Vírus de anúncios pop-up no chrome e no firefox

Uma caixa de anúncio pop-up aparece em qualquer site que estou abrindo. Tentei redefinir as configurações, desativar extensões, remover todos os usuários no chrome.

Parece que não se trata de cromo, já que o mesmo acontece no Firefox, que eu nem tinha aberto antes.

Suspeito que possa ter algo a ver com alguns repositórios que adicionei recentemente, mesmo se sim, o que fazer?

Deixe-me descrever o pop-up, pois não consigo carregar uma imagem porque não tenho reputação suficiente. Ele se coloca no meio da página e não é tão grande. Não se move com o restante da página, permanece ao rolar a página. No interior, às vezes há anúncios do google. O AdBlock bloqueia o conteúdo, mas não o pop-up em si.

O resultado do elemento de inspeção:

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins:

Nota: Usando o AdBlock Plus, é possível bloqueá-lo. Acabei de adicionar o ID da div da caixa à lista de filtros, mas isso apenas cura os sintomas e não a doença real. Então a jornada continua.

Sobre a verificação com o ClamTk: Ele encontrou uma ameaça de 1732 que consiste principalmente (quero dizer quase todos) em arquivos do Windows e, curiosamente, alguns dos arquivos do ClamAV. Somente entradas significativas foram estas:

• /usr/lib/shim/shim.efi
• /usr/lib/shim/shim.efi.signed
• /boot/efi/EFI/ubuntu/shimx64.efi
• /boot/efi/EFI/ubuntu/MokManager.efi
• /home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8

Acabei de excluir a coisa do Firefox, mas não acho que outras coisas sejam prejudiciais.

Ok, eu encontrei esse código suspeito na guia fontes da ferramenta de depuração do Firefox:

f (window==window.top) {
   function hideADSnow() {
     document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
     document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
  }

  var writeNow="";
  writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";

  writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";

  writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
  writeNow += "<\/div>";
  try { 
    var checkIs = document.getElementById('ads_boxy');
  } catch(err) { 
    var checkIs = null;
  }
  if (checkIs == null) {
    var adsbox = document.createElement('div');
    adsbox.id = 'ads_boxy';
    document.body.appendChild(adsbox);
  }
  var checkIs = document.getElementById('ads_boxy');
  checkIs.innerHTML = writeNow;
}

Mesmo ao tentar instalar o Ubuntu desde o início, ele está lá.

Esse cara parece ter o mesmo problema comigo. Eu suspeito que este seja um kit raiz de algum tipo, mas ambos rkhuntere chkrootkitnão encontrei nada. Talvez seja um novo kit raiz.

Eu tentei outro roteador sem sorte. Reiniciar o roteador numerosamente não ajudou. Ele não aparece mais na máquina Windows na rede ou no Windows (é um sistema de inicialização dupla), mas vi pelo menos uma vez nas duas. Eu acho que só tenho uma opção agora.

Como você mencionou no comentário que o outro computador na rede começou a ter o mesmo problema, pode ser que as configurações do seu roteador estejam alteradas ou o roteador esteja infectado (sim, isso é possível). Na verdade, seu problema é muito parecido com este post do security.stackexchange.com. FIY, você pode querer usar esse site nesses casos, porque há mais pessoas que lidam com esse tipo de problema.

OK, de volta ao problema. Se você pesquisar um pouco, descobrirá que provavelmente um problema muito comum com roteadores é quando as configurações de DNS são alteradas. Também há malware mais sério para roteadores. O servidor DNS é basicamente um tradutor: como os computadores lidam apenas com números, quando você digita "google.com" em um navegador, seu computador envia uma solicitação aos servidores DNS dizendo "Ei, qual é o endereço IP do google.com?". O servidor DNS do lado dele examina os bancos de dados e encontra quais IPs pertencem ao google.com. Agora, se as configurações de DNS do seu roteador forem alteradas, a solicitação será direcionada para um servidor DNS falso, que o redirecionará para um site falso ou para um site que parece real, mas com malware.

O que pode ser feito é o seguinte:

• Acesse as configurações do seu roteador e verifique se as configurações de DNS foram alteradas. Você pode acessá-los normalmente digitando 192.168.0.1 na barra de endereços do Firefox ou em qualquer outro navegador e deve abrir uma página com todos os tipos de configurações para o seu roteador (leia o manual do roteador para garantir que o endereço esteja correto). Mas se você nunca examinou essas configurações antes, pode ser difícil determinar se alguma coisa foi alterada. Além disso, verifique se alguma configuração de roteamento foi alterada ou você vê algo suspeito aqui.

• Redefina o roteador para as configurações padrão. Novamente, isso pode ser feito através do 192.168.0.1. Pode estar em "Opções avançadas", mas pesquise as configurações ou apenas leia o manual. A boa idéia é reiniciar o roteador depois de alterar as configurações para o padrão, para garantir que ele entre em vigor. Se isso ajudar e o pop-up não aparecer mais em nenhuma das máquinas, altere a senha de administrador do roteador para outra coisa que antes e algo forte, além de alterar a senha de wifi (WPA PSK ou o que você estiver usando).

• Adquira um novo roteador. Você pode comprar um e configurá-lo ou entrar em contato com seu provedor de serviços de Internet, explicando a situação. Eles também podem oferecer mais opções.

Entre outras coisas, o que eu faria nesse caso é fazer alguns pequenos testes.

• Você mencionou que se conecta por wifi e tem arquivos do Windows lá. Então é um laptop? você bota duas vezes? Tente levá-lo para outra rede e veja se o pop-up persiste. Se ele não aparecer em outra rede - é definitivamente o seu roteador.

• Ele aparece no Windows? Se for o roteador, definitivamente não está relacionado ao sistema operacional ou ao seu navegador ou algo assim.

• Altere suas configurações para DNS no Ubuntu. O problema é que o Network Manager do Ubuntu, por padrão, permitirá que um dnsmaq decida qual DNS usar (e geralmente será do seu provedor de serviços de Internet). Agora, você pode usar seu próprio DNS, independentemente do que o provedor de serviços de Internet fornece. Para fazer isso - abra o indicador Networ Manager no canto direito e vá para Editar conexões. Selecione a rede e clique no botão Editar. Vá para a guia IPv4, altere o menu suspenso de "Automático (DHCP)" para "Somente endereços automáticos (DHCP)" e onde os servidores DNS digitam o servidor DNS que você desejar. Você pode escolher 8.8.8.8 (DNS público do Google). Eu uso o OpenDNS (208.67.222.222). estes são bem conhecidos e confiáveis. Em seguida, abra o terminal e digite sudo nano /etc/NetworkManager/NetworkManager.confe altere a linha dns=dnsmasqpara#dns=dnsmasq. Salve o arquivo com Ctrl + O e saia com Ctrl + X. Agora você pode fazer sudo service network-manager restartou simplesmente reiniciar o computador. Eu preferiria reiniciar. Conecte novamente à sua rede e, uma vez pronto, no tipo de terminal nm-tool | tail. Deve confirmar que você está usando o DNS selecionado. Se o pop-up não persistir com essas configurações - definitivamente o problema de DNS do roteador. As etapas pelas quais passei aqui são as mesmas que descrevi em meu outro post aqui

É isso. Eu não sou especialista em segurança de computadores, então tudo neste post é o melhor que posso sugerir. Boa sorte! e informe-nos se isso ajuda ou como você resolveu o problema no final.

Poderia ser suas configurações de proxy roteando seu tráfego através de algum servidor que injeta isso no HTML? Tente isso no seu terminal:

echo $http_proxy

Deve voltar sem nada. (Ou pelo menos nada inesperado.)

Apenas a reinstalação dos navegadores deve corrigir isso. Eu tive um problema semelhante e removi o maior número possível de barras de ferramentas; mas nada ajudou. Se você puder, faça um backup dos favoritos e reinstale os navegadores.

Tente instalar o Ad-block plus addon for chrome e firefox da Chrome Web Store e Firefox Addon Store, respectivamente. Isso deve se livrar de qualquer coisa irregular como o seu problema.

Espero que isto ajude...

Pode ser uma extensão do navegador. Digite Menu> Ferramentas> Extensões, desinstale todas as extensões que você considerar suspeitas.

Portanto, você pode tentar remover os arquivos de configuração desses navegadores.

Feche o navegador, abra o terminal e execute:

rm -fR ~/.config/google-chrome

Abra o navegador.

Boa sorte.

Uma nova instalação do ubuntu parece resolver o problema.