดูว่าการรับส่งข้อมูลมาจากที่ใด หากไม่ได้มาผ่านเครือข่ายก็อาจเป็นปลั๊กอิน
Chrisky
มันหยุดบน Chrome แต่บน firefox มันจะแสดงบนเครือข่าย แต่ฉันไม่เข้าใจจริงๆว่าพวกเขาหมายถึงอะไร พวกเขาเป็นเพียงโดเมนที่ใช้โฆษณา Google เพื่อโฆษณา หากมีวิธีแบ่งปันผลลัพธ์ของเครื่องมือเครือข่ายฉันสามารถทำได้
mumi
0

เพียงแค่ติดตั้งเบราว์เซอร์ใหม่ควรแก้ไขปัญหานี้ ฉันมีปัญหาที่คล้ายกันและลบแถบเครื่องมือได้มากที่สุด แต่ไม่มีอะไรช่วย หากทำได้ให้สำรองข้อมูลบุ๊กมาร์กและติดตั้งเบราว์เซอร์ใหม่

vembutech
แหล่งที่มา
ดูเหมือนว่าจะไม่เกี่ยวข้องกับเบราว์เซอร์ แต่จะลองถ้าไม่มีอะไรช่วยในตอนท้าย
mumi
0

ลองติดตั้ง Ad-block plus addon สำหรับ chrome และ firefox จากChrome Web storeและFirefox Addon storeตามลำดับ ที่ควรกำจัดอะไรผิดปกติเหมือนปัญหาของคุณ

หวังว่านี่จะช่วย ...

manishraj2011
แหล่งที่มา
โฆษณาที่ป้องกันไม่ให้ส่วนขยายปิดกั้นโฆษณาที่อยู่ในกล่อง แต่ไม่ใช่กล่อง นั่นเป็นเหตุผลที่ฉันคิดว่าอาจเป็นมัลแวร์ชนิดหนึ่ง แต่ขอบคุณ.
mumi
1
ABP สามารถป้องกันกล่องเช่นกัน ...
manishraj2011
1
ฉันจัดการเพื่อป้องกันไม่ให้มันแสดงตัวเองโดยการปิดกั้น id ของมันจากการตั้งค่า adblock ดังนั้นในทางปฏิบัติปัญหาได้รับการแก้ไข แต่อาจมีเหตุผลที่ลึกกว่านั้นฉันขอรอสักครู่เพื่อตอบคำถามนี้ แต่ขอบคุณมาก
mumi
0

มันสามารถเป็นส่วนขยายของเบราว์เซอร์ โปรดป้อนในเมนู> เครื่องมือ> ส่วนขยายถอนการติดตั้งส่วนขยายทั้งหมดที่คุณคิดว่าน่าสงสัย

ดังนั้นคุณสามารถลองลบไฟล์การกำหนดค่าจากเบราว์เซอร์เหล่านี้

ปิดเบราว์เซอร์เปิดเทอร์มินัลและดำเนินการ:

rm -fR ~/.config/google-chrome

เปิดเบราว์เซอร์

โชคดี.

มาร์กอสซิลวีรา
แหล่งที่มา
มีเพียง adblock เท่านั้นที่ใช้งานได้ในขณะนี้และฉันไม่มีส่วนขยายมากนักเพียงแค่คำถามเดียวเกี่ยวกับการลบสิ่งต่าง ๆ บนระบบ linux: สามารถย้อนกลับได้หรือไม่
mumi
1
หากคุณลบไดเรกทอรีนี้จะไม่ทำให้เกิดปัญหาใด ๆ กับระบบของคุณ ไดเรกทอรี. / config / google-chrome ถูกสร้างขึ้นเมื่อคุณเปิดเบราว์เซอร์ในครั้งแรก เมื่อคุณลบออกแล้วเปิดเบราว์เซอร์อีกครั้งไดเรกทอรีจะถูกสร้างขึ้นอีกครั้ง ดังนั้นถ้าคุณไม่ syncronize บุ๊คมาร์คของคุณผมขอแนะนำให้คุณเปลี่ยนชื่อไดเรกทอรีโดยใช้mv ~/.config/google-chrome ~/.config/google-chrome-backupตัวอย่างเช่น
Marcos Silveira
อืม .. ที่ไม่ทำงานสำหรับฉัน :( ผมหมายถึงไม่ได้เป็นสิ่งสำรอง แต่การลบไฟล์ config.
mumi
@mumi คุณพูดว่ามันหยุดด้วยโครมอย่างใด มันหยุดหลังจากลบโฟลเดอร์และรีบูตหรือไม่ หรือหยุดแบบสุ่ม?
Sergiy Kolodyazhnyy
@Xieerqi สุ่มหยุดและกลับมาบวกเริ่มต้นที่คอมพิวเตอร์เครื่องอื่น ๆ ในเครือข่าย
mumi
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.