Jak mogę zidentyfikować złośliwe oprogramowanie zawierające rozszerzenia Chrome w systemie Linux?

21

Wygląda na to, że zostałem zainfekowany złośliwym oprogramowaniem. W szczególności co jakiś czas (zwykle co kilka dni) przekierowuje mnie na stronę z prośbą o pobranie czegoś, zwykle „nowej wersji Flasha”. Przypuszczalnie nie jest to nic takiego, ale w rzeczywistości jest wirusem lub trojanem.

Używam google-chromewersji 30.0.1599.114 w systemie Debian Linux i jestem prawie pewien, że jest to spowodowane rozszerzeniem. Wiem, że mogę po prostu odinstalować moje rozszerzenia lub usunąć ~/.config/google-chromefolder, ale wolałbym tego nie robić. Chciałbym zidentyfikować rozszerzenie powodujące to i usunąć tylko to.

Podczas próby debugowania tego (dzięki @Braiam) sprawdziłem rejestrator zdarzeń chrome://net-internals/#eventsi szukałem jednego z adresów URL, do których jestem przekierowywany:

Zrzut ekranu rejestratora zdarzeń Chrome

Zawartość chrome://net-internals/#eventsjest:

122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358

t=1393864121358 [st=  0] +REQUEST_ALIVE  [dt=334]
t=1393864121359 [st=  1]   +URL_REQUEST_START_JOB  [dt=332]
                            --> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
                            --> method = "GET"
                            --> priority = 2
                            --> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st=  1]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_OPEN_ENTRY  [dt=0]
                              --> net_error = -2 (ERR_FAILED)
t=1393864121359 [st=  1]      HTTP_CACHE_CREATE_ENTRY  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_ADD_TO_ENTRY  [dt=0]
t=1393864121359 [st=  1]     +HTTP_STREAM_REQUEST  [dt=1]
t=1393864121360 [st=  2]        HTTP_STREAM_REQUEST_BOUND_TO_JOB
                                --> source_dependency = 122670 (HTTP_STREAM_JOB)
t=1393864121360 [st=  2]     -HTTP_STREAM_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_SEND_REQUEST  [dt=0]
t=1393864121360 [st=  2]        HTTP_TRANSACTION_SEND_REQUEST_HEADERS
                                --> GET /p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980 HTTP/1.1
                                    Host: cdn.adnxs.com
                                    Connection: keep-alive
                                    User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.114 Safari/537.36
                                    Accept: */*
                                    DNT: 1
                                    Referer: http://ib.adnxs.com/tt?id=2301980&cb=1393864120&referrer=http://fra1.ib.adnxs.com/if?enc=gbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.&pubclick=http://fra1.ib.adnxs.com/click?XkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA./cnd%3D!8gXSNwiT18QBEIujlwYY0cEVIAA./referrer%3Dhttp://www.imgclck.com/serve/imgclck.php/clickenc%3Dhttp://optimized-by.rubiconproject.com/t/9164/15602/101258-2.3581666.3755480?url%3D&cnd=%218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.&ccd=%21vwV6NgiCtsABEL3CkgYYt5YRIAA.&udj=uf%28%27a%27%2C+279660%2C+1393864119%29%3Buf%28%27c%27%2C+3152642%2C+1393864119%29%3Buf%28%27r%27%2C+12886333%2C+1393864119%29%3B&vpid=77&apid=189016&referrer=http%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php&media_subtypes=1&ct=0&dlo=1&pubclick=http://fra1.ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAALTIdr6fGus_AAAAAAAAAAAAAAAAAAAAAA-Oj4oIzbJcljpJTzhxcH-4rRRTAAAAANYjIwB6AgAAEAkAAAIAAAAfKcUAD5wFAAAAAQBVU0QAVVNEANgCWgCqqwAAtdQAAQUCAQIAAIwA6xZV3wAAAAA./cnd=%21GgafOwjH0sYBEJ_SlAYYj7gWIAE./referrer=http%3A%2F%2Ffra1.ib.adnxs.com%2Fif%3Fenc%3DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%26pubclick%3Dhttp%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%2Fcnd%253D%218gXSNwiT18QBEIujlwYY0cEVIAA.%2Freferrer%253Dhttp%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php%2Fclickenc%253Dhttp%3A%2F%2Foptimized-by.rubiconproject.com%2Ft%2F9164%2F15602%2F101258-2.3581666.3755480%3Furl%253D%26cnd%3D%25218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.%26ccd%3D%2521vwV6NgiCtsABEL3CkgYYt5YRIAA.%26udj%3Duf%2528%2527a%2527%252C%2B279660%252C%2B1393864119%2529%253Buf%2528%2527c%2527%252C%2B3152642%252C%2B1393864119%2529%253Buf%2528%2527r%2527%252C%2B12886333%252C%2B1393864119%2529%253B%26vpid%3D77%26apid%3D189016%26referrer%3Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%26media_subtypes%3D1%26ct%3D0%26dlo%3D1/clickenc=
                                    Accept-Encoding: gzip,deflate,sdch
                                    Accept-Language: en-US,en;q=0.8,fr;q=0.6
                                    Cookie: __gads=ID=386c1f6bc0285adb:T=1390666421:S=ALNI_MZXJdGrAsWELFKRsS7QcqnPTkuaMw; uuid2=9182964126870747798; sess=1; icu=ChIIr54TEAYYASAAKAEwu8_EmAUKEgiCyRUQBhgDIAAoAzDGkb-XBQoSCKraFRAGGAEgACgBMIyKv5cFChII5I8WEAYYASAAKAEw0szplwUKEgjXlhYQBhgCIAAoAjDFvM2YBQoSCP7-CBAKGAUgBSgFMMjU0pgFChIIpogJEAoYByAHKAcwqtXSmAUKEgiDtwoQChgdIB0oHTCx29KYBQoSCNuECxAKGAUgBSgFMPbX0pgFChII0aELEAoYASABKAEwuc3SmAUKEgjLzwsQChgBIAEoATDrzNKYBQoSCK7fCxAKGAEgASgBMJfH0pgFChII0eQLEAoYASABKAEw5czSmAUKEgi78AsQChgHIAcoBzDwyNKYBQoSCL_yCxAKGAEgASgBMKzV0pgFChIIkoAMEAoYAiACKAIwrdvSmAUKEgi3hQ0QChgBIAEoATCv1dKYBQoSCMWnDhAKGAcgBygHMOzY0pgFChII_KcOEAoYBSAFKAUwisHSmAUKEgiIqA4QChgEIAQoBDCr1dKYBQoSCJ7pDhAKGAUgBSgFMMnK0pgFChII3ukOEAoYICAgKCAwuNvSmAUKEgi0hw8QChgBIAEoATC2ydKYBQoSCOeVDxAKGAUgBSgFMMnK0pgFChII_J4PEAoYASABKAEwrtvSmAUKEgi_lxAQChgDIAMoAzC8zdKYBQoSCNCkEBAKGAIgAigCML3N0pgFChII6acQEAoYBiAGKAYw5dfSmAUKEgjpsRAQChgGIAYoBjCv1dKYBQoSCMy5EBAKGAEgASgBMO3U0pgFChII1uoQEAoYASABKAEwstXSmAUKEgipghEQChgIIAgoCDCJy9KYBQoSCIaeERAKGAQgBCgEMOzY0pgFChIIh54REAoYAyADKAMw79jSmAUKEgjJpREQChgBIAEoATCbytKYBQoSCI-yERAKGAEgASgBMInL0pgFChIIqbcREAoYAiACKAIwisvSmAUKEgievhEQChgBIAEoATCtw9KYBQoSCP7GERAKGAYgBigGMNzT0pgFChIIofMREAoYAyADKAMwttHSmAUKEgjK-xEQChgCIAIoAjCx1dKYBQoSCJ6BEhAKGBsgGygbMNvX0pgFChII9ogSEAoYBiAGKAYw18rSmAUKEgjvmRIQChgDIAMoAzDP2dKYBQoSCI2qEhAKGAQgBCgEMLXJ0pgFChIInLASEAoYAiACKAIw0srSmAUKEgjXsRIQChgCIAIoAjDYytKYBQoSCKO0EhAKGAMgAygDMKjV0pgFChIIvrQSEAoYByAHKAcw19jSmAUKEgjFthIQChgCIAIoAjD0zNKYBQoSCLHAEhAKGAEgASgBMKDE0pgFChIIqswSEAoYASABKAEwzsrSmAUKEgiv0hIQChgDIAMoAzCPwdKYBQoSCOTYEhAKGAEgASgBMLTV0pgFChIIrNkSEAoYByAHKAcw7MLSmAUKEgj-2xIQChgDIAMoAzCx1dKYBQoSCInfEhAKGAIgAigCMMDN0pgFChIIxuASEAoYByAHKAcw3dnSmAUKFQj14BIQChjIASDIASjIATC429KYBQoSCPfgEhAKGAEgASgBMMDN0pgFChII9-ISEAoYBCAEKAQw5djSmAUKEgjw5BIQChgDIAMoAzD4wdKYBQoSCJXqEhAKGAMgAygDMI3F0pgFChII6uwSEAoYAiACKAIwpNLSmAUKEgjB8BIQChgGIAYoBjC_zdKYBQoSCOTyEhAKGAIgAigCMPXM0pgFChII5fISEAoYAyADKAMw-czSmAUKEgiG8xIQChgHIAcoBzDQ2dKYBQoSCIuJExAKGBMgEygTMMTW0pgFChIIoIwTEAoYBSAFKAUw7dTSmAUKEgjDohMQChgBIAEoATC21dKYBQoSCI-wExAKGAUgBSgFMLrN0pgFChIIxLATEAoYBiAGKAYwqtXSmAUKEgjIsBMQChgDIAMoAzDzzNKYBQoSCLyyExAKGAQgBCgEMOnL0pgFChIIvrITEAoYASABKAEw2cnSmAUKEgj6shMQChgBIAEoATDbx9KYBQoSCMi2ExAKGAEgASgBMNnG0pgFChII5bgTEAoYAiACKAIwhNfSmAUKEgiXuRMQChgEIAQoBDDU2NKYBQoSCIq-ExAKGAYgBigGMMfC0pgFChIInsITEAoYASABKAEw2cbSmAUKEgibxRMQChgGIAYoBjCE0dKYBQoSCP_FExAKGAIgAigCMOjM0pgFChIIkcYTEAoYBCAEKAQwz8fSmAUKEgi3xhMQChgBIAEoATCfydKYBQoSCOvGExAKGAEgASgBMLjb0pgFChIIx8gTEAoYBCAEKAQw6NTSmAUKEgiFyhMQChgBIAEoATDTzNKYBQoSCI_KExAKGAIgAigCMMbU0pgFChIIu9ETEAoYAyADKAMw2sfSmAUKEgjr2BMQChgCIAIoAjC21dKYBQoSCIbbExAKGAIgAigCMLnb0pgFChIIzuUTEAoYASABKAEw8MzSmAUKEgj76RMQChgCIAIoAjCqydKYBQoSCIHrExAKGAEgASgBMKrJ0pgFELnb0pgFGNYE; anj=dTM7k!M4.g1IKw2hK`RZ[+9f#Abz#5Z8>#V-^@!KG9XLO4442ch)Pc]jvxZ!#GhOwx*meAdp/D)elWNRR%-I!MOpSn=J+VCrW%0=hj]Bz32M!LSOQ5gll*LP_br1!?zqWv$YT0!S8!Ssqbx<[gw>6wFG2.OXE$1'cEc8BdiTCWLi:P+XwDKQDr`LmI$bR^3u%?co]YbrY[FD44<J(CU/Gn<5H=tP`n<jx[Cz6px:fcFXbqHccp2?vY*$/m>4GqE.2:v`'pIRgJ@wKuwpOTY'2wRpvC`e.1o[gHdch:d8Ly_dx!x3SeM0^!qrZIi%XQ$0pC/UUYEnNS-^j>32us+UP1VB_*ML]?KovH`x8g7%)dRu@#?pr+Lx<$9w@Af%inZIpkFAP#Y`t[+c'OBbc?!FUlhh4fF<-9S<1`W1<W3_z!``x7Jhjeh
t=1393864121360 [st=  2]     -HTTP_TRANSACTION_SEND_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_READ_HEADERS  [dt=330]
t=1393864121360 [st=  2]        HTTP_STREAM_PARSER_READ_HEADERS  [dt=330]
t=1393864121690 [st=332]        HTTP_TRANSACTION_READ_RESPONSE_HEADERS
                                --> HTTP/1.1 200 OK
                                    Server: Apache
                                    ETag: "d932a372371bd0a47ba7e2a73649a8d0:1393776550"
                                    Last-Modified: Sun, 02 Mar 2014 16:09:10 GMT
                                    Accept-Ranges: bytes
                                    Content-Length: 5255
                                    Content-Type: application/x-shockwave-flash
                                    Date: Mon, 03 Mar 2014 16:28:41 GMT
                                    Connection: keep-alive
t=1393864121690 [st=332]     -HTTP_TRANSACTION_READ_HEADERS
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121691 [st=333]   -URL_REQUEST_START_JOB
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121691 [st=333]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=1]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334] -REQUEST_ALIVE

I z URL_REQUEST:

122669: DISK_CACHE_ENTRY
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.359

t=1393864121359 [st=  0] +DISK_CACHE_ENTRY_IMPL  [dt=350]
                          --> created = true
                          --> key = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 304
                            --> index = 0
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 304
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 2
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121691 [st=332]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 2612
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121691 [st=332]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 2612
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1448
                            --> index = 1
                            --> offset = 2612
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1448
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1195
                            --> index = 1
                            --> offset = 4060
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1195
t=1393864121693 [st=334]    ENTRY_CLOSE
t=1393864121709 [st=350] -DISK_CACHE_ENTRY_IMPL

Skanowanie DISK_CACHE_ENTRYpokazuje, aby było czyste:

$ sudo clamscan -r .config/google-chrome/
[...]
Known viruses: 3138491
Engine version: 0.97.8
Scanned directories: 543
Scanned files: 1511
Infected files: 0
Data scanned: 70.93 MB
Data read: 135.29 MB (ratio 0.52:1)
Time: 22.528 sec (0 m 22 s)

Obsługiwane strony są często (być może nie zawsze pewne) w xxx.adnx.comdomenie ( xxxczęść jest różna). Wyszukiwanie tego ciągu w google-chromekatalogu zwraca:

$ grep -lR adnx .config/google-chrome/
.config/google-chrome/Default/Preferences
.config/google-chrome/Default/History Provider Cache
.config/google-chrome/Default/Cookies
.config/google-chrome/Default/Current Tabs
.config/google-chrome/Default/History
.config/google-chrome/Default/Archived History
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/#cdn.adnxs.com/settings.sol
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/settings.sol
.config/google-chrome/Default/Favicons-journal
.config/google-chrome/Default/Preferences~
.config/google-chrome/Default/Favicons
.config/google-chrome/Default/Cookies-journal

Następują moje zainstalowane dodatki. Są to ze sklepu z dodatkami Chrome:

"View Vote totals" without 1000 rep
AutoReviewComments 1.3.0
Chat Reply Helper for Stack Exchange sites 2.4.0
Close Tabs 1.1
Desktop Notifications for Stack Exchange 1.6.5.1
Docs PDF/PowerPoint Viewer (by Google) 3.10
Edit with Emacs 1.13
Hangout Chat Notifications 2.0.0
IE Tab 6.1.21.1
KBD Button for Stack Exchange sites 0.2.0
Sexy Undo Close Tab 7.4.13
Smooth Gestures 0.17.14
SmoothGestures: Plugin 0.9.1
Yet another flags 0.9.10.0

Są z aplikacji stosu :

Dude, where's my cursor 1.0
SE Comment Link Helper 1.0
Super User Automatic Corrector 1.0
threading-comments 1.0
stackexchange-tab-editing 1.0

Zainstalowane wtyczki:

Zrzut ekranu przedstawiający zainstalowane wtyczki

Jak mogę wykorzystać tę (lub dowolną inną) informację, aby zidentyfikować, który dodatek to powoduje?

linux google-chrome malware terdon
źródło
1
Jedyny sposób, jaki znam, to podejście prób i błędów.
Ramhound
@Ramhound tak. Problem polega na tym, że ponieważ zdarza się to rzadko, raz na kilka dni, podejście prób i błędów może zająć miesiące, dlatego jeszcze tego nie próbowałem.
terdon
@terdon | clamscanbyło dokładnie to, o czym myślałem. Ponieważ jest to dość sporadyczne, prawdopodobnie nie znajdziesz rozszerzenia, które by je wyłączało i dodawało przez pewien czas. Zakłada się, że jest to problem z rozszerzeniem. Czy zauważyłeś coś spójnego w swojej działalności, gdy pojawia się problem?
Matthew Williams
@MatthewWilliams wcale. Wydaje się to całkowicie przypadkowe, ale wiem, że dzieje się to tylko w chromie. Mogę na przykład czytać post i bez kliknięć nagle przekierowuje mnie na stronę dodawania / pobierania.
terdon
1
Tylko uwaga: nie musisz wyłączać swoich rozszerzeń pojedynczo . Wyłącz połowę z nich na kilka dni, a wkrótce zawęzisz pole o połowę (chyba że masz więcej niż jedno zainfekowane rozszerzenie).
Alexis

Odpowiedzi:

10

Nie jestem pewien, czy tak jest w przypadku konkretnego problemu, ale zdarzały się sytuacje, w których znane dobre rozszerzenia zostały sprzedane stronom trzecim, które następnie wybrały rozszerzenie w niecnych celach. Oto jedna z takich historii: Rozszerzenia Google Chrome są sprzedawane złośliwym firmom reklamowym .

fragment

Ron Amadeo z Ars Technica napisał ostatnio artykuł o producentach oprogramowania reklamowego kupujących rozszerzenia Chrome w celu umieszczania złośliwych aktualizacji z reklamami.

Google Chrome ma automatyczne aktualizacje, aby użytkownicy zawsze korzystali z najnowszych aktualizacji. Oczywiście Google Chrome jest aktualizowany bezpośrednio przez Google. Jednak ten proces aktualizacji obejmuje rozszerzenia Chrome. Rozszerzenia Chrome są aktualizowane przez właścicieli rozszerzeń, a użytkownik musi ustalić, czy właściciel rozszerzenia jest godny zaufania.

Gdy użytkownicy pobierają rozszerzenie, udzielają właścicielowi rozszerzenia uprawnienia do wypchnięcia nowego kodu w przeglądarce w dowolnym momencie.

Nieuchronnie stało się to, że dostawcy oprogramowania reklamowego kupują rozszerzenia, a tym samym użytkowników, od autorów rozszerzeń. Dostawcy ci wypuszczają adware każdemu użytkownikowi rozszerzenia, co może powodować niebezpieczne przeglądanie.

Jeden autor rozszerzenia Google podał swoje osobiste konto na ten temat w swoim poście na blogu zatytułowanym „Sprzedałem rozszerzenie do Chrome, ale była to zła decyzja”.

Radzę potraktować tę sytuację bardzo poważnie i wyłączyć rozszerzenia, których nie jesteś pewien. Następnie monitorowałbym sytuację, aby sprawdzić, czy ustąpi lub będzie kontynuowana.

Jeśli tak będzie dalej, kopę głębiej i zacznę analizować serwery DNS, których używasz. Zwykle używam OpenDNS z tego właśnie powodu, ponieważ ta usługa (bezpłatna) próbuje udaremnić wektory ataku, przekierowując wyszukiwania DNS na alternatywne strony OpenDNS.

Po co dbać o DNS?

Serwery OpenDNS DNS celowo zwiększają wyniki, które zwracają podczas wyszukiwania, jeśli wiadomo, że nazwa hosta jest powiązana z działaniami związanymi ze spamem / hakowaniem / phishingiem. Zajmują wyjątkową pozycję, ponieważ wykonują wyszukiwania dla każdej witryny, którą odwiedzają ich klienci, dzięki czemu mogą wykryć anomalie, które można zobaczyć tutaj: OCHRONA PRZED ŁOWIENIEM OPENDNS , a także tutaj .

Co jeszcze?

Upewnię się również, że Twój /etc/hostsplik nie został naruszony, i nadal monitoruję sytuację za pomocą czegoś takiego nethog, co pokaże, które procesy uzyskują dostęp do Twojej sieci.

Amit Agarwal utworzył rozszerzenie Feedly dla przeglądarki Chrome w niecałą godzinę i nieświadomie sprzedał je dostawcy Adware, aby uzyskać czterocyfrową ofertę. Rozszerzenie miało ponad 30 000 użytkowników w Chrome w momencie sprzedaży. Nowi właściciele opublikowali aktualizację do sklepu Chrome, która wprowadziła adware i linki partnerskie do przeglądania stron przez użytkowników. Chociaż to rozszerzenie zostało usunięte ze względu na rozgłos, który wyrządził skruszony spowiedź Agarwal, jest to bardzo częste zdarzenie w rozszerzeniach Chrome.

slm
źródło
Tak, myślę, że coś takiego się dzieje. Mogę potwierdzić, że mój hostsplik jest czysty i na wszelki wypadek przełączy się na OpenDNS. Dzięki.
terdon
OpenDNS nie zrobił różnicy. Wydaje mi się, że uwzględnia te ważne żądania.
terdon
@terdon - być może jeszcze nie wykryli tego problemu.
slm
5

Spójrz na recenzje rozszerzenia Gesty gładkie ( bezpośredni link ).

Jeśli posortujesz recenzje według daty (klikając Ostatnie ), zobaczysz, że prawie wszystkie nowe recenzje mają jedną gwiazdkę i narzekają na niedocenione reklamy:

Kevin Lee 1 dzień temu

Sprzedawany firmie zewnętrznej, która dodaje reklamy oraz funkcję płatności za usunięcie reklamy.

Suresh Nageswaran 3 dni temu

Nienawidzę reklam. Działał dobrze, dopóki nie zaczął wstrzykiwać reklam do mojego przeglądania. Zapłaciłbym za to, aby nadal go używać, ale mocno odczułem podstępność. Granice programów szpiegujących.

John Smith 6 dni temu

Nie używaj tego. Wstrzykuje JS do clickjacka i powoduje problemy bezpieczeństwa XSS z https.

Tomas Hlavacek 23 lutego 2014

Absolutna bzdura ... Pamiętasz incydent z nieautoryzowanym skradaniem adresów URL? Następnie zaczęli zmuszać użytkowników do „darowizny” lub cierpienia z powodu reklam. Zaczęło się nawet opóźniać na niektórych stronach (co nie miało miejsca przed tymi wszystkimi „ulepszeniami”). Więc przeszedłem na CrxMouse i mam się dobrze.

kyle barr 19 lutego 2014

To solidne rozszerzenie gestów myszy, ale nowe reklamy to straszny dodatek. Po pierwsze, ponieważ rozszerzenie aktualizuje i po cichu dodaje reklamy, więc nie wiesz, skąd pochodzą. Tutaj skanuję komputer za pomocą wielu skanerów złośliwego oprogramowania, ponieważ dostaję losowe reklamy, dopóki nie zdam sobie sprawy, że wstawianie ich jest płynne.

Nie ma już żadnego powodu, aby używać tego rozszerzenia, a ja osobiście chciałbym wiedzieć, kto je rozwija, więc mogę się upewnić, że nie będę niczego z niego instalować w przyszłości.

Wygląda na to, że to on jest winowajcą.

Dennis
źródło
Ach, teraz to naprawdę wygląda obiecująco. Dziękuję, przeinstaluję te, które już usunąłem i po prostu usunę ten. Nie zaakceptuję jeszcze, ponieważ upewnienie się zajmie kilka dni, ale wrócę i dam znać.
terdon
Cieszę się, że pozornie znalazłeś sprawcę. Istnieje podobne rozszerzenie o nazwie SmoothScroll, które wydaje się mieć ten sam problem. chrome.google.com/webstore/search/smooth%20scroll . Ten z większą liczbą recenzji, jeśli spojrzysz na oceny, taka sama oferta jak ta!
slm
@terdon: Myślę, że znalazłem przydatne rozszerzenie. Rozszerzenia Powiadomienie o aktualizacji wyświetla powiadomienie na pulpicie przy każdej aktualizacji rozszerzenia.
Dennis
5

Oprócz odpowiedzi tutaj znalazłem kilka innych przydatnych zasobów.

  1. W tym artykule howtogeek polecono program o nazwie Fiddler, który działa jako internetowy serwer proxy do debugowania, umożliwiając badanie żądań sieciowych (dostępna jest wersja alfa linux ). @slm wskazał mi tę odpowiedź na temat SO, która ma również różne podobne programy.

  2. Tryb programisty na chrome://extensionsstronie chrome pozwala sprawdzić każde rozszerzenie dla procesów działających w tle:

    wprowadź opis zdjęcia tutaj

    Kliknięcie background.htmlotwiera okno narzędzi programistycznych chrome, które pozwala łatwo przeglądać źródła różnych skryptów zawartych w rozszerzeniu. W tym przypadku zauważyłem folder o nazwie supportw drzewie źródłowym Sexy Undo Close Tab, który zawierał skrypt o nazwie background.jswyglądającej podejrzanie (generował losowe interwały czasowe, które pasowały do ​​moich objawów).

  3. Ten inny artykuł howtogeek zawiera listę znanych rozszerzeń, których należy unikać, ale jeszcze lepiej jest http://www.extensiondefender.com, który wydaje się być bazą danych złośliwych rozszerzeń wygenerowaną przez użytkownika. Nie określają jednak, w jaki sposób i dlaczego określone rozszerzenie zostało oznaczone jako złośliwe lub dodatkowe oprogramowanie, więc być może należy je pobrać z odrobiną soli.

  4. Ludzie stojący za extensiondefender.com (kimkolwiek są) opracowali również bardzo fajne małe rozszerzenie o nazwie (drumroll) Extension Defender . Pozwala to skanować istniejące rozszerzenia pod kątem znanych „złych”, a także blokuje instalowanie rozszerzeń z czarnej listy.

Tak więc z rozszerzeń w moim OP, zarówno Smooth Gestures (dzięki @Dennis), jak i Sexy Undo Close Tab są dodatkami. Opierając się na kodzie źródłowym support/background.jspliku tego ostatniego, jestem prawie pewien, że to on losowo przejął moją bieżącą stronę, ale dam temu kilka dni, aby się upewnić.

Innym przydatnym rozszerzeniem jest Powiadomienie o aktualizacji rozszerzeń (dzięki @Dennis ), które najwyraźniej informuje cię za każdym razem, gdy rozszerzenie zostało zaktualizowane, co może pomóc w zidentyfikowaniu winowajcy na wypadek, gdyby zaktualizowany dodał takie zachowanie.

terdon
źródło
OK muszę zapytać, co do cholery jest seksowne, cofnij zamknięcie karty?
slm
@slm heh, dlatego upewniłem się [edytuj: myślałem, że upewniłem się, link został dodany teraz] nazwa była linkiem, więc nikt nie zrozumiał jej celu :). To tylko rozszerzenie „ponownie otwórz zamknięte karty” i twórcy zdecydowali się na tę absurdalną nazwę.
terdon
skrzypek jest tylko Windows BTW. Możesz użyć mitmproxy w systemie Linux. stackoverflow.com/questions/2040642/…
slm
@slm nie, nie jest, mają wersję Alpha opartą na Mono, która według nich powinna działać w systemie Linux i OSX. Jest to link do niego na stronie pobierania.
terdon
Kim jest David? : P
Dennis
4

Skupię się na metodach wykrywania.

Sprawdź dzienniki zmian

To wydaje się oczywiste. Sprawdź stronę rozszerzeń chrome pod kątem dzienników zmian, porównaj, kiedy rozszerzenia były ostatnio aktualizowane z momentem rozpoczęcia zachowania. Jest to dobry wskaźnik na wypadek, gdybyś chciał dokładnie zidentyfikować rozszerzenie po awarii.

Analizuj skrypty w tle

W pliku manifest.json rozszerzenia chrome poszukaj backgroundobiektu, coś takiego:

  "background" : {
    "persistent" : true,
    "scripts" : [
        "js/jquery.js",
        "js/jQuery.loadScript.js",
        "js/i18n.js",
        "js/MangaElt.js",
        "js/mgEntry.js",
        "js/BSync.js",
        "js/analytics.js",
        "js/personalstat.js",
        "js/wssql.js",
        "js/amrcsql.js",
        "js/background.js"
    ]
  },

Te skrypty są zwykle uruchamiane przez cały czas, gdy rozszerzenie jest aktywne i jest najczęstszym wektorem ataku. Przetwarzanie tekstu dla:

chrome.extension.sendRequest({action: "opentab"
chrome.tabs.create({
chrome.windows.create({

a nazwy domen (jak adnxs) to dobre podejście. To nie zadziała, jeśli pliki są w jakiś sposób zaciemnione, co jest również wskaźnikiem, że coś podejrzanego jest pod przykrywką.

Eliminacja przez brutalność

Prostszą, ale w twoim przypadku, długotrwałą metodą jest dezaktywacja jednego po drugim rozszerzeń, dopóki nie wyeliminujesz winowajcy.

Sprawdź zdarzenia gniazda

Jest to najbardziej zaawansowany, ale nie określa rozszerzenia, ale jest sposobem na zbieranie informacji, jedyną wadą jest to, że chrome / ium może usuwać zdarzenia, gdy pamięć się wyczerpie i wprowadza trochę narzutu.

Porównaj swoje rozszerzenia z innymi, których dotyczy problem

Jeśli dwie osoby mają ten sam problem i wspólne jest tylko jedno rozszerzenie, mogą bezpiecznie założyć, że to on jest winowajcą i je wyłączyć. Jeśli to nie zadziała, rozszerzenie jest czyste i można je porównać z innymi.

Braiam
źródło
Hmm, fajna wskazówka na temat analizowania tła, zrobi to teraz. Niestety, rzecz ma tendencję do przechwytywania istniejącej karty, więc nie opentablub createkonieczne. Jakieś wskazówki dotyczące tego, czego powinienem szukać? Chyba coś w rodzaju żądania GET.
terdon
@terdon w przypadku włamania do bieżącego okna, zamiast tego sprawdziłbym skrypty zawartości. Zaraz, dostanę kilka screenów
Braiam
Tak, nic oczywistego w manifest.jsonplikach. Gdzie / jakie są skrypty zawartości?
terdon
1

Jeśli masz zainstalowany emulator Wine Windows , może być zainfekowany, a Chrome się otwiera, ponieważ złośliwe oprogramowanie otwiera domyślną przeglądarkę.

Możesz spróbować przenieść / usunąć ~/.winekatalog i ponownie uruchomić komputer. Miałem ten sam problem kilka miesięcy temu i tak to rozwiązałem.

Z perspektywy czasu chciałbym zachować kopię katalogu, aby ustalić szczegóły infekcji. W tym czasie nie wiedziałem, że ta metoda zadziała, ani jak rozległa była infekcja, więc zdecydowałem się po prostu usunąć całą rzecz.

Jon Ruttan
źródło
0

Czy na pewno jest to złośliwe oprogramowanie? Nastąpiła wysypka samych reklam powodujących przekierowania itp., A ponieważ są w stanie uruchomić sporo JavaScript, mogą to zrobić z opóźnieniem. Fakt, że debugowanie Twojego żądania pokazuje, co moim zdaniem jest platformą do wyświetlania reklam, sugeruje, że można gdzieś poszukać.

Wypróbowałbym blokadę reklam. (Jednak nie do końca jestem pewien, co jest dobre w Chrome.)

zigg
źródło
Jestem pewien, że takie zachowanie pojawia się na stronach. Jestem pewien, że nie zawierają złośliwego oprogramowania, na przykład tego. Ponieważ mam wystarczającą liczbę powtórzeń, na stronach SE często nie ma żadnych dodatków i nadal otrzymuję te irytujące przekierowania.
terdon
To nie strony są złośliwe; używają sieci reklamowych. Nabywcy reklam kupują reklamy i wkradają się do własnego kodu.
zigg
No tak, ale ponieważ nie widzę reklam, zakładam, że nie są one wyświetlane w mojej przeglądarce. Tylko nowi użytkownicy widzą reklamy.
terdon
0

99% tego wydaje się być tylko Windows - ale mimo to spróbuj postępować zgodnie z tym przewodnikiem .

Z tego, co opublikowałeś, nie można stwierdzić, które rozszerzenie powoduje te problemy.

Powodzenia!

Chris
źródło
Dzięki, ale jak powiedziałeś, to wszystko dla Windows. Jedyną sugestią zależną od systemu operacyjnego jest usunięcie wszystkich nie zainstalowanych przeze mnie dodatków (wszystkie były).
terdon
@terdon - zacznij od aktualizacji rozszerzeń, odkąd zaczął się ten problem.
Ramhound
@terdon Istnieje wiele rzeczy związanych z przeglądarką! Spróbuj wyłączyć wszystkie rozszerzenia i pozostań przy tych, których naprawdę potrzebujesz. Wypróbuj Firefox i sprawdź, czy istnieją podobne rozszerzenia. Sprawdź wszystkie rozszerzenia - jeden po drugim w - Google. Może ktoś zgłosił podobny problem? Opublikuj listę wszystkich zainstalowanych rozszerzeń.
Chris
@Ramhound dzięki, ale większość z nich została zainstalowana tego samego dnia.
terdon
@Chris Wiem, że jest specyficzny dla Chrome i właśnie tego chcę uniknąć. Ponieważ zdarza się to tylko co kilka dni, debugowanie jeden po drugim może zająć miesiące. Dodałem swoją listę rozszerzeń do OP.
terdon