Vírus de anúncios pop-up no chrome e no firefox

9

Uma caixa de anúncio pop-up aparece em qualquer site que estou abrindo. Tentei redefinir as configurações, desativar extensões, remover todos os usuários no chrome.

Parece que não se trata de cromo, já que o mesmo acontece no Firefox, que eu nem tinha aberto antes.

Suspeito que possa ter algo a ver com alguns repositórios que adicionei recentemente, mesmo se sim, o que fazer?

Deixe-me descrever o pop-up, pois não consigo carregar uma imagem porque não tenho reputação suficiente. Ele se coloca no meio da página e não é tão grande. Não se move com o restante da página, permanece ao rolar a página. No interior, às vezes há anúncios do google. O AdBlock bloqueia o conteúdo, mas não o pop-up em si.

Uma imagem do pop-up

O resultado do elemento de inspeção:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

insira a descrição da imagem aqui

Nota: Usando o AdBlock Plus, é possível bloqueá-lo. Acabei de adicionar o ID da div da caixa à lista de filtros, mas isso apenas cura os sintomas e não a doença real. Então a jornada continua.

Sobre a verificação com o ClamTk: Ele encontrou uma ameaça de 1732 que consiste principalmente (quero dizer quase todos) em arquivos do Windows e, curiosamente, alguns dos arquivos do ClamAV. Somente entradas significativas foram estas:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Acabei de excluir a coisa do Firefox, mas não acho que outras coisas sejam prejudiciais.

Ok, eu encontrei esse código suspeito na guia fontes da ferramenta de depuração do Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Mesmo ao tentar instalar o Ubuntu desde o início, ele está lá.

Esse cara parece ter o mesmo problema comigo. Eu suspeito que este seja um kit raiz de algum tipo, mas ambos rkhuntere chkrootkitnão encontrei nada. Talvez seja um novo kit raiz.

Eu tentei outro roteador sem sorte. Reiniciar o roteador numerosamente não ajudou. Ele não aparece mais na máquina Windows na rede ou no Windows (é um sistema de inicialização dupla), mas vi pelo menos uma vez nas duas. Eu acho que só tenho uma opção agora.

mumi
fonte
11
Você poderia adicionar à sua pergunta um instantâneo desse pop-up de anúncio ou captura de tela do chrome ou firefox?
Sergiy Kolodyazhnyy 28/10
2
Faça o upload do instantâneo em imgur.com e adicione o link na sua pergunta. Alguém colocará a imagem real lá.
user68186
11
No chrome, tente acessar chrome://pluginse postar uma lista do que você vê lá na postagem principal.
MoonRunestar 28/10
11
Hmmm, plugins página é igual ao meu - nada de peixe lá, parece
Sergiy Kolodyazhnyy
2
Isso parece uma injeção intermediária de anúncios. Você está em uma rede confiável? Você pode postar os detalhes das suas configurações de proxy, se estiver usando um proxy? Além disso, se possível, você poderia postar um link para o HTML completo de uma página da web que mostra o pop-up? Por fim, o pop-up aparece se você visitar uma página criptografada, como o seu webmail?
Travis G.

Respostas:

9

Como você mencionou no comentário que o outro computador na rede começou a ter o mesmo problema, pode ser que as configurações do seu roteador estejam alteradas ou o roteador esteja infectado (sim, isso é possível). Na verdade, seu problema é muito parecido com este post do security.stackexchange.com. FIY, você pode querer usar esse site nesses casos, porque há mais pessoas que lidam com esse tipo de problema.

OK, de volta ao problema. Se você pesquisar um pouco, descobrirá que provavelmente um problema muito comum com roteadores é quando as configurações de DNS são alteradas. Também há malware mais sério para roteadores. O servidor DNS é basicamente um tradutor: como os computadores lidam apenas com números, quando você digita "google.com" em um navegador, seu computador envia uma solicitação aos servidores DNS dizendo "Ei, qual é o endereço IP do google.com?". O servidor DNS do lado dele examina os bancos de dados e encontra quais IPs pertencem ao google.com. Agora, se as configurações de DNS do seu roteador forem alteradas, a solicitação será direcionada para um servidor DNS falso, que o redirecionará para um site falso ou para um site que parece real, mas com malware.

O que pode ser feito é o seguinte:

  • Acesse as configurações do seu roteador e verifique se as configurações de DNS foram alteradas. Você pode acessá-los normalmente digitando 192.168.0.1 na barra de endereços do Firefox ou em qualquer outro navegador e deve abrir uma página com todos os tipos de configurações para o seu roteador (leia o manual do roteador para garantir que o endereço esteja correto). Mas se você nunca examinou essas configurações antes, pode ser difícil determinar se alguma coisa foi alterada. Além disso, verifique se alguma configuração de roteamento foi alterada ou você vê algo suspeito aqui.

  • Redefina o roteador para as configurações padrão. Novamente, isso pode ser feito através do 192.168.0.1. Pode estar em "Opções avançadas", mas pesquise as configurações ou apenas leia o manual. A boa idéia é reiniciar o roteador depois de alterar as configurações para o padrão, para garantir que ele entre em vigor. Se isso ajudar e o pop-up não aparecer mais em nenhuma das máquinas, altere a senha de administrador do roteador para outra coisa que antes e algo forte, além de alterar a senha de wifi (WPA PSK ou o que você estiver usando).

  • Adquira um novo roteador. Você pode comprar um e configurá-lo ou entrar em contato com seu provedor de serviços de Internet, explicando a situação. Eles também podem oferecer mais opções.

Entre outras coisas, o que eu faria nesse caso é fazer alguns pequenos testes.

  • Você mencionou que se conecta por wifi e tem arquivos do Windows lá. Então é um laptop? você bota duas vezes? Tente levá-lo para outra rede e veja se o pop-up persiste. Se ele não aparecer em outra rede - é definitivamente o seu roteador.

  • Ele aparece no Windows? Se for o roteador, definitivamente não está relacionado ao sistema operacional ou ao seu navegador ou algo assim.

  • Altere suas configurações para DNS no Ubuntu. O problema é que o Network Manager do Ubuntu, por padrão, permitirá que um dnsmaq decida qual DNS usar (e geralmente será do seu provedor de serviços de Internet). Agora, você pode usar seu próprio DNS, independentemente do que o provedor de serviços de Internet fornece. Para fazer isso - abra o indicador Networ Manager no canto direito e vá para Editar conexões. Selecione a rede e clique no botão Editar. Vá para a guia IPv4, altere o menu suspenso de "Automático (DHCP)" para "Somente endereços automáticos (DHCP)" e onde os servidores DNS digitam o servidor DNS que você desejar. Você pode escolher 8.8.8.8 (DNS público do Google). Eu uso o OpenDNS (208.67.222.222). estes são bem conhecidos e confiáveis. Em seguida, abra o terminal e digite sudo nano /etc/NetworkManager/NetworkManager.confe altere a linha dns=dnsmasqpara#dns=dnsmasq. Salve o arquivo com Ctrl + O e saia com Ctrl + X. Agora você pode fazer sudo service network-manager restartou simplesmente reiniciar o computador. Eu preferiria reiniciar. Conecte novamente à sua rede e, uma vez pronto, no tipo de terminal nm-tool | tail. Deve confirmar que você está usando o DNS selecionado. Se o pop-up não persistir com essas configurações - definitivamente o problema de DNS do roteador. As etapas pelas quais passei aqui são as mesmas que descrevi em meu outro post aqui

É isso. Eu não sou especialista em segurança de computadores, então tudo neste post é o melhor que posso sugerir. Boa sorte! e informe-nos se isso ajuda ou como você resolveu o problema no final.

Sergiy Kolodyazhnyy
fonte
A reinicialização completa no roteador é provavelmente a melhor opção que você pode fazer sozinho #
Sergiy Kolodyazhnyy
1

Poderia ser suas configurações de proxy roteando seu tráfego através de algum servidor que injeta isso no HTML? Tente isso no seu terminal:

echo $http_proxy

Deve voltar sem nada. (Ou pelo menos nada inesperado.)

Chrisky
fonte
11
Sim, impresso nada
mumi
11
ESTÁ BEM. Portanto, provavelmente não é uma coisa de proxy. Outra sugestão: você tentou iniciar o Chrome Debugger (F12), use a guia Rede, visite uma página simples e depois analise o tráfego da Rede? O código do pop-up é exibido em algum lugar aqui? Ou, na sua falta: Wireshark. Novamente, visite a página mais simples que gera um anúncio e veja de onde vem o tráfego para isso. Se não vier pela rede, sim, provavelmente é um plug-in.
31514 Chriswell
De alguma forma, parou no chrome, mas no firefox mostra na rede. mas eu realmente não entendi o que eles significam. Eles são apenas domínios que usam anúncios do Google para anunciar. Se houver uma maneira de compartilhar o resultado da ferramenta de rede, eu posso.
mumi
0

Apenas a reinstalação dos navegadores deve corrigir isso. Eu tive um problema semelhante e removi o maior número possível de barras de ferramentas; mas nada ajudou. Se você puder, faça um backup dos favoritos e reinstale os navegadores.

vembutech
fonte
parece que não tem nada a ver com os navegadores, mas tentará se nada ajudar no final.
Mumi 28/10/2014
0

Tente instalar o Ad-block plus addon for chrome e firefox da Chrome Web Store e Firefox Addon Store, respectivamente. Isso deve se livrar de qualquer coisa irregular como o seu problema.

Espero que isto ajude...

manishraj2011
fonte
As extensões de prevenção de anúncios bloqueiam os anúncios dentro da caixa, mas não a própria caixa. É por isso que acho que é provavelmente um tipo de malware. Mas obrigada.
Mumi 28/10/2014
11
ABP pode bloquear a caixa, bem ...
manishraj2011
11
Eu consegui impedir que ele se mostrasse bloqueando seu ID de div das configurações do adblock, então praticamente o problema está resolvido, mas pode haver razões mais profundas para isso, então deixe-me esperar um pouco para aceitar isso como resposta, mas muito obrigado.
mumi
0

Pode ser uma extensão do navegador. Digite Menu> Ferramentas> Extensões, desinstale todas as extensões que você considerar suspeitas.

Portanto, você pode tentar remover os arquivos de configuração desses navegadores.

Feche o navegador, abra o terminal e execute:

rm -fR ~/.config/google-chrome

Abra o navegador.

Boa sorte.

Marcos Silveira
fonte
Somente o adblock está ativo agora e eu realmente não tenho muita extensão. Apenas uma pergunta sobre como remover coisas em um sistema Linux: isso é reversível?
Mumi 28/10/2014
11
Se você remover este diretório, ele não causará nenhum problema no seu sistema. O diretório ./config/google-chrome é criado quando você abre o navegador pela primeira vez. Quando você o remove e reabre o navegador, o diretório é criado novamente. Portanto, se você não sincronizar seus favoritos, recomendo que você renomeie o diretório usando, mv ~/.config/google-chrome ~/.config/google-chrome-backuppor exemplo.
Marcos Silveira
Hmm .. Isso não funcionou para mim :( Eu não significa que o arquivo de configuração coisa backup, mas excluindo.
mumi
@mumi Você mencionou que parou no chrome de alguma forma. Ele parou depois de excluir a pasta e reiniciar? Ou apenas aleatoriamente parado?
Sergiy Kolodyazhnyy 30/10
@Xieerqi aleatoriamente parou e voltou mais começou no outro computador na rede
mumi
0

Uma nova instalação do ubuntu parece resolver o problema.

mumi
fonte