web-dev-qa-db-fra.com

Popup ad virus sur chrome et firefox

Une boîte d’annonce publicitaire apparaît, quel que soit le site que j’ouvre. J'ai essayé de réinitialiser les paramètres, de désactiver les extensions et de supprimer tous les utilisateurs de Chrome.

Il semble que ce n’est pas à propos de chrome puisque la même chose se passe sous Firefox, chose que je n’avais même pas ouverte auparavant.

Je soupçonne que cela peut avoir quelque chose à voir avec certains référentiels que j'ai ajoutés récemment, même si que faire?

Permettez-moi de décrire la fenêtre contextuelle, car je ne peux pas télécharger une image car je n'ai pas assez de réputation. Il se place au milieu de la page et pas si gros. Ne bouge pas avec le reste de la page, reste pendant le défilement de la page. À l'intérieur, il y a parfois des annonces google. AdBlock bloque le contenu mais pas la fenêtre contextuelle elle-même.

An image of the pop-up

Le résultat de l'élément inspecté: 

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

enter image description here

Remarque: En utilisant AdBlock Plus, il est possible de le bloquer. Je viens d'ajouter le numéro d'identification de la boîte de la boîte à la liste des filtres, mais cela ne fait que guérir les symptômes et non la maladie. Alors le voyage continue.

À propos de l'analyse avec ClamTk: Il a détecté une menace sur 1732 composée principalement de fichiers Windows et, curieusement, de fichiers propres à ClamAV. Seules les entrées significatives étaient celles-ci:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Je viens de supprimer Firefox, mais je ne pense pas que d'autres choses soient nuisibles.

Ok, j'ai trouvé ce code suspect dans l'onglet sources de l'outil de débogage de Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Même en essayant d'installer Ubuntu depuis le début, c'est là.

Ce gars-là semble avoir le même problème avec moi. Je suppose que c'est un root kit, mais rkhunter et chkrootkit n'ont rien trouvé. Peut-être que c'est un nouveau root kit.

J'ai essayé un autre routeur sans succès. Redémarrer le routeur numériquement n'a pas aidé. Cela ne s'affiche plus sur la machine Windows du réseau ni sur Windows de la machine (il s’agit d’un système à double démarrage), mais j’ai vu au moins une fois sur les deux. Je suppose que je n'ai qu'une seule option maintenant.

14.04malwarerootkitpopup-ads
9
mumi

Comme vous avez mentionné dans un commentaire que l’autre ordinateur du réseau a commencé à avoir le même problème, il se peut que les paramètres de votre routeur soient modifiés ou que le routeur soit infecté (oui, cela est possible). En fait, votre problème est très très similaire à this post de security.stackexchange.com. FIY, vous pouvez utiliser ce site dans de tels cas, car il y a plus de gens qui traitent de ce type de problèmes.

OK, revenons au problème. Si vous effectuez une recherche un peu, vous constaterez probablement que le problème très commun des routeurs est la modification des paramètres DNS. Il existe également des malwares plus sérieux pour les routeurs. Le serveur DNS est fondamentalement un traducteur: étant donné que les ordinateurs ne traitent que par des chiffres, lorsque vous tapez "google.com" dans un navigateur, votre ordinateur envoie une requête aux serveurs DNS en disant "Hé, quelle est l'adresse IP de google.com?". Le serveur DNS de son côté examine les bases de données et trouve les adresses IP de google.com. Désormais, si les paramètres DNS de votre routeur sont modifiés, la requête est dirigée vers un faux serveur DNS, qui vous redirigera vers un faux site Web ou vers un site Web qui ressemble à une réalité, mais avec un programme malveillant.

Ce qui peut être fait est le suivant:

  • Accédez aux paramètres de votre routeur et vérifiez si les paramètres DNS ont été modifiés. Vous pouvez y accéder généralement en tapant 192.168.0.1 dans la barre d'adresse de Firefox ou de tout autre navigateur. Une page contenant toutes sortes de paramètres de votre routeur devrait alors s'ouvrir (lisez le manuel de votre routeur pour vous assurer que l'adresse est correcte). Mais si vous n'avez jamais consulté ces paramètres auparavant, il peut être difficile de déterminer si quelque chose a été modifié ou non. Aussi, regardez si des paramètres de routage ont été modifiés ou si vous voyez quelque chose de louche là-bas.

  • Réinitialisez le routeur aux paramètres par défaut. Encore une fois, cela peut être fait via 192.168.0.1. Cela peut être sous "Options avancées", mais cherchez dans les paramètres ou lisez simplement le manuel. Une bonne idée est de redémarrer le routeur après avoir rétabli les paramètres par défaut pour vous assurer de son efficacité. Si cela vous aide et que le menu contextuel n'apparaît plus sur les deux machines, remplacez le mot de passe administrateur du routeur par autre chose qu'avant et plus fort, et éventuellement par un mot de passe wifi (WPA PSK ou celui que vous utilisez).

  • Obtenez un nouveau routeur. Vous pouvez en acheter un vous-même et le configurer ou contacter votre fournisseur de services Internet pour expliquer la situation. Ils peuvent également offrir plus d'options.

Entre autres choses, dans ce cas, je ferais de petits tests.

  • Vous avez mentionné que vous vous connectiez en wifi et que vous y avez des fichiers Windows. Alors est-ce un ordinateur portable? vous double botte? Essayez de le transférer sur un autre réseau et voyez si la fenêtre contextuelle persiste. S'il n'apparaît pas sur un autre réseau, c'est bien votre routeur.

  • Est-ce qu'il apparaît dans Windows? Si c’est le routeur, il n’est définitivement pas lié au système d’exploitation, à votre navigateur ou à quelque chose du genre.

  • Changez vos paramètres pour DNS dans Ubuntu. Le fait est que le gestionnaire de réseau d’Ubuntu laisse par défaut un plug-in dnsmaq décider du DNS à utiliser (et ce sera généralement celui de votre fournisseur de services Internet). Maintenant, vous pouvez utiliser votre propre DNS, quel que soit le fournisseur d'accès Internet. Pour ce faire, ouvrez l'indicateur Networ Manager dans le coin droit et accédez à Modifier les connexions. Sélectionnez le réseau et cliquez sur le bouton Modifier. Allez sur l'onglet IPv4, changez le menu déroulant de "Automatique (DHCP)" en "Adresses automatiques (DHCP) uniquement", et sur les serveurs DNS, entrez le type de serveur DNS de votre choix. Vous pouvez choisir 8.8.8.8 (DNS public de Google). J'utilise OpenDNS (208.67.222.222). Ce sont bien connus et de confiance. Ouvrez ensuite le terminal, tapez Sudo nano /etc/NetworkManager/NetworkManager.conf et changez la ligne dns=dnsmasq en #dns=dnsmasq. Enregistrez le fichier avec Ctrl + O et quittez avec Ctrl + X. Maintenant, vous pouvez soit faire Sudo service network-manager restart ou simplement redémarrer l'ordinateur. Je préférerais redémarrer. Connectez-vous à nouveau à votre réseau et une fois prêt dans le type de terminal nm-tool | tail. Il convient de confirmer que vous utilisez votre DNS sélectionné. Si la fenêtre contextuelle ne persiste pas avec de tels paramètres, c'est certainement le problème DNS du routeur. Les étapes que j'ai suivies ici sont les mêmes que celles décrites dans mon autre article ici

C'est ça. Je ne suis en aucun cas un expert en sécurité informatique, donc tout dans ce post est le meilleur que je puisse suggérer. Bonne chance! et dites-nous si cela vous aide ou comment vous avez résolu le problème à la fin.

9
Sergiy Kolodyazhnyy

Serait-ce vos paramètres proxy routant votre trafic via un serveur qui l'injecte dans le code HTML? Essayez ceci depuis votre terminal:

echo $http_proxy

Devrait revenir avec rien. (Ou du moins rien d'inattendu.)

1
Chrisky

Il suffit de réinstaller les navigateurs pour résoudre ce problème. J'avais un problème similaire et enlevé autant de barres d'outils possibles; mais rien n'a aidé. Si vous le pouvez, faites une sauvegarde des signets et réinstallez les navigateurs.

0
vembutech

Une nouvelle installation d'ubuntu semble résoudre le problème.

0
mumi

Essayez d’installer Ad-block plus addon pour chrome et firefox à partir de Chrome Web Store et Firefox Addon store . Cela devrait vous débarrasser de tout ce qui est erratique, comme votre problème.

J'espère que cela t'aides...

0
manishraj2011

Ce peut être une extension de navigateur. Veuillez entrer dans Menu> Outils> Extensions, désinstaller toutes les extensions que vous considérez suspectes.

Vous pouvez donc essayer de supprimer les fichiers de configuration de ces navigateurs.

Fermez le navigateur, ouvrez le terminal et effectuez les opérations suivantes:

rm -fR ~/.config/google-chrome

Ouvrez le navigateur.

Bonne chance.

0
Marcos Silveira