Popup-Anzeigenvirus auf Chrome und Firefox

9

Unabhängig von der Website, die ich öffne, wird ein Popup-Anzeigenfeld angezeigt. Es wurde versucht, Einstellungen zurückzusetzen, Erweiterungen zu deaktivieren und alle Benutzer auf Chrome zu entfernen.

Es scheint, dass es nicht um Chrom geht, da dasselbe auch in Firefox passiert, das ich vorher noch nicht einmal geöffnet hatte.

Ich vermute, dass es etwas mit einigen Repositories zu tun hat, die ich kürzlich hinzugefügt habe, auch wenn ja, was zu tun ist?

Lassen Sie mich das Popup beschreiben, da ich kein Bild hochladen kann, weil ich nicht genug Ruf habe. Es platziert sich in der Mitte der Seite und nicht so groß. Bewegt sich nicht mit dem Rest der Seite, bleibt beim Scrollen der Seite. Im Inneren gibt es manchmal Google-Anzeigen. AdBlock blockiert den Inhalt, nicht jedoch das Popup.

Ein Bild des Popups

Das Ergebnis des Inspektionselements:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins::

Geben Sie hier die Bildbeschreibung ein

Hinweis: Mit AdBlock Plus können Sie es blockieren. Ich habe gerade die ID des Div der Box zur Filterliste hinzugefügt, aber das heilt nur die Symptome und nicht die eigentliche Krankheit. Die Reise geht also weiter.

Informationen zum Scannen mit ClamTk: Es wurde eine Bedrohung von 1732 festgestellt, die hauptsächlich (ich meine fast alle) aus Windows-Dateien und interessanterweise aus einigen ClamAV-eigenen Dateien besteht. Nur sinnvolle Einträge waren diese:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Ich habe gerade das Firefox-Ding gelöscht, denke aber nicht, dass andere Dinge schädlich sind.

Ok, ich habe diesen verdächtigen Code auf der Registerkarte "Quellen" des Firefox-Debugger-Tools gefunden:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Selbst wenn Sie versuchen, Ubuntu von Anfang an zu installieren, ist es da.

Dieser Typ scheint das gleiche Problem mit mir zu haben. Ich vermute, dass dies ein Root-Kit ist, aber beides, rkhunterund chkrootkithabe nichts gefunden. Vielleicht ist es ein neues Root-Kit.

Ich habe einen anderen Router ohne Glück ausprobiert. Das numerische Neustarten des Routers hat nicht geholfen. Es wird auf dem Windows-Computer im Netzwerk oder auf Windows auf meinem Computer (es ist ein Dual-Boot-System) nicht mehr angezeigt, aber ich habe es auf beiden mindestens einmal gesehen. Ich habe jetzt wohl nur eine Option.

14.04  malware  rootkit  popup-ads 
mumi
quelle
1
Könnten Sie Ihrer Frage einen Schnappschuss dieses Anzeigen-Popups oder einen Screenshot von Chrome oder Firefox hinzufügen?
Sergiy Kolodyazhnyy
2
Bitte laden Sie den Schnappschuss auf imgur.com hoch und fügen Sie den Link in Ihre Frage ein. Jemand wird das eigentliche Bild dort einfügen.
user68186
1
Versuchen Sie in Chrome, chrome://pluginseine Liste dessen zu veröffentlichen, was Sie dort im Hauptbeitrag sehen.
MoonRunestar
1
Hmmm, Plugins Seite ist die gleiche wie meine - nichts faul dort, wie es scheint
Sergiy Kolodyazhnyy
2
Dies sieht aus wie eine Man-in-the-Middle-Injektion von Anzeigen. Befinden Sie sich in einem vertrauenswürdigen Netzwerk? Können Sie die Details Ihrer Proxy-Einstellungen veröffentlichen, wenn Sie einen Proxy verwenden? Könnten Sie nach Möglichkeit auch einen Link zum vollständigen HTML-Code einer Webseite veröffentlichen, auf der das Popup angezeigt wird? Erscheint das Popup schließlich, wenn Sie eine verschlüsselte Seite wie Ihre Webmail besuchen?
Travis G.

Antworten:

9

Da Sie in einem Kommentar erwähnt haben, dass auf dem anderen Computer im Netzwerk das gleiche Problem aufgetreten ist, kann es sein, dass Ihre Router-Einstellungen geändert wurden oder der Router infiziert ist (ja, das ist möglich). Tatsächlich ist Ihr Problem diesem Beitrag von security.stackexchange.com sehr ähnlich . FIY, vielleicht möchten Sie diese Site in solchen Fällen verwenden, weil es mehr Leute gibt, die sich mit dieser Art von Problemen befassen.

OK, zurück zum Problem. Wenn Sie ein wenig nachforschen, werden Sie feststellen, dass ein sehr häufiges Problem bei Routern wahrscheinlich darin besteht, dass die DNS-Einstellungen geändert werden. Es gibt auch schwerwiegendere Malware für Router. Der DNS-Server ist im Grunde ein Übersetzer: Da Computer nur mit Zahlen umgehen, sendet Ihr Computer bei Eingabe von "google.com" in einem Browser eine Anfrage an DNS-Server mit der Meldung "Hey, wie lautet die IP-Adresse für google.com?". Der DNS-Server auf seiner Seite durchsucht Datenbanken und findet heraus, welche IPs zu google.com gehören. Wenn nun die DNS-Einstellungen Ihres Routers geändert werden, wird die Anfrage an einen gefälschten DNS-Server weitergeleitet, der Sie zu einer gefälschten Website oder einer Website weiterleitet, die wie echt aussieht, aber Malware enthält.

Was getan werden kann, ist Folgendes:

  • Greifen Sie auf die Einstellungen Ihres Routers zu und überprüfen Sie, ob die DNS-Einstellungen geändert wurden. Sie können normalerweise darauf zugreifen, indem Sie 192.168.0.1 in die Adressleiste von Firefox oder einem anderen Browser eingeben. Daraufhin sollte eine Seite mit allen möglichen Einstellungen für Ihren Router geöffnet werden (lesen Sie im Handbuch Ihres Routers nach, um sicherzustellen, dass die Adresse stimmt). Wenn Sie sich diese Einstellungen jedoch noch nie angesehen haben, kann es schwierig sein, festzustellen, ob etwas geändert wurde oder nicht. Überprüfen Sie auch, ob Routing-Einstellungen geändert wurden oder ob dort etwas faul ist.

  • Setzen Sie den Router auf die Standardeinstellungen zurück. Dies kann wiederum bis 192.168.0.1 erfolgen. Dies kann unter "Erweiterte Optionen" sein, aber suchen Sie in den Einstellungen oder lesen Sie einfach das Handbuch. Es empfiehlt sich, den Router neu zu starten, nachdem Sie die Einstellungen auf die Standardeinstellungen zurückgesetzt haben, um sicherzustellen, dass sie wirksam werden. Wenn dies hilft und das Popup auf beiden Computern nicht mehr angezeigt wird, ändern Sie das Administratorkennwort des Routers in etwas anderes als zuvor und in ein starkes Kennwort. Ändern Sie möglicherweise das WLAN-Kennwort (WPA PSK oder was auch immer Sie verwenden).

  • Holen Sie sich einen neuen Router. Sie können entweder eines selbst kaufen und konfigurieren oder sich an Ihren Internetdienstanbieter wenden, um die Situation zu erläutern. Sie bieten möglicherweise auch mehr Optionen.

In einem solchen Fall würde ich unter anderem einige kleine Tests durchführen.

  • Sie haben erwähnt, dass Sie eine WLAN-Verbindung herstellen und dort Windows-Dateien haben. Also ist es ein Laptop? Sie Doppelboot? Versuchen Sie, es in ein anderes Netzwerk zu übertragen, und prüfen Sie, ob das Popup weiterhin angezeigt wird. Wenn es nicht in einem anderen Netzwerk angezeigt wird, ist es definitiv Ihr Router.

  • Wird es in Windows angezeigt? Wenn es sich um den Router handelt, hängt er definitiv nicht mit dem Betriebssystem, Ihren Browsern oder Ähnlichem zusammen.

  • Ändern Sie Ihre Einstellungen für DNS in Ubuntu. Die Sache ist, dass Ubuntus Network Manager standardmäßig ein DNSMQ-Plug-In entscheiden lässt, welches DNS verwendet werden soll (und normalerweise das Ihres Internetdienstanbieters). Jetzt können Sie Ihr eigenes DNS verwenden, unabhängig davon, was der Internetdienstanbieter anbietet. Öffnen Sie dazu die Networ Manager-Anzeige in der rechten Ecke und gehen Sie zu Verbindungen bearbeiten. Wählen Sie das Netzwerk aus und klicken Sie auf die Schaltfläche Bearbeiten. Gehen Sie zur Registerkarte IPv4, ändern Sie das Dropdown-Menü von "Automatisch (DHCP)" in "Nur automatische (DHCP) Adressen" und geben Sie an, wo DNS-Server einen beliebigen DNS-Server eingeben. Sie können 8.8.8.8 (Googles öffentliches DNS) auswählen. Ich benutze OpenDNS (208.67.222.222). Diese sind bekannt und vertrauenswürdig. Öffnen Sie dann das Terminal sudo nano /etc/NetworkManager/NetworkManager.confund geben Sie die Zeile ein und ändern Sie sie dns=dnsmasqin#dns=dnsmasq. Speichern Sie die Datei mit Strg + O und beenden Sie sie mit Strg + X. Jetzt können Sie sudo service network-manager restartden Computer entweder neu starten. Ich würde es vorziehen, neu zu starten. Stellen Sie erneut eine Verbindung zu Ihrem Netzwerk her und stellen Sie den Terminaltyp bereit nm-tool | tail. Es sollte bestätigen, dass Sie Ihr ausgewähltes DNS verwenden. Wenn das Popup mit solchen Einstellungen nicht bestehen bleibt, ist dies definitiv das DNS-Problem des Routers. Die Schritte, die ich hier durchlaufen habe, sind die gleichen, die ich in meinem anderen Beitrag hier beschrieben habe

Das ist es. Ich bin in keiner Weise ein Experte für Computersicherheit, daher ist alles in diesem Beitrag das Beste, was ich vorschlagen kann. Viel Glück! und lassen Sie uns wissen, ob dies hilft oder wie Sie das Problem am Ende gelöst haben.

Sergiy Kolodyazhnyy
quelle
Ein vollständiger Reset im Router ist wahrscheinlich die beste Option, die Sie selbst durchführen können
Sergiy Kolodyazhnyy,
1

Könnten es Ihre Proxy-Einstellungen sein, die Ihren Datenverkehr über einen Server weiterleiten, der dies in den HTML-Code einfügt? Versuchen Sie dies von Ihrem Terminal aus:

echo $http_proxy

Sollte mit nichts zurückkommen. (Oder zumindest nichts Unerwartetes.)

Chrisky
quelle
1
Ja, es wurde nichts gedruckt
mumi
1
OKAY. Es ist also wahrscheinlich keine Proxy-Sache. Ein weiterer Vorschlag: Haben Sie versucht, den Chrome-Debugger (F12) zu starten, die Registerkarte "Netzwerk" zu verwenden, eine einfache Seite zu besuchen und dann den Netzwerkverkehr zu überprüfen? Wird der Code für das Popup hier irgendwo angezeigt? Oder scheitert das: Wireshark. Besuchen Sie erneut die einfachste Seite, auf der eine Anzeige erstellt wird, und sehen Sie, woher der Datenverkehr dafür stammt. Wenn es nicht über das Netzwerk kommt, dann ist es wahrscheinlich ein Plug-In.
Chrisky
Es hat irgendwie auf Chrome aufgehört, aber auf Firefox wird es im Netzwerk angezeigt. aber ich habe wirklich nicht verstanden, was sie bedeuten. Es handelt sich lediglich um Domains, die Google-Anzeigen zur Werbung verwenden. Wenn es eine Möglichkeit gibt, das Ergebnis des Netzwerk-Tools zu teilen, kann ich.
Mumi
0

Nur eine Neuinstallation der Browser sollte dies beheben. Ich hatte ein ähnliches Problem und entfernte so viele Symbolleisten wie möglich. aber nichts half. Wenn Sie könnten, erstellen Sie eine Sicherungskopie der Lesezeichen und installieren Sie die Browser neu.

vembutech
quelle
es scheint nichts mit Browsern zu tun zu haben, wird es aber versuchen, wenn am Ende nichts hilft.
Mumi
0

Versuchen Sie, Ad-Block Plus Addon für Chrome und Firefox aus dem Chrome Web Store bzw. dem Firefox Addon Store zu installieren . Das sollte alles Unberechenbare wie Ihr Problem loswerden.

Hoffe das hilft...

manishraj2011
quelle
Erweiterungen zur Verhinderung von Anzeigen blockieren die Anzeigen in der Box, nicht jedoch die Box selbst. Deshalb denke ich, dass es wahrscheinlich eine Art Malware ist. Aber danke.
Mumi
1
ABP kann die Box auch blockieren ...
manishraj2011
1
Ich habe es geschafft, zu verhindern, dass es sich zeigt, indem ich seine Div-ID für die Adblock-Einstellungen blockiert habe. Das Problem ist also praktisch gelöst, aber es kann tiefere Gründe dafür geben. Lassen Sie mich also etwas warten, bis ich dies als Antwort akzeptiere, aber vielen Dank.
Mumi
0

Es kann eine Browsererweiterung sein. Bitte geben Sie unter Menü> Extras> Erweiterungen alle Erweiterungen ein, die Sie als verdächtig betrachten.

Sie können also versuchen, die Konfigurationsdateien aus diesem Browser zu entfernen.

Schließen Sie den Browser, öffnen Sie das Terminal und führen Sie Folgendes aus:

rm -fR ~/.config/google-chrome

Öffnen Sie den Browser.

Viel Glück.

Marcos Silveira
quelle
Nur Adblock ist jetzt aktiv und ich habe wirklich nicht viel Erweiterung. Nur eine Frage zum Entfernen von Dingen auf einem Linux-System: Ist das umkehrbar?
Mumi
1
Wenn Sie dieses Verzeichnis entfernen, treten auf Ihrem System keine Probleme auf. Das Verzeichnis ./config/google-chrome wird erstellt, wenn Sie den Browser zum ersten Mal öffnen. Wenn Sie es entfernen und den Browser erneut öffnen, wird das Verzeichnis erneut erstellt. Wenn Sie Ihre Lesezeichen also nicht synchronisieren, empfehle ich Ihnen, das Verzeichnis mv ~/.config/google-chrome ~/.config/google-chrome-backupbeispielsweise mit umzubenennen .
Marcos Silveira
Hmm .. Das hat bei mir nicht funktioniert :( Ich meine nicht die Sicherungssache, sondern das Löschen der Konfigurationsdatei.
mumi
@mumi Du hast erwähnt, dass es irgendwie in Chrom aufgehört hat. Hat es nach dem Löschen des Ordners und dem Neustart aufgehört? Oder einfach zufällig gestoppt?
Sergiy Kolodyazhnyy
@ Xieerqi zufällig gestoppt und kam zurück und startete am anderen Computer im Netzwerk
mumi
0

Eine Neuinstallation von Ubuntu scheint das Problem zu lösen.

mumi
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.