(10.24 Supercopy插件的锅，目前已解决)ESET突然各种报JS/Adware.Chromex.Agent.W

超超~.~

本来相安无事的，这两天突然只要打开Vivaldi浏览器就会弹出ESET报毒的弹窗，然后杀掉一个temp文件夹的js文件，我看了一下，文件名一致，哈希值也一致。我以为是Vivaldi的问题，电脑上还有一个cent浏览器，打开也会报，报的还是那个js文件，但是文件路径不太一样。
我搜到了ESET官方论坛的帖子，https://forum.eset.com/topic/410 ... warechromexagentaa/
楼主遇到了我类似的问题，Marcos的答复，大概意思是，先关闭浏览器的同步功能，然后挨个卸载插件，逐渐缩小排查范围，直到锁定某一个插件。

I'd start off by turning off sync to make sure that the extension is not re-downloaded after removal. You could also try removing all installed extensions and re-adding them one by one until you narrow it to one that is malicious and detected.

这个narrow it to one，太麻烦了，我用ESET全盘扫描了一下电脑，没有发现任何问题。我实在是没精力一点点排查了，只好发到论坛，看看大佬们有没有好办法，不行我就暂时用MD顶一阵。

此处呼唤一下大佬 @驭龙

超超~.~

1，台式机是卡巴+Vivaldi，Vivaldi上安装的所有插件和油猴脚本都跟笔记本上一致。笔记本是ESET+Vivaldi。几乎完全一致的浏览器配置，卡巴什么都没报，但是ESET在每次启动vivaldi的时候都会按贴子里说的那种方式报毒。
2，今天下午，我在台式机上，逐个精简了插件和油猴脚本，尤其是后者，我不整理不知道，我的油猴脚本已经乱得无以复加了，存在大量已停更很久和功能重复的脚本，从大几十个，精简到38个；插件也是只安装平时用得着的，那些觉得似乎有用，但是实际上一年用不了几次的，全部删除了。插件自动同步vivaldi服务器，油猴脚本导出到压缩包，上传onedrive。
3，晚上回来，打开笔记本，将下午折腾的内容全部同步配置的笔记本上（插件自动配置，脚本先全部删除再全部导入最新的备份），退出重进Vivaldi，ESET报毒。然后，挨个卸载插件，每卸载一个，就重启一下浏览器（用退出方式，不是简单关闭窗口），开始挨个排查。直到插件全部卸载完毕，ESET依旧报毒（此处需要注意，本次排查，未按照ESET官方论坛的Macros提出的一定要关闭浏览器同步，全程是开启数据同步的。）
4，接下来，用BCUninstaller卸载工具彻底卸载Vivaldi浏览器，重启电脑，重新安装最新稳定版Vivaldi，正常登录账户（即开启同步），在这个过程中，ESET报毒。等所有插件全部同步到本地（油猴脚本不导入，油猴是空的），退出Vivaldi账号（这个是Macros在好几个帖子里一直坚持要求的），开始卸载插件，卸载第一个插件重启浏览器之后，ESET没有报毒，这时，我登录了Vivaldi账号，然后ESET报毒，我仔细看了一下报毒的内容，提示“Vivaldi在访问clients2.googleusercontent.com时拒绝访问了*********.crx”（没截图，跟帖子里发的报毒内容有区别了，不再报那个js文件了），我退出vivaldi账号，ESET就不报了，再登录就再报。我打开用Edgeblock软件封印的Edge浏览器，刚一启动，ESET就报了相同的内容。
5，https://forum.eset.com/topic/41613-i-cant-remove-malware-from-clients2googleusercontentcom/  我找到了这个官方论坛帖子，情况跟重装vivaldi之后的我类似，而且提供了很详细的反馈内容，但是，Macros就像个机器人一样，反复要求发帖人关闭sync……反正是我关了，ESET就不报了……
6，由于完全相同的配置内容，卡巴不报，ESET报，我现在只能卸载ESET了（所以没有报毒内容的截图，当时忘了截了），换成了MD，用上了DefenderUI+WFC。然后，MD也不报……
7，累了，毁灭吧。

水是冰的眼泪

我点了更新插件后，遇到了类似的问题，报的crx文件，文件名就是插件的id，这个插件我没启用，就没管它。


再说个题外话，有些插件用得好好的，在某次点了更新后，就变成包含恶意软件，不让启用了，这种要是还想用，怎么办？这是个强制复制网页文本内容的插件。

驭龙

可能大概也许是中招了，建议把文件发样本区，现在已知MD也杀

wenshui1013

我也猜是某个插件的问题

Miostartos

插件加料了吧
最简单的办法，按更新时间去查，出问题当天更新的插件首先删了

x-天秤座

这种报的js文件是插件或者油猴的某个脚本问题，不好说，看你承担风险能力：不用的话有些功能就没有，用的话---试一下换个其他。我以前也是遇见过，某个油猴脚本自己会搜集信息发送到某个网站，一直以为是浏览器后来才根据功能猜到是某个脚本，然后删除后就没事了，从此之后只用去广告的插件和几个看起来正规的脚本。

超超~.~

驭龙 发表于 2024-10-22 01:44
可能大概也许是中招了，建议把文件发样本区，现在已知MD也杀

我在置顶回复里增加了一些自己折腾的结果

超超~.~

wenshui1013 发表于 2024-10-22 10:14
我也猜是某个插件的问题

可能是吧，不过我这边排查的结果是跟我开启浏览器同步有关系

超超~.~

Miostartos 发表于 2024-10-22 10:22
插件加料了吧
最简单的办法，按更新时间去查，出问题当天更新的插件首先删了

折腾之后，已经不报js了，报clients2.googleusercontent.com了

超超~.~

x-天秤座 发表于 2024-10-22 10:34
这种报的js文件是插件或者油猴的某个脚本问题，不好说，看你承担风险能力：不用的话有些功能就没有，用的话 ...

我已经按照您的做法，给自己的浏览器狠狠瘦身过了