в Хромиум заполз троян

0

1

Когда еще пользовался виндой, в Хромиум заполз троян, который каждые N времени колонками говорит «откройте вашу почту».

При этом он игнорирует системную громкость звука, и при выкрученных на максимум колонках можно случайно обосраться и испачкать говном кресло (если сидишь за компьютером голый).

Теперь он работает и на макоси, и на линуксе, распространившись скорее всего через синхронизацию гуглопрофиля.

В интернетах советуют отключать плагины, но каждый раз советчик советует _другой_ плагин. Похоже, вирь начинает работать только когда одновременно работает пораженный плагин + сайт с использованием Flash.

Еще в интернетах были ссылки на специально зловредные плагины, единственная цель которых - добавить «откройте вашу почту», но ни один из них в списке не присуствует. Там же встречаются упоминания про «скрытые» плагины, которые есть, но не отображаются в «управлении плагинами» из настроек Хромиума, и продолжающие говорить «откройте вашу почту» даже при полностью выключенных всех плагинах с единственной открытой вкладкой about:blank.

Я перебрал уже много сочетаний сайтов и плагинов, но закономерности когда начинает говорить «откройте вашу почту» еще не заметил. Это трудно - он говорит «откройте вашу почту» через рандомные промежутки времени. Если отключить все плагины, то, вроде, не говорит. Ну и да, похоже, требуется запущенный сайт с Флешем.

В принципе, я даже готов отключить колонки или в пульсе запретить Хромиуму вывод звука. Но где гарантия, что эта скотина не украдет у меня кредитку или пароль на банк? Пока я живу надеждой только на двухфакторную аутентификацию альфабанка)

Что делать?

Ссылка

←	Аудиофилии тред: как вы «подбираете аккорды»?

Худо ли будет Mir'y без Intel'a?

→

← 1 2 →

adblock стоит?

kerneliq ★★★★★
(15.09.13 13:56:51 MSK)

Ответ на: комментарий от kerneliq 15.09.13 13:56:51 MSK

нет, ни одного аддона, блокирующего рекламу

upd: вру: GMelius и Minimalist for Everything.

~~stevejobs~~ ★★★★☆
(15.09.13 14:02:03 MSK) автор топика
Последнее исправление: stevejobs 15.09.13 14:02:28 MSK (всего исправлений: 1)

Пользователь Firefox читает это с лёгкой усмешкой.

~~evilmanul~~ ★
(15.09.13 14:17:06 MSK)

Ссылка

Ответ на: комментарий от stevejobs 15.09.13 14:02:03 MSK

Так поставь!

kerneliq ★★★★★
(15.09.13 14:20:06 MSK)

Ссылка

Попробуй держать запущенным wireshark. Когда оно будет говорить «откройте вашу почту», останови запись пакетов и поставь фильтр отображения «dns». Посмотри, какие доменные имена оно пыталось разрешить последними. Погугли их. Может так и найдешь, что это за троян.

P.S. Точно такого же трояна не видел, но подобный рецепт сработал у коллеги против другого трояна, который добавляет в низ страниц левые баннеры.

AEP ★★★★★
(15.09.13 14:21:40 MSK)

может это не плагин, а дополнение/расширение, как оно там называется?

GanGSISoft ★★
(15.09.13 14:37:37 MSK)

Ссылка

Ответ на: комментарий от AEP 15.09.13 14:21:40 MSK

а он и добавляет баннеры, но из-за какого-то плагина его не видно. (оно ошибочно прячется под gmail, а minimalist ошибочно режет gmail на не-gmail'е. С одной стороны это косяк баннерорезки, с другой - эффект отсутствия баннера мне нравится)

~~stevejobs~~ ★★★★☆
(15.09.13 14:41:13 MSK) автор топика

Желтый заголовок.

Этож кто сейчас ходит в интернет без ghostery и adblock?

C1nde ★
(15.09.13 14:49:02 MSK)

Забавно. Мне сегодня такое Firefox сказал. Я решил, что это на какой-то из новооткрытых вкладок гадость, закрыл несколько штук, вроде, помогло.

Но да, на нервы действует.

Miguel ★★★★★
(15.09.13 15:23:17 MSK)

Ответ на: комментарий от C1nde 15.09.13 14:49:02 MSK

Желтый заголовок.

это ЛОР, детка

~~stevejobs~~ ★★★★☆
(15.09.13 15:26:34 MSK) автор топика

в Хромиум заполз троян

Хромиум заполз сам в себя

починил, не благодари.

buddhist ★★★★★
(15.09.13 15:27:10 MSK)

Ссылка

Ответ на: комментарий от Miguel 15.09.13 15:23:17 MSK

а почему не используешь flashblock?

~~xtraeft~~ ★★☆☆
(15.09.13 15:46:46 MSK)

Ответ на: комментарий от stevejobs 15.09.13 15:26:34 MSK

Желтый заголовок.
автор stevejobs

это ЛОР, детка // fixed

C1nde ★
(15.09.13 16:09:35 MSK)

Ссылка

Ответ на: комментарий от stevejobs 15.09.13 14:41:13 MSK

а он и добавляет баннеры, но из-за какого-то плагина его не видно

Если мы говорим об одном и том же, это троян от getwebcake.

AEP ★★★★★
(15.09.13 16:15:46 MSK)

А какже мегабезопасность и всё такое? :}

~~FiXer~~ ★★☆☆☆
(15.09.13 16:18:54 MSK)

Ссылка

Ответ на: комментарий от AEP 15.09.13 16:15:46 MSK

и как его лечить? плагина с именем *cake* нету, инсталляция флеша на диске винды почищена, итп. Т.е. я не знаю где файлы этого говна

~~stevejobs~~ ★★★★☆
(15.09.13 16:27:09 MSK) автор топика

Ответ на: комментарий от stevejobs 15.09.13 16:27:09 MSK

А какие расширения стоят? Это не плугин, а именно расширение, смотрится в chrome://extensions/

AEP ★★★★★
(15.09.13 16:29:17 MSK)

Эпично. Можно скриншот?

router ★★★★★
(15.09.13 16:29:22 MSK)

Ссылка

Ответ на: комментарий от roman77 15.09.13 12:36:48 MSK

Поставить оперу.

RIP

~~FiXer~~ ★★☆☆☆
(15.09.13 16:29:54 MSK)

Ответ на: комментарий от stevejobs 15.09.13 16:27:09 MSK

инсталляция флеша на диске винды почищена

под виндой трояна getwebcake успешно уничтожает avast

AEP ★★★★★
(15.09.13 16:32:37 MSK)

Ссылка

Ответ на: комментарий от AEP 15.09.13 16:29:17 MSK

почти все уже удалил, но все еще звучит

Edit This Cookie 1.2.1
Edit This Cookie is a cookie manager. You can add, delete, edit, search, protect and block cookies! Permissions Visit website
ID: fngmhnnpilhplaeedifhccceomclgfbg

Enable
 
Feedly - News, Blogs and Youtube 18.1
The best place to read the content of your favorite sites. RSS re-invented. Permissions Visit website
ID: hipbfijinpcgfogaopmgehiegacbhmob

Enable
 
FreshStart - Cross Browser Session Manager 1.6.1
Need simple session management? Several users on the same Chrome? FreshStart is a simple cross browser session manager. Permissions Visit website
ID: nmidkjogcjnnlfimjcedenagjfacpobb

Enable
 
Gmelius - Ad Blocker and Better UI for Gmail™ 5.7.4
Gmelius customizes Gmail's interface to your liking and strips away the ads. Featured on TechCrunch, Lifehacker and other high-profile technology sites. Permissions Visit website
ID: dheionainndbbpoacpnopgmnihkcmnkl
Inspect views: background page

Allow in incognito
 Options

Enabled
 
Google Docs 0.5
Create and edit documents Permissions Visit website
ID: aohghmighlieiainnegkcijnfilokake

Allow in incognito
 
Enabled
 
ImTranslator: Google Translate 2.1.1
ImTranslator: Google Translate Permissions Visit website
ID: noaijdpnepcgjemiklgfkcfbkokogabh
Inspect views: background page

Allow in incognito
   Allow access to file URLs Options

Enabled
 
iReader 1.3.0.3
View news stories and other articles in a very easy to read, clutter-free, scrollable display. Permissions Visit website
ID: ppelffpjgkifjfgnbaaldcehkpajlmbc

Enable
 
JavaScript Blacklist 0.1
Blacklist JavaScript from certain domains Permissions Visit website
ID: emcepjkdiiaenmoaghcfghjjppbkbhnf

Enable
 
JetBrains Chrome Extension 0.4.4
HTML/CSS/JavaScript editing and JavaScript debugging from JetBrains IDEs. Permissions
ID: omlgoegcnmiikfiapaelkaichppahfkm

Enable
Not from Chrome Web Store.
 
Minimalist for Everything 0.6.8
You live in webapps. Make them yours Permissions Visit website
ID: bmihblnpomgpjkfddepdpdafhhepdbek
Inspect views: background page

Allow in incognito
   Allow access to file URLs Options

Enabled
 
Neat Bookmarks 0.9
A neat bookmarks tree popup. Permissions Visit website
ID: pnbmhmngmdppipkoognikjonljicbhnl
Inspect views: background.html

Allow in incognito
   Allow access to file URLs Options

Enabled
 
Neat Bookmarks 0.9.10
A neat bookmarks tree popup. Permissions Visit website
ID: nnancliccjabjjmipbpjkfbijifaainp
Inspect views: background page

Allow in incognito
   Allow access to file URLs Options

Enabled
 
Replies and more for Google+ 1.62
Adds reply and reply-to-author buttons to Google+ comments and a number of other enhancements. Permissions Visit website
ID: fgmhgfecnmeljhchgcjlfldjiepcfpea

Enable
 
Sexy Undo Close Tab 7.2.12
Accidentally closed your last tab? Tired of losing tabs in Incognito? Don't worry, everything is possible with this sexy extension! Permissions Visit website
ID: bcennaiejdjpomgmmohhpgnjlmpcjmbg

Enable
 
Shortcut Manager 0.7.9
Customize shortcut keys; Assign any Javascript code or browser actions to any key strokes. Permissions Visit website
ID: mgjjeipcdnnjhgodgjpfkffcejoljijf

Enable
 
Speed Dial 2 1.7.0
Speed dial 2 is fast and clean extension for your favorite pages and quick access to your apps, bookmarks and browsing history. Permissions Visit website
ID: jpfpebmajhhopeonhlcgidhclcccjcik

Enable
 
TabJump - Intelligent Tab Navigator 0.7.9.2
A new way to navigate your tabs. Easily access most used tabs, associated tabs, and closed tabs. Allows tab locking too. Permissions Visit website
ID: hokofmgcicpnjchllaccgedmmmbbnbmf

Enable
 
TooManyTabs for Chrome 2.0.0
Manage your tabs, improve your browsing, and maintain your sanity when you have many tabs open. Permissions Visit website
ID: amigcgbheognjmfkaieeeadojiibgbdp
Inspect views: background page

Allow in incognito
 Options

Enabled
 
Tree Style Tabs (Beta) 0.0.1
Provides tree-style tabbing. Permissions Visit website
ID: ffididlaalcoegfcalmeldjfnihmoech

Enable
 
View Link in Google Cache 1.0
Open the selected link from Google Cache Permissions Visit website
ID: nbphmmfbemkijojeojbkecbgmpiamnlk

Enable
 
Xdebug enabler 0.2
Toggle Xdebug from the address bar. Permissions Visit website
ID: eippbhbeglgcphcjmpjcjinjamabeoln

Enable
 
YouTube Options 1.8.134
Disable annoying things in YouTube and other video sites. Permissions Visit website
ID: bdokagampppgbnjfdlkfpphniapiiifn

Enable

~~stevejobs~~ ★★★★☆
(15.09.13 16:33:05 MSK) автор топика

Ответ на: комментарий от stevejobs 15.09.13 16:33:05 MSK

Ну если оно так легко воспроизводится, думаю, что ты этого трояна сам быстрее найдешь методом деления пополам, чем тебе тут подскажут.

Под подозрением: Gmelius, ImTranslator, Minimalist, Neat Bookmarks (с какого перепугу оно стоит три раза???).

AEP ★★★★★
(15.09.13 16:39:49 MSK)

Ссылка

Ответ на: комментарий от FiXer 15.09.13 16:29:54 MSK

RIP

4.2 Пациент медленно, но верно идёт на поправку.

AX ★★★★★
(15.09.13 16:44:35 MSK)

Ссылка

Ответ на: комментарий от xtraeft 15.09.13 15:46:46 MSK

а почему не используешь flashblock?

А на кой?

Miguel ★★★★★
(15.09.13 16:56:13 MSK)

Ответ на: комментарий от Miguel 15.09.13 16:56:13 MSK

ну чтобы не запускать ненужный флеш, а нужный включать по клику.

~~xtraeft~~ ★★☆☆
(15.09.13 17:09:43 MSK)

Ответ на: комментарий от xtraeft 15.09.13 17:09:43 MSK

А на кой?

Miguel ★★★★★
(15.09.13 18:53:17 MSK)

Ответ на: комментарий от AX 15.09.13 13:40:50 MSK

Но там же оофтопикопроблемы не?

aes_ultimum ★★
(15.09.13 18:59:44 MSK)

поставь касперского :)

insider ★★★
(15.09.13 19:17:20 MSK)

Ссылка

Ответ на: комментарий от Miguel 15.09.13 18:53:17 MSK

например, чтобы не было случаев когда «в какой то вкладке кто-то орет»

~~xtraeft~~ ★★☆☆
(15.09.13 19:21:52 MSK)

Ответ на: комментарий от stevejobs 15.09.13 13:15:32 MSK

у мну на гуглоаккаунт вся жизнь завязана

Какой же ты несчастный.

kernelpanic ★★★★★
(15.09.13 19:23:39 MSK)

Ссылка

Ответ на: комментарий от xtraeft 15.09.13 19:21:52 MSK

Раз в год по большим праздникам. Агромадная выгода.

К тому же ещё неизвестно, действительно ли это был флэш.

Miguel ★★★★★
(15.09.13 21:01:03 MSK)

Ответ на: комментарий от AX 15.09.13 13:41:57 MSK

Опера - не просто торрент-клиент, а лучший почтовик всех времён и народов, которому не хватает лишь нормального броузера.

Не благодари.

~~prischeyadro~~ ★★★☆☆
(15.09.13 21:05:10 MSK)

Ссылка

Ответ на: комментарий от Miguel 15.09.13 21:01:03 MSK

Раз в год по большим праздникам. Агромадная выгода.

+ отсутствие возможности заражения тебя через уязвимость во флеше.
+ уменьшение тормозов (ты же не будешь отрицать, что флеш даже на маке тормозит?)

а еще он течет

~~xtraeft~~ ★★☆☆
(15.09.13 21:23:20 MSK)
Последнее исправление: xtraeft 15.09.13 21:23:40 MSK (всего исправлений: 1)

Ответ на: комментарий от xtraeft 15.09.13 21:23:20 MSK

+ отсутствие возможности заражения тебя через уязвимость во флеше.

???

Заражения?

На маке?

+ уменьшение тормозов (ты же не будешь отрицать, что флеш даже на маке тормозит?)

Вот ни разу не видел тормозов из-за флэша. Тормоза из-за кривого жабоскрипта видел, а вот флэш — нет.

Miguel ★★★★★
(15.09.13 22:16:52 MSK)

Ответ на: комментарий от Miguel 15.09.13 22:16:52 MSK

Заражения?
На маке?

чем черт не шутит, через жабу же было. возможность то пробивать мак через флеш есть уже сейчас, но этого нет потому что маколюбы - «Неуловимый Джо»

Вот ни разу не видел тормозов из-за флэша. Тормоза из-за кривого жабоскрипта видел, а вот флэш — нет.

лень сейчас искать отзывы (даже с лора), но у ряда моих знакомых флеш на маке вызывает тормоза (или нагрев на air)

~~xtraeft~~ ★★☆☆
(15.09.13 22:18:11 MSK)
Последнее исправление: xtraeft 15.09.13 22:18:56 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от aes_ultimum 15.09.13 18:59:44 MSK

Но там же оофтопикопроблемы не?

Там аддонопроблемы.

AX ★★★★★
(15.09.13 23:01:01 MSK)

можно случайно обосраться и испачкать говном кресло (если сидишь за компьютером голый)

Какие страсти...

~~MiniRoboDancer~~ ★☆
(15.09.13 23:26:51 MSK)

Ссылка

Ответ на: комментарий от AX 15.09.13 23:01:01 MSK

Но у меня нет проблем…

Странно

aes_ultimum ★★
(15.09.13 23:28:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Аудиофилии тред: как вы «подбираете аккорды»?

Talks

Худо ли будет Mir'y без Intel'a?

→

Но у меня нет проблем…

Похожие темы