Virus publicitaire pop-up sur Chrome et Firefox

9

Une fenêtre publicitaire pop-up apparaît quel que soit le site que j'ouvre. J'ai essayé de réinitialiser les paramètres, de désactiver les extensions, de supprimer tous les utilisateurs sur Chrome.

Il semble qu'il ne s'agisse pas de chrome car la même chose se produit également sur Firefox que je n'avais même pas ouvert auparavant.

Je soupçonne que cela peut avoir quelque chose à voir avec certains référentiels que j'ai ajoutés récemment, même si oui, que faire?

Permettez-moi de décrire le pop-up car je ne peux pas télécharger une image car je n'ai pas assez de réputation. Il se place au milieu de la page et pas si grand. Ne bouge pas avec le reste de la page, reste pendant le défilement de la page. À l'intérieur, il y a parfois des publicités Google. AdBlock bloque le contenu mais pas la fenêtre contextuelle elle-même.

Une image du pop-up

Le résultat de l'élément inspect:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

entrez la description de l'image ici

Remarque: En utilisant AdBlock Plus, il est possible de le bloquer. Je viens d'ajouter l'identifiant du div de la boîte à la liste de filtres, mais cela ne fait que guérir les symptômes et non la maladie réelle. Le voyage continue donc.

À propos de l'analyse avec ClamTk: Il a trouvé une menace 1732 qui se compose principalement (je veux dire presque tous) de fichiers Windows et, fait intéressant, de certains fichiers de ClamAV. Seules les entrées significatives étaient celles-ci:

  • /usr/lib/shim/shim.efi
  • /usr/lib/shim/shim.efi.signed
  • /boot/efi/EFI/ubuntu/shimx64.efi
  • /boot/efi/EFI/ubuntu/MokManager.efi
  • /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Je viens de supprimer Firefox, mais je ne pense pas que d'autres choses soient nuisibles.

Ok, j'ai trouvé ce code suspect dans l'onglet sources de l'outil de débogage de Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Même lorsque vous essayez d'installer Ubuntu depuis le début, il est là.

Ce mec semble avoir le même problème avec moi. Je soupçonne que c'est un kit racine d'une sorte mais les deux rkhunteret je chkrootkitn'ai rien trouvé. C'est peut-être un nouveau kit racine.

J'ai essayé un autre routeur sans succès. Le redémarrage numérique du routeur n'a pas aidé. Il ne s'affiche plus sur la machine Windows du réseau ni sur les fenêtres de ma machine (c'est un système à double démarrage) mais j'ai vu au moins une fois sur les deux. Je suppose que je n'ai qu'une seule option maintenant.

14.04  malware  rootkit  popup-ads 
mumi
source
1
Pourriez-vous ajouter à votre question un instantané de cette fenêtre publicitaire ou capture d'écran de Chrome ou Firefox?
Sergiy Kolodyazhnyy
2
Veuillez télécharger l'instantané sur imgur.com et ajouter le lien dans votre question. Quelqu'un y mettra l'image réelle.
user68186
1
Dans Chrome, essayez d'aller chrome://pluginset de publier une liste de ce que vous voyez dans le message principal.
MoonRunestar
1
Hmmm, la page des plugins est la même que la mienne - rien de louche là-bas, semble
Sergiy Kolodyazhnyy
2
Cela ressemble à une injection de publicités intermédiaires. Êtes-vous sur un réseau de confiance? Pouvez-vous publier les détails de vos paramètres de proxy, si vous utilisez un proxy? De plus, si possible, pourriez-vous publier un lien vers le code HTML complet d'une page Web qui affiche la fenêtre contextuelle? Enfin, la fenêtre contextuelle apparaît-elle si vous visitez une page cryptée, comme votre messagerie Web?
Travis G.

Réponses:

9

Puisque vous avez mentionné dans le commentaire que l'autre ordinateur du réseau a commencé à avoir le même problème, il se pourrait bien que les paramètres de votre routeur soient modifiés ou que le routeur soit infecté (oui, c'est possible). En fait, votre problème est très très similaire à ce post de security.stackexchange.com. FIY, vous voudrez peut-être utiliser ce site dans de tels cas, car il y a plus de gens qui traitent ce type de problèmes.

OK, revenons au problème. Si vous le recherchez un peu, vous constaterez que probablement un problème très courant avec les routeurs est lorsque les paramètres DNS sont modifiés. Il existe également des logiciels malveillants plus graves pour les routeurs. Le serveur DNS est essentiellement un traducteur: étant donné que les ordinateurs ne traitent que des nombres, lorsque vous tapez "google.com" dans un navigateur, votre ordinateur envoie une demande aux serveurs DNS en disant "Hé, quelle est l'adresse IP de google.com?". Le serveur DNS de son côté examine les bases de données et trouve les IP appartenant à google.com. Maintenant, si les paramètres DNS de votre routeur sont modifiés, la demande est envoyée à un faux serveur DNS, qui vous redirigera vers un faux site Web ou un site Web qui ressemble à de la vraie chose mais avec des logiciels malveillants.

Ce qui peut être fait est le suivant:

  • Accédez aux paramètres de votre routeur et vérifiez si les paramètres DNS ont été modifiés. Vous pouvez généralement y accéder en tapant 192.168.0.1 dans la barre d'adresse de Firefox ou de tout autre navigateur, et cela devrait ouvrir une page avec toutes sortes de paramètres pour votre routeur (lisez le manuel de votre routeur pour vous assurer que l'adresse est correcte). Mais si vous n'avez jamais regardé ces paramètres auparavant, il peut être difficile de déterminer si quelque chose a été modifié. Vérifiez également si des paramètres de routage ont été modifiés ou si vous voyez quelque chose de louche.

  • Réinitialisez le routeur aux paramètres par défaut. Encore une fois, cela peut être fait via 192.168.0.1. Cela peut être sous "Options avancées", mais recherchez dans les paramètres ou lisez simplement le manuel. Une bonne idée est de redémarrer le routeur après avoir modifié les paramètres par défaut pour vous assurer qu'il prend effet. Si cela aide et que la fenêtre contextuelle n'apparaît plus sur aucune des deux machines, changez le mot de passe administrateur du routeur pour autre chose qu'avant et quelque chose de fort, plus peut-être changer le mot de passe wifi (WPA PSK ou tout ce que vous utilisez).

  • Obtenez un nouveau routeur. Vous pouvez soit en acheter un vous-même et le configurer, soit contacter votre fournisseur de services Internet pour expliquer la situation. Ils peuvent également offrir plus d'options.

Entre autres choses, ce que je ferais dans ce cas, c'est de faire de petits tests.

  • Vous avez mentionné que vous vous connectez par wifi et que vous y avez des fichiers Windows. C'est donc un ordinateur portable? vous double boot? Essayez de le transférer vers un autre réseau et voyez si la fenêtre contextuelle persiste. S'il n'apparaît pas sur un autre réseau - c'est certainement votre routeur.

  • Est-ce qu'il apparaît dans Windows? Si c'est le routeur, ce n'est définitivement pas lié au système d'exploitation ou à vos navigateurs ou quelque chose comme ça.

  • Modifiez vos paramètres DNS dans Ubuntu. Le fait est que le gestionnaire de réseau d'Ubuntu par défaut laissera un plug-in dnsmaq décider du DNS à utiliser (et généralement ce sera celui de votre fournisseur de services Internet ''). Maintenant, vous pouvez utiliser votre propre DNS, quel que soit le fournisseur de services Internet. Pour ce faire - ouvrez l'indicateur Networ Manager dans le coin droit et accédez à Modifier les connexions. Sélectionnez le réseau et cliquez sur le bouton Modifier. Accédez à l'onglet IPv4, changez le menu déroulant de "Automatique (DHCP)" en "Adresses automatiques (DHCP) uniquement", et où les serveurs DNS saisissent le serveur DNS que vous souhaitez. Vous pouvez choisir 8.8.8.8 (DNS public de Google). J'utilise OpenDNS (208.67.222.222). ceux-ci sont bien connus et fiables. Ensuite, ouvrez le terminal et tapez sudo nano /etc/NetworkManager/NetworkManager.confet changez de ligne dns=dnsmasqpour#dns=dnsmasq. Enregistrez le fichier avec Ctrl + O et quittez avec Ctrl + X. Maintenant, vous pouvez soit faire, sudo service network-manager restartsoit simplement redémarrer l'ordinateur. Je préfère redémarrer. Connectez-vous à nouveau à votre réseau et une fois prêt dans le type de terminal nm-tool | tail. Il devrait confirmer que vous utilisez votre DNS sélectionné. Si le popup ne persiste pas avec de tels paramètres - certainement le problème DNS du routeur. Les étapes que j'ai suivies ici sont les mêmes que celles décrites dans mon autre article ici

C'est ça. Je ne suis en aucun cas un expert en sécurité informatique, donc tout ce que je peux suggérer dans ce post est le meilleur. Bonne chance! et faites-nous savoir si cela vous aide, ou comment vous avez finalement résolu le problème.

Sergiy Kolodyazhnyy
source
La réinitialisation complète du routeur est probablement la meilleure option que vous pouvez faire vous-même
Sergiy Kolodyazhnyy
1

Serait-ce vos paramètres de proxy acheminant votre trafic via un serveur qui injectent cela dans le HTML? Essayez ceci depuis votre terminal:

echo $http_proxy

Devrait revenir avec rien. (Ou du moins rien d'inattendu.)

Chrisky
source
1
Oui, il n'a rien imprimé
mumi
1
D'ACCORD. Ce n'est donc probablement pas un proxy. Autre suggestion: avez-vous essayé de lancer le débogueur Chrome (F12), d'utiliser l'onglet Réseau, de visiter une page simple, puis de regarder le trafic réseau? Le code de la fenêtre contextuelle est-il servi n'importe où ici? Ou à défaut: Wireshark. Encore une fois, visitez la page la plus simple qui génère une annonce et voyez d'où vient le trafic pour cela. Si cela ne vient pas via le réseau, alors oui, c'est probablement un plug-in.
Chrisky
Il s'est en quelque sorte arrêté sur Chrome mais sur Firefox, il apparaît sur le réseau. mais je ne comprenais vraiment pas ce qu'ils signifient. Ce ne sont que des domaines qui utilisent des annonces Google pour faire de la publicité. S'il existe un moyen de partager le résultat de l'outil réseau, je le peux.
mumi
0

La simple réinstallation des navigateurs devrait résoudre ce problème. J'ai eu un problème similaire et j'ai supprimé autant de barres d'outils que possible; mais rien n'y fait. Si vous le pouvez, effectuez une sauvegarde des signets et réinstallez les navigateurs.

vembutech
source
il semble que cela n'a rien à voir avec les navigateurs, mais il fera un essai si rien n'y fait à la fin.
mumi
0

Essayez d'installer Ad-block plus addon pour Chrome et Firefox depuis Chrome Web Store et Firefox Addon Store respectivement. Cela devrait vous débarrasser de tout ce qui est erratique comme votre problème.

J'espère que cela t'aides...

manishraj2011
source
Les extensions empêchant les annonces bloquent les annonces à l'intérieur de la boîte, mais pas la boîte elle-même. C'est pourquoi je pense que c'est probablement une sorte de malware. Mais merci.
mumi
1
ABP peut également bloquer la boîte ...
manishraj2011
1
J'ai réussi à l'empêcher de se montrer en bloquant son identifiant div des paramètres adblock, donc pratiquement le problème est résolu mais il pourrait y avoir des raisons plus profondes alors laissez-moi attendre un peu pour accepter cela comme réponse mais merci beaucoup.
mumi
0

Il peut s'agir d'une extension de navigateur. Veuillez entrer dans Menu> Outils> Extensions, désinstaller toutes les extensions que vous considérez suspectes.

Vous pouvez donc essayer de supprimer les fichiers de configuration de ces navigateurs.

Fermez le navigateur, ouvrez le terminal et effectuez:

rm -fR ~/.config/google-chrome

Ouvrez le navigateur.

Bonne chance.

Marcos Silveira
source
Seul adblock est actif maintenant et je n'ai vraiment pas beaucoup d'extension. Juste une question sur la suppression de choses sur un système Linux: est-ce réversible?
mumi
1
Si vous supprimez ce répertoire, cela ne causera aucun problème sur votre système. Le répertoire ./config/google-chrome est créé lorsque vous ouvrez le navigateur pour la première fois. Lorsque vous le supprimez et rouvrez le navigateur, le répertoire est à nouveau créé. Donc, si vous ne synchronisez pas vos signets, je vous recommande de renommer le répertoire en utilisant mv ~/.config/google-chrome ~/.config/google-chrome-backuppar exemple.
Marcos Silveira
Hmm .. Cela n'a pas fonctionné pour moi :( Je ne veux pas dire la sauvegarde mais la suppression du fichier de configuration.
mumi
@mumi Vous avez mentionné qu'il s'était arrêté en quelque sorte dans le chrome. Cela s'est-il arrêté après la suppression du dossier et le redémarrage? Ou tout simplement arrêté au hasard?
Sergiy Kolodyazhnyy
@Xieerqi Au hasard s'est arrêté et est revenu et a commencé sur l'autre ordinateur du réseau
mumi
0

Une nouvelle installation d'ubuntu semble résoudre le problème.

mumi
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.