Вірус реклами, що з’являється, як на хромі, так і на firefox

Спливаюче вікно оголошення з’являється на будь-якому веб-сайті, який я відкриваю. Спробували скинути налаштування, відключити розширення, видалити всіх користувачів Chrome.

Здається, це не про хром, оскільки те саме відбувається і на Firefox, якого я навіть раніше не відкривав.

Я підозрюю, що це може мати щось спільне з деякими сховищами, які я додав останнім часом, навіть якщо так, що робити?

Дозвольте описати спливаюче вікно, оскільки я не можу завантажити зображення, бо не маю достатньої репутації. Він розміщується в середині сторінки і не такий великий. Не переміщується з іншою частиною сторінки, залишається під час прокрутки сторінки. Всередині іноді є оголошення Google. AdBlock блокує вміст, але не саме спливаюче вікно.

Результат огляду елемента:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

Примітка. За допомогою AdBlock Plus можна заблокувати його. Я щойно додав ідентифікатор діва коробки до списку фільтрів, але це лише вилікує симптоми, а не фактичну хворобу. Тож подорож триває.

Про сканування за допомогою ClamTk: Він виявив загрозу 1732, яка складається здебільшого (я маю на увазі майже всі) файлів Windows та, що цікаво, деяких власних файлів ClamAV. Лише змістовні записи були такими:

• /usr/lib/shim/shim.efi
• /usr/lib/shim/shim.efi.signed
• /boot/efi/EFI/ubuntu/shimx64.efi
• /boot/efi/EFI/ubuntu/MokManager.efi
• /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Я щойно видалив Firefox, але не думаю, що інші речі шкідливі.

Гаразд, я знайшов цей підозрілий код на вкладці джерел інструмента налагодження Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Навіть при спробі встановити Ubuntu з самого початку він є.

Цей хлопець, здається, має таку ж проблему і зі мною. Я підозрюю, що це якийсь кореневий комплект, але і те, rkhunterі chkrootkitнічого не знайшли. Можливо, це новий кореневий набір.

Я спробував ще один роутер, не пощастивши. Перезапуск маршрутизатора численні не допомогли. Він більше не відображається на машині Windows в мережі або вікнах на моїй машині (це система подвійної завантаження), але я бачив принаймні один раз на обох. Я думаю, у мене зараз є лише один варіант.

Оскільки ви згадували в коментарі, що інший комп'ютер у мережі почав виникати з такою ж проблемою, можливо, налаштування роутера змінені або маршрутизатор заражений (так, це можливо). Насправді ваша проблема дуже схожа на цю публікацію від security.stackexchange.com. FIY, ви можете скористатися цим сайтом у таких випадках, адже там більше людей, які займаються подібними проблемами.

Добре, поверніться до проблеми. Якщо ви трохи вивчите це, ви побачите, що, мабуть, дуже поширена проблема з маршрутизаторами - це коли зміни DNS-налаштувань. Також є і більш серйозні зловмисні програми для маршрутизаторів. DNS-сервер в основному є перекладачем: оскільки комп'ютери мають справу лише з числами, коли ви вводите "google.com" у браузері, ваш комп'ютер надішле запит на сервери DNS із запитом "Привіт, що таке IP-адреса для google.com?". DNS-сервер на його стороні переглядає бази даних та виявляє, які IP-адреси належать google.com. Тепер, якщо налаштування DNS вашого маршрутизатора змінено, запит переходить на підроблений DNS-сервер, який перенаправить вас на підроблений веб-сайт або веб-сайт, схожий на справжнє, але зі шкідливим програмним забезпеченням.

Що можна зробити, це наступне:

• Перейдіть до налаштувань маршрутизатора та перевірте, чи були змінені настройки DNS. Ви можете отримати доступ до них, як правило, ввівши 192.168.0.1 в адресний рядок Firefox або будь-якого іншого браузера, і він повинен відкрити сторінку з усілякими налаштуваннями для вашого маршрутизатора (прочитайте в посібнику маршрутизатора, щоб переконатися, що адреса правильна). Але якщо ви ніколи раніше не переглядали ці налаштування, може бути важко визначити, змінилося чи ні. Крім того, подивіться, чи були змінені будь-які параметри маршрутизації чи ви побачите там щось рибне.

• Скиньте маршрутизатор до налаштувань за замовчуванням. Знову ж таки, це можна зробити через 192.168.0.1. Це може бути в розділі "Додаткові параметри", але знайдіть налаштування або просто прочитайте посібник. Хороша ідея - перезавантажити маршрутизатор після того, як ви змінили настройки назад до стандартних, щоб переконатися, що воно набуває чинності. Якщо це допомагає, і спливаюче вікно більше не з'являється на будь-якій машині, змініть пароль адміністратора маршрутизатора на щось інше, ніж раніше, і щось міцне, плюс можливо змінити пароль Wi-Fi (WPA PSK або все, що ви використовуєте).

• Отримайте новий роутер. Ви можете або придбати його самостійно, і налаштувати його, або звернутися до свого постачальника послуг Інтернет, пояснюючи ситуацію. Вони також можуть запропонувати більше варіантів.

Крім усього іншого, те, що я б робив у такому випадку, - це зробити невеликі тести.

• Ви згадали, що ви підключаєтесь через wifi та маєте там файли Windows. Так це ноутбук? ти подвійний черевик? Спробуйте перенести його в іншу мережу і побачити, чи не з’являється спливаюче вікно Якщо він не відображається на іншій мережі - це точно ваш маршрутизатор.

• Він відображається в Windows? Якщо це маршрутизатор, він, безумовно, не пов’язаний з ОС або вашими браузерами чи чим-небудь подібним.

• Змініть налаштування для DNS в Ubuntu. Вся справа в тому, що Менеджер мережі Ubuntu за замовчуванням дозволить дозволити dnsmaq вирішити, який DNS використовувати (і, як правило, це буде ваш Інтернет-провайдер '). Тепер ви можете використовувати свій власний DNS незалежно від того, що дає постачальник послуг Інтернету. Для цього - відкрийте індикатор Networ Manager у правому бічному куті та перейдіть до редагування з'єднань. Виберіть мережу та натисніть кнопку Редагувати. Перейдіть на вкладку IPv4, змініть спадне меню з "Автоматичне (DHCP)" на "Автоматичне (DHCP) адреси" лише там, де сервери DNS вводять будь-який сервер DNS, який вам подобається. Ви можете вибрати 8.8.8.8 (загальнодоступний DNS Google). Я використовую OpenDNS (208.67.222.222). вони добре відомі і їм довіряють. Потім відкрийте термінал і введіть sudo nano /etc/NetworkManager/NetworkManager.confі змініть рядок dns=dnsmasqна#dns=dnsmasq. Збережіть файл за допомогою Ctrl + O і вийдіть за допомогою Ctrl + X. Тепер ви можете зробити sudo service network-manager restartабо просто перезавантажити комп’ютер. Я вважаю за краще перезавантажувати. Знову підключіться до своєї мережі, і як тільки будете готові до термінального типу nm-tool | tail. Він повинен підтвердити, що ви використовуєте вибраний DNS. Якщо спливаюче вікно не зберігається з такими налаштуваннями - обов'язково проблема DNS маршрутизатора. Кроки, які я пройшов тут, такі ж, як я описав у своєму іншому дописі тут

Це все. Я ні в якому разі не експерт з комп'ютерної безпеки, тому все, що є в цій публікації, - найкраще, що я можу запропонувати. Удачі! і повідомте нам, чи це допомагає, або як ви вирішили проблему врешті-решт.

Чи можуть ваші налаштування проксі маршрутизувати ваш трафік через якийсь сервер, який вводить це в HTML? Спробуйте це зі свого терміналу:

echo $http_proxy

Потрібно повернутися ні з чим. (Або принаймні нічого несподіваного.)

Просто це потрібно виправити за допомогою перевстановлення браузерів. У мене була подібна проблема і видалено якомога більше панелей інструментів; але нічого не допомогло. Якщо можете, візьміть резервну копію закладок і перевстановіть браузери.

Спробуйте встановити Ad-block плюс addon для chrome та firefox з веб-магазину Chrome і Firefox Addon store відповідно. Це повинно позбутися нічого нестабільного, як ваша проблема.

Сподіваюся, це допомагає ...

Це може бути розширення для браузера. Будь ласка, введіть у меню> Інструменти> Розширення, видаліть усі розширення, які вважаєте підозрюваними.

Отже, ви можете спробувати видалити конфігураційні файли з цього браузера.

Закрийте браузер, відкрийте термінал і виконайте:

rm -fR ~/.config/google-chrome

Відкрийте браузер.

Удачі.

Свіжа установка ubuntu, здається, вирішує проблему.