Chrome 和 Firefox 上的弹出广告病毒

Chrome 和 Firefox 上的弹出广告病毒

无论我打开什么网站,都会出现弹出广告框。尝试过重置设置、禁用扩展程序、删除 Chrome 上的所有用户。

看来这与 chrome 无关,因为同样的事情也发生在 Firefox 上,而我之前甚至没有打开过它。

我怀疑这可能与我最近添加的一些存储库有关,即使如此,该怎么办?

让我描述一下弹出窗口,因为我的信誉不够,所以无法上传图片。它位于页面中间,不是很大。不会随页面的其余部分移动,滚动页面时会停留。里面有时会有谷歌广告。AdBlock 会阻止内容,但不会阻止弹出窗口本身。

弹出窗口的图片

检查元素的结果:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins

在此处输入图片描述

笔记:使用 AdBlock Plus 可以阻止它。我只是将框的 div 的 id 添加到过滤器列表中,但这只是治标不治本。所以旅程继续。

关于使用 ClamTk 进行扫描: 它发现了大约 1732 个威胁,其中大部分(我的意思是几乎所有)都是 Windows 文件,有趣的是,还有一些 ClamAV 自己的文件。唯一有意义的条目是这些:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

我刚刚删除了 Firefox,但不认为其他东西有害。

好的,我从 Firefox 调试器工具的源选项卡中发现了这个可疑代码:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

即使尝试从开始安装 Ubuntu,它也在那里。

这家伙似乎和我有同样的问题。 我怀疑这是某种 root 工具包,但都rkhunter没有chkrootkit发现任何东西。也许这是一个新的 root 工具包。

我尝试了另一个路由器,但没有成功。多次重启路由器也没用。网络上的 Windows 机器或我的机器上的 Windows(它是双启动系统)上不再显示它,但我在两者上都看到过至少一次。我想我现在只有一个选择。

答案1

由于您在评论中提到网络上的另一台计算机也开始出现同样的问题,因此很可能是您的路由器设置被更改或路由器被感染了(是的,这是可能的)。事实上,您的问题与来自 security.stackexchange.com 的帖子。请注意,在这种情况下您可能想使用该网站,因为那里有更多人处理此类问题。

好的,回到问题本身。如果你稍微研究一下,就会发现路由器的一个常见问题可能是 DNS 设置被更改。路由器也存在更严重的恶意软件。DNS 服务器基本上是一个翻译器:由于计算机只处理数字,因此当你在浏览器中输入“google.com”时,你的计算机将向 DNS 服务器发送请求,说“嘿,google.com 的 IP 地址是多少?”。DNS 服务器会查看数据库,并找出哪些 IP 属于 google.com。现在,如果你的路由器的 DNS 设置被更改,请求将发送到一个假 DNS 服务器,它会将你重定向到假网站或看起来像真实网站但包含恶意软件的网站。

可以采取以下措施:

  • 访问路由器的设置,检查 DNS 设置是否已更改。通常,您可以通过在 Firefox 或任何其他浏览器的地址栏中输入 192.168.0.1 来访问它们,它会打开一个页面,其中包含路由器的各种设置(请阅读路由器手册以确保地址正确)。但如果您以前从未查看过这些设置,可能很难确定是否有任何更改。此外,查看是否有任何路由设置被更改或您是否发现其中有什么可疑之处。

  • 将路由器重置为默认设置。同样,这可以通过 192.168.0.1 完成。这可能位于“高级选项”下,但请在设置中搜索或阅读手册。将设置改回默认设置后,最好重新启动路由器以确保其生效。如果这有帮助并且两台机器上都不再出现弹出窗口,请将路由器的管理员密码更改为与之前不同的其他密码,并且改为更强大的密码,另外也许还可以更改 wifi 密码(WPA PSK 或您正在使用的任何密码)。

  • 购买新的路由器。您可以自行购买并配置,也可以联系您的互联网服务提供商,说明情况。他们也可能提供更多选择。

除其他事项外,在这种情况下我会做一些小测试。

  • 您提到您通过 wifi 连接,并且 Windows 文件在那里。那么它是笔记本电脑吗?您双重启动?尝试将其带到另一个网络,看看弹出窗口是否仍然存在。如果它没有出现在另一个网络上 - 那肯定是您的路由器的问题。

  • 它会在 Windows 中显示吗?如果是路由器,那肯定与操作系统或浏览器或类似的东西无关。

  • 在 Ubuntu 中更改 DNS 设置。问题是 Ubuntu 的网络管理器默认会让 dnsmaq 插件决定使用哪个 DNS(通常是您的互联网服务提供商的 DNS)。现在,无论互联网服务提供商提供什么,您都可以使用自己的 DNS。为此 - 打开右上角的网络管理器指示器并转到编辑连接。选择网络,然后单击编辑按钮。转到 IPv4 选项卡,将下拉菜单从“自动(DHCP)”更改为“仅自动(DHCP)地址”,并在 DNS 服务器中输入您喜欢的任何 DNS 服务器。您可以选择 8.8.8.8(Google 的公共 DNS)。我使用 OpenDNS(208.67.222.222)。这些都是众所周知且值得信赖的。然后打开终端并输入 sudo nano /etc/NetworkManager/NetworkManager.conf并将行更改 dns=dnsmasq#dns=dnsmasq。使用 Ctrl+O 保存文件并使用 Ctrl+X 退出。现在您可以执行sudo service network-manager restart或简单地重新启动计算机。我更喜欢重新启动。再次连接到您的网络,一旦准备好,在终端中输入 nm-tool | tail。它应该确认您正在使用您选择的 DNS。如果弹出窗口在设置后仍未消失,则肯定是路由器的 DNS 问题。我在这里执行的步骤与我在其他帖子中描述的步骤相同这里

就是这样。我绝不是计算机安全专家,所以这篇文章中的所有内容都是我能给出的最佳建议。祝你好运!如果这有帮助,或者你最终如何解决问题,请告诉我们。

答案2

可能是你的代理设置通过某个服务器路由你的流量,从而将其注入到 HTML 中?从你的终端尝试此操作:

echo $http_proxy

应该不会有任何收获。(或者至少不会有任何意外收获。)

答案3

只需重新安装浏览器即可解决此问题。我遇到过类似的问题,删除了尽可能多的工具栏;但没有任何帮助。如果可以,请备份书签并重新安装浏览器。

答案4

可能是浏览器扩展程序。请进入菜单 > 工具 > 扩展程序,卸载所有您认为可疑的扩展程序。

因此,您可以尝试从这些浏览器中删除配置文件。

关闭浏览器,打开终端并执行:

rm -fR ~/.config/google-chrome

打开浏览器。

祝你好运。

相关内容