Virus iklan popup pada chrome dan firefox

9

Kotak iklan pop-up muncul situs apa pun yang saya buka. Mencoba mengatur ulang pengaturan, menonaktifkan ekstensi, menghapus semua pengguna di chrome.

Sepertinya ini bukan tentang chrome karena hal yang sama terjadi pada Firefox juga yang saya belum pernah buka sebelumnya.

Saya menduga itu mungkin ada hubungannya dengan beberapa repositori yang saya tambahkan belakangan ini, bahkan jika demikian apa yang harus dilakukan?

Izinkan saya menjelaskan sembulan karena saya tidak dapat mengunggah gambar karena saya tidak memiliki reputasi yang cukup. Itu menempatkan dirinya di tengah halaman dan tidak terlalu besar. Tidak bergerak dengan sisa halaman, tetap saat menggulir halaman. Di dalam terkadang ada iklan google. AdBlock memblokir konten tetapi tidak pop-up itu sendiri.

Gambar pop-up

Hasil pemeriksaan elemen:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

masukkan deskripsi gambar di sini

Catatan: Menggunakan AdBlock Plus dimungkinkan untuk memblokirnya. Saya baru saja menambahkan id kotak div ke daftar filter tapi itu hanya menyembuhkan gejalanya bukan penyakit yang sebenarnya. Jadi perjalanan terus berlanjut.

Tentang pemindaian dengan ClamTk: Ditemukan beberapa ancaman 1732 yang sebagian besar terdiri (maksud saya hampir semuanya) dari file windows dan menariknya beberapa file ClamAV sendiri. Hanya entri yang bermakna adalah ini:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Saya baru saja menghapus Firefox tetapi tidak menganggap hal lain berbahaya.

Oke, saya menemukan kode mencurigakan ini dari tab sumber alat debugger Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Bahkan ketika mencoba menginstal Ubuntu dari awal, sudah ada di sana.

Orang ini sepertinya memiliki masalah yang sama denganku. Saya menduga ini semacam root kit tapi keduanya rkhunterdan chkrootkittidak menemukan apa pun. Mungkin itu adalah root kit baru.

Saya mencoba router lain tanpa hasil. Restart router dengan jumlah banyak tidak membantu. Itu tidak muncul di mesin windows di jaringan atau windows di mesin saya (ini adalah sistem dual boot) lagi tapi saya melihat setidaknya sekali pada keduanya. Saya kira saya hanya punya satu pilihan sekarang.

14.04  malware  rootkit  popup-ads 
mumi
sumber
1
Bisakah Anda menambahkan snapshot iklan pop-up atau tangkapan layar chrome atau firefox ke pertanyaan Anda?
Sergiy Kolodyazhnyy
2
Unggah foto itu di imgur.com dan tambahkan tautan di pertanyaan Anda. Seseorang akan menaruh gambar yang sebenarnya di sana.
user68186
1
Di chrome, coba buka chrome://pluginsdan posting daftar apa yang Anda lihat ada di pos utama.
MoonRunestar
1
Hmmm, halaman plugin sama dengan milik saya - sepertinya tidak mencurigakan
Sergiy Kolodyazhnyy
2
Ini seperti suntikan iklan dari orang ke tengah. Apakah Anda berada di jaringan tepercaya? Bisakah Anda memposting detail pengaturan proxy Anda, jika Anda menggunakan proxy? Juga, jika mungkin, dapatkah Anda memposting tautan ke HTML lengkap dari halaman web yang menampilkan popup? Akhirnya, apakah popup muncul jika Anda mengunjungi halaman terenkripsi, seperti webmail Anda?
Travis G.

Jawaban:

9

Karena Anda menyebutkan dalam komentar bahwa komputer lain di jaringan mulai mengalami masalah yang sama, mungkin pengaturan router Anda diubah atau router terinfeksi (ya, itu mungkin). Bahkan, masalah Anda sangat mirip dengan posting ini dari security.stackexchange.com. FIY, Anda mungkin ingin menggunakan situs itu dalam kasus seperti itu, karena ada lebih banyak orang yang berurusan dengan masalah seperti ini.

Oke, kembali ke masalah. Jika Anda sedikit meneliti, Anda akan menemukan bahwa mungkin masalah yang sangat umum pada router adalah ketika pengaturan DNS diubah. Ada juga malware yang lebih serius untuk router. Server DNS pada dasarnya adalah penerjemah: karena komputer hanya menangani angka, ketika Anda mengetik "google.com" di browser, komputer Anda akan mengirim permintaan ke server DNS yang mengatakan "Hei, apa alamat IP untuk google.com?". Server DNS di sisinya melihat melalui database, dan menemukan IP apa yang menjadi milik google.com. Sekarang, jika pengaturan DNS router Anda diubah, permintaan masuk ke server DNS palsu, yang akan mengarahkan Anda ke situs web palsu atau situs web yang tampak seperti asli tetapi dengan malware.

Yang bisa dilakukan adalah sebagai berikut:

  • Akses pengaturan router Anda, dan periksa apakah pengaturan DNS telah diubah. Anda dapat mengaksesnya dengan mengetik 192.168.0.1 di address bar Firefox atau browser lain, dan itu akan membuka halaman dengan segala macam pengaturan untuk router Anda (baca di manual router Anda untuk memastikan alamatnya benar). Tetapi jika Anda belum pernah melihat pengaturan ini sebelumnya, mungkin sulit untuk menentukan apakah sesuatu telah diubah atau tidak. Juga, lihat apakah ada pengaturan perutean yang diubah atau Anda melihat sesuatu yang mencurigakan di sana.

  • Atur ulang router ke pengaturan default. Sekali lagi, ini dapat dilakukan melalui 192.168.0.1. Ini mungkin di bawah "Opsi Lanjut", tetapi cari di sekitar pengaturan atau hanya membaca manual. Ide bagus adalah me-reboot router setelah Anda mengubah pengaturan kembali ke default untuk memastikan itu berlaku. Jika itu membantu dan popup tidak muncul lagi di kedua mesin, ubah kata sandi admin router menjadi sesuatu yang lain dari sebelumnya dan sesuatu yang kuat, plus mungkin ubah kata sandi wifi (WPA PSK atau apa pun yang Anda gunakan).

  • Dapatkan router baru. Anda dapat membeli sendiri dan mengonfigurasinya atau menghubungi penyedia layanan Internet Anda, menjelaskan situasinya. Mereka mungkin menawarkan lebih banyak opsi juga.

Antara lain, apa yang akan saya lakukan dalam kasus ini adalah melakukan beberapa tes kecil.

  • Anda menyebutkan bahwa Anda terhubung dengan wifi dan memiliki file Windows di sana. Jadi itu laptop? Anda menggandakan boot? Coba bawa ke jaringan lain, dan lihat apakah pop-up tetap ada. Jika tidak muncul di networ lain - itu pasti router Anda.

  • Apakah itu muncul di Windows? Jika itu router, itu secara pasti tidak terkait dengan OS atau browser Anda atau semacamnya.

  • Ubah pengaturan Anda untuk DNS di Ubuntu. Masalahnya adalah bahwa Network Manager Ubuntu secara default akan membiarkan plug dnsmaq memutuskan apa DNS yang akan digunakan (dan biasanya itu akan menjadi penyedia layanan internet Anda '). Sekarang, Anda dapat menggunakan DNS Anda sendiri terlepas dari apa yang diberikan penyedia layanan internet. Untuk melakukan itu - buka indikator Networ Manager di sudut kanan dan pergi ke Edit koneksi. Pilih jaringan, dan klik tombol Edit. Buka tab IPv4, ubah menu tarik turun dari "Otomatis (DHCP)" menjadi "Hanya alamat otomatis (DHCP)", dan di mana server DNS mengetikkan server DNS apa pun yang Anda suka. Anda dapat memilih 8.8.8.8 (DNS publik Google). Saya menggunakan OpenDNS (208.67.222.222). ini dikenal dan dipercaya. Kemudian buka terminal dan ketik sudo nano /etc/NetworkManager/NetworkManager.confdan ganti baris dns=dnsmasqke#dns=dnsmasq. Simpan file dengan Ctrl + O dan keluar dengan Ctrl + X. Sekarang Anda bisa melakukan sudo service network-manager restartatau cukup reboot komputer. Saya lebih suka me-reboot. Hubungkan kembali ke jaringan Anda, dan sekali siap dalam jenis terminal nm-tool | tail. Seharusnya konfirmasi Anda menggunakan DNS yang Anda pilih. Jika popup tidak berlanjut dengan pengaturan seperti itu - pasti masalah DNS router. Langkah-langkah yang saya lalui di sini sama dengan yang saya jelaskan di posting saya yang lain di sini

Hanya itu saja. Saya bukan ahli keamanan komputer, jadi semua yang ada di posting ini adalah yang terbaik yang bisa saya sarankan. Semoga berhasil! dan beri tahu kami jika ini membantu, atau bagaimana Anda menyelesaikan masalah pada akhirnya.

Sergiy Kolodyazhnyy
sumber
Reset penuh pada router mungkin merupakan opsi terbaik yang dapat Anda lakukan sendiri
Sergiy Kolodyazhnyy
1

Mungkinkah pengaturan Proxy Anda merutekan lalu lintas Anda melalui beberapa server yang menyuntikkan ini ke HTML? Coba ini dari terminal Anda:

echo $http_proxy

Harus kembali tanpa apa-apa. (Atau setidaknya tidak ada yang tak terduga.)

Chrisky
sumber
1
Ya itu tidak mencetak apa
mumi
1
BAIK. Jadi itu mungkin bukan hal proxy. Saran lain: apakah Anda sudah mencoba menjalankan Chrome Debugger (F12), menggunakan tab Network, mengunjungi halaman sederhana, lalu melihat lalu lintas Jaringan? Apakah kode untuk sembulan disajikan di mana saja di sini? Atau gagal itu: Wireshark. Sekali lagi, kunjungi halaman paling sederhana yang menghasilkan iklan, dan lihat dari mana datangnya traffic ini. Jika itu tidak datang melalui jaringan, maka ya, itu mungkin sebuah plug-in.
Chrisky
Entah bagaimana berhenti pada chrome tetapi pada firefox itu menunjukkan pada jaringan. tetapi saya benar-benar tidak mengerti apa artinya. Itu hanya domain yang menggunakan iklan google untuk beriklan. Jika ada cara untuk membagikan hasil dari alat jaringan, saya bisa.
mumi
0

Hanya menginstal ulang browser yang harus memperbaikinya. Saya memiliki masalah serupa dan menghapus sebanyak mungkin toolbar; tetapi tidak ada yang membantu. Jika Anda bisa, ambil cadangan bookmark dan instal ulang browser.

vembutech
sumber
tampaknya tidak ada hubungannya dengan browser tetapi akan mencobanya jika tidak ada yang membantu pada akhirnya.
mumi
0

Coba pasang Ad-blok plus addon untuk chrome dan firefox dari Chrome Web store dan Firefox Addon store masing-masing. Itu harus menyingkirkan sesuatu yang tidak menentu seperti masalah Anda.

Semoga ini membantu...

manishraj2011
sumber
Ekstensi yang mencegah iklan memblokir iklan di dalam kotak tetapi bukan kotak itu sendiri. Itu sebabnya saya pikir itu mungkin semacam malware. Tapi terima kasih.
mumi
1
ABP dapat memblokir kotak juga ...
manishraj2011
1
Saya berhasil mencegahnya muncul dengan memblokir id id-nya dari pengaturan adblock, jadi praktis masalahnya sudah terpecahkan tetapi mungkin ada alasan yang lebih dalam untuk itu, jadi saya tunggu sedikit untuk menerima ini sebagai jawaban tetapi terima kasih banyak.
mumi
0

Ini bisa menjadi ekstensi browser. Silakan masuk di Menu> Alat> Ekstensi, copot semua ekstensi yang Anda anggap mencurigakan.

Jadi, Anda dapat mencoba menghapus file konfigurasi dari browser ini.

Tutup browser, buka terminal dan lakukan:

rm -fR ~/.config/google-chrome

Buka browser.

Semoga berhasil.

Marcos Silveira
sumber
Hanya adblock yang aktif sekarang dan saya benar-benar tidak memiliki banyak ekstensi. Hanya satu pertanyaan tentang menghapus sesuatu pada sistem linux: apakah ini reversibel?
mumi
1
Jika Anda menghapus direktori ini, itu tidak akan membuat masalah pada sistem Anda. Direktori ./config/google-chrome dibuat saat Anda membuka browser saat pertama kali. Ketika Anda menghapusnya dan buka kembali browser direktori dibuat lagi. Jadi, jika Anda tidak menyinkronkan bookmark Anda, saya sarankan Anda mengganti nama direktori menggunakan mv ~/.config/google-chrome ~/.config/google-chrome-backupmisalnya.
Marcos Silveira
Hmm .. Itu tidak berhasil untuk saya :( Maksud saya bukan hal cadangan tetapi menghapus file konfigurasi.
mumi
@mumi Anda menyebutkan bahwa entah bagaimana berhenti di chrome. Apakah berhenti setelah menghapus folder dan reboot? Atau berhenti secara acak?
Sergiy Kolodyazhnyy
@Xieerqi Secara acak berhenti dan kembali ditambah mulai di komputer lain di jaringan
mumi
0

Instalasi ubuntu yang baru tampaknya menyelesaikan masalah.

mumi
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.