Popup-Anzeigenvirus auf Chrome und Firefox

Unabhängig von der Website, die ich öffne, wird ein Popup-Anzeigenfeld angezeigt. Es wurde versucht, Einstellungen zurückzusetzen, Erweiterungen zu deaktivieren und alle Benutzer auf Chrome zu entfernen.

Es scheint, dass es nicht um Chrom geht, da dasselbe auch in Firefox passiert, das ich vorher noch nicht einmal geöffnet hatte.

Ich vermute, dass es etwas mit einigen Repositories zu tun hat, die ich kürzlich hinzugefügt habe, auch wenn ja, was zu tun ist?

Lassen Sie mich das Popup beschreiben, da ich kein Bild hochladen kann, weil ich nicht genug Ruf habe. Es platziert sich in der Mitte der Seite und nicht so groß. Bewegt sich nicht mit dem Rest der Seite, bleibt beim Scrollen der Seite. Im Inneren gibt es manchmal Google-Anzeigen. AdBlock blockiert den Inhalt, nicht jedoch das Popup.

Das Ergebnis des Inspektionselements:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins::

Hinweis: Mit AdBlock Plus können Sie es blockieren. Ich habe gerade die ID des Div der Box zur Filterliste hinzugefügt, aber das heilt nur die Symptome und nicht die eigentliche Krankheit. Die Reise geht also weiter.

Informationen zum Scannen mit ClamTk: Es wurde eine Bedrohung von 1732 festgestellt, die hauptsächlich (ich meine fast alle) aus Windows-Dateien und interessanterweise aus einigen ClamAV-eigenen Dateien besteht. Nur sinnvolle Einträge waren diese:

• /usr/lib/shim/shim.efi
• /usr/lib/shim/shim.efi.signed
• /boot/efi/EFI/ubuntu/shimx64.efi
• /boot/efi/EFI/ubuntu/MokManager.efi
• /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Ich habe gerade das Firefox-Ding gelöscht, denke aber nicht, dass andere Dinge schädlich sind.

Ok, ich habe diesen verdächtigen Code auf der Registerkarte "Quellen" des Firefox-Debugger-Tools gefunden:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Selbst wenn Sie versuchen, Ubuntu von Anfang an zu installieren, ist es da.

Dieser Typ scheint das gleiche Problem mit mir zu haben. Ich vermute, dass dies ein Root-Kit ist, aber beides, rkhunterund chkrootkithabe nichts gefunden. Vielleicht ist es ein neues Root-Kit.

Ich habe einen anderen Router ohne Glück ausprobiert. Das numerische Neustarten des Routers hat nicht geholfen. Es wird auf dem Windows-Computer im Netzwerk oder auf Windows auf meinem Computer (es ist ein Dual-Boot-System) nicht mehr angezeigt, aber ich habe es auf beiden mindestens einmal gesehen. Ich habe jetzt wohl nur eine Option.

Da Sie in einem Kommentar erwähnt haben, dass auf dem anderen Computer im Netzwerk das gleiche Problem aufgetreten ist, kann es sein, dass Ihre Router-Einstellungen geändert wurden oder der Router infiziert ist (ja, das ist möglich). Tatsächlich ist Ihr Problem diesem Beitrag von security.stackexchange.com sehr ähnlich . FIY, vielleicht möchten Sie diese Site in solchen Fällen verwenden, weil es mehr Leute gibt, die sich mit dieser Art von Problemen befassen.

OK, zurück zum Problem. Wenn Sie ein wenig nachforschen, werden Sie feststellen, dass ein sehr häufiges Problem bei Routern wahrscheinlich darin besteht, dass die DNS-Einstellungen geändert werden. Es gibt auch schwerwiegendere Malware für Router. Der DNS-Server ist im Grunde ein Übersetzer: Da Computer nur mit Zahlen umgehen, sendet Ihr Computer bei Eingabe von "google.com" in einem Browser eine Anfrage an DNS-Server mit der Meldung "Hey, wie lautet die IP-Adresse für google.com?". Der DNS-Server auf seiner Seite durchsucht Datenbanken und findet heraus, welche IPs zu google.com gehören. Wenn nun die DNS-Einstellungen Ihres Routers geändert werden, wird die Anfrage an einen gefälschten DNS-Server weitergeleitet, der Sie zu einer gefälschten Website oder einer Website weiterleitet, die wie echt aussieht, aber Malware enthält.

Was getan werden kann, ist Folgendes:

• Greifen Sie auf die Einstellungen Ihres Routers zu und überprüfen Sie, ob die DNS-Einstellungen geändert wurden. Sie können normalerweise darauf zugreifen, indem Sie 192.168.0.1 in die Adressleiste von Firefox oder einem anderen Browser eingeben. Daraufhin sollte eine Seite mit allen möglichen Einstellungen für Ihren Router geöffnet werden (lesen Sie im Handbuch Ihres Routers nach, um sicherzustellen, dass die Adresse stimmt). Wenn Sie sich diese Einstellungen jedoch noch nie angesehen haben, kann es schwierig sein, festzustellen, ob etwas geändert wurde oder nicht. Überprüfen Sie auch, ob Routing-Einstellungen geändert wurden oder ob dort etwas faul ist.

• Setzen Sie den Router auf die Standardeinstellungen zurück. Dies kann wiederum bis 192.168.0.1 erfolgen. Dies kann unter "Erweiterte Optionen" sein, aber suchen Sie in den Einstellungen oder lesen Sie einfach das Handbuch. Es empfiehlt sich, den Router neu zu starten, nachdem Sie die Einstellungen auf die Standardeinstellungen zurückgesetzt haben, um sicherzustellen, dass sie wirksam werden. Wenn dies hilft und das Popup auf beiden Computern nicht mehr angezeigt wird, ändern Sie das Administratorkennwort des Routers in etwas anderes als zuvor und in ein starkes Kennwort. Ändern Sie möglicherweise das WLAN-Kennwort (WPA PSK oder was auch immer Sie verwenden).

• Holen Sie sich einen neuen Router. Sie können entweder eines selbst kaufen und konfigurieren oder sich an Ihren Internetdienstanbieter wenden, um die Situation zu erläutern. Sie bieten möglicherweise auch mehr Optionen.

In einem solchen Fall würde ich unter anderem einige kleine Tests durchführen.

• Sie haben erwähnt, dass Sie eine WLAN-Verbindung herstellen und dort Windows-Dateien haben. Also ist es ein Laptop? Sie Doppelboot? Versuchen Sie, es in ein anderes Netzwerk zu übertragen, und prüfen Sie, ob das Popup weiterhin angezeigt wird. Wenn es nicht in einem anderen Netzwerk angezeigt wird, ist es definitiv Ihr Router.

• Wird es in Windows angezeigt? Wenn es sich um den Router handelt, hängt er definitiv nicht mit dem Betriebssystem, Ihren Browsern oder Ähnlichem zusammen.

• Ändern Sie Ihre Einstellungen für DNS in Ubuntu. Die Sache ist, dass Ubuntus Network Manager standardmäßig ein DNSMQ-Plug-In entscheiden lässt, welches DNS verwendet werden soll (und normalerweise das Ihres Internetdienstanbieters). Jetzt können Sie Ihr eigenes DNS verwenden, unabhängig davon, was der Internetdienstanbieter anbietet. Öffnen Sie dazu die Networ Manager-Anzeige in der rechten Ecke und gehen Sie zu Verbindungen bearbeiten. Wählen Sie das Netzwerk aus und klicken Sie auf die Schaltfläche Bearbeiten. Gehen Sie zur Registerkarte IPv4, ändern Sie das Dropdown-Menü von "Automatisch (DHCP)" in "Nur automatische (DHCP) Adressen" und geben Sie an, wo DNS-Server einen beliebigen DNS-Server eingeben. Sie können 8.8.8.8 (Googles öffentliches DNS) auswählen. Ich benutze OpenDNS (208.67.222.222). Diese sind bekannt und vertrauenswürdig. Öffnen Sie dann das Terminal sudo nano /etc/NetworkManager/NetworkManager.confund geben Sie die Zeile ein und ändern Sie sie dns=dnsmasqin#dns=dnsmasq. Speichern Sie die Datei mit Strg + O und beenden Sie sie mit Strg + X. Jetzt können Sie sudo service network-manager restartden Computer entweder neu starten. Ich würde es vorziehen, neu zu starten. Stellen Sie erneut eine Verbindung zu Ihrem Netzwerk her und stellen Sie den Terminaltyp bereit nm-tool | tail. Es sollte bestätigen, dass Sie Ihr ausgewähltes DNS verwenden. Wenn das Popup mit solchen Einstellungen nicht bestehen bleibt, ist dies definitiv das DNS-Problem des Routers. Die Schritte, die ich hier durchlaufen habe, sind die gleichen, die ich in meinem anderen Beitrag hier beschrieben habe

Das ist es. Ich bin in keiner Weise ein Experte für Computersicherheit, daher ist alles in diesem Beitrag das Beste, was ich vorschlagen kann. Viel Glück! und lassen Sie uns wissen, ob dies hilft oder wie Sie das Problem am Ende gelöst haben.

Könnten es Ihre Proxy-Einstellungen sein, die Ihren Datenverkehr über einen Server weiterleiten, der dies in den HTML-Code einfügt? Versuchen Sie dies von Ihrem Terminal aus:

echo $http_proxy

Sollte mit nichts zurückkommen. (Oder zumindest nichts Unerwartetes.)

Nur eine Neuinstallation der Browser sollte dies beheben. Ich hatte ein ähnliches Problem und entfernte so viele Symbolleisten wie möglich. aber nichts half. Wenn Sie könnten, erstellen Sie eine Sicherungskopie der Lesezeichen und installieren Sie die Browser neu.

Versuchen Sie, Ad-Block Plus Addon für Chrome und Firefox aus dem Chrome Web Store bzw. dem Firefox Addon Store zu installieren . Das sollte alles Unberechenbare wie Ihr Problem loswerden.

Hoffe das hilft...

Es kann eine Browsererweiterung sein. Bitte geben Sie unter Menü> Extras> Erweiterungen alle Erweiterungen ein, die Sie als verdächtig betrachten.

Sie können also versuchen, die Konfigurationsdateien aus diesem Browser zu entfernen.

Schließen Sie den Browser, öffnen Sie das Terminal und führen Sie Folgendes aus:

rm -fR ~/.config/google-chrome

Öffnen Sie den Browser.

Viel Glück.

Eine Neuinstallation von Ubuntu scheint das Problem zu lösen.