查看: 3169|回复: 47
收起左侧

[求助] (10.24 Supercopy插件的锅,目前已解决)ESET突然各种报JS/Adware.Chromex.Agent.W

[复制链接]
超超~.~
发表于 2024-10-22 01:27:07 | 显示全部楼层 |阅读模式
本帖最后由 超超~.~ 于 2024-10-24 00:36 编辑

本来相安无事的,这两天突然只要打开Vivaldi浏览器就会弹出ESET报毒的弹窗,然后杀掉一个temp文件夹的js文件,我看了一下,文件名一致,哈希值也一致。我以为是Vivaldi的问题,电脑上还有一个cent浏览器,打开也会报,报的还是那个js文件,但是文件路径不太一样。
我搜到了ESET官方论坛的帖子,https://forum.eset.com/topic/410 ... warechromexagentaa/
楼主遇到了我类似的问题,Marcos的答复,大概意思是,先关闭浏览器的同步功能,然后挨个卸载插件,逐渐缩小排查范围,直到锁定某一个插件。
I'd start off by turning off sync to make sure that the extension is not re-downloaded after removal. You could also try removing all installed extensions and re-adding them one by one until you narrow it to one that is malicious and detected.

这个narrow it to one,太麻烦了,我用ESET全盘扫描了一下电脑,没有发现任何问题。我实在是没精力一点点排查了,只好发到论坛,看看大佬们有没有好办法,不行我就暂时用MD顶一阵。

此处呼唤一下大佬 @驭龙

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
超超~.~
 楼主| 发表于 2024-10-23 00:58:16 | 显示全部楼层
1,台式机是卡巴+Vivaldi,Vivaldi上安装的所有插件和油猴脚本都跟笔记本上一致。笔记本是ESET+Vivaldi。几乎完全一致的浏览器配置,卡巴什么都没报,但是ESET在每次启动vivaldi的时候都会按贴子里说的那种方式报毒。
2,今天下午,我在台式机上,逐个精简了插件和油猴脚本,尤其是后者,我不整理不知道,我的油猴脚本已经乱得无以复加了,存在大量已停更很久和功能重复的脚本,从大几十个,精简到38个;插件也是只安装平时用得着的,那些觉得似乎有用,但是实际上一年用不了几次的,全部删除了。插件自动同步vivaldi服务器,油猴脚本导出到压缩包,上传onedrive。
3,晚上回来,打开笔记本,将下午折腾的内容全部同步配置的笔记本上(插件自动配置,脚本先全部删除再全部导入最新的备份),退出重进Vivaldi,ESET报毒。然后,挨个卸载插件,每卸载一个,就重启一下浏览器(用退出方式,不是简单关闭窗口),开始挨个排查。直到插件全部卸载完毕,ESET依旧报毒(此处需要注意,本次排查,未按照ESET官方论坛的Macros提出的一定要关闭浏览器同步,全程是开启数据同步的。)
4,接下来,用BCUninstaller卸载工具彻底卸载Vivaldi浏览器,重启电脑,重新安装最新稳定版Vivaldi,正常登录账户(即开启同步),在这个过程中,ESET报毒。等所有插件全部同步到本地(油猴脚本不导入,油猴是空的),退出Vivaldi账号(这个是Macros在好几个帖子里一直坚持要求的),开始卸载插件,卸载第一个插件重启浏览器之后,ESET没有报毒,这时,我登录了Vivaldi账号,然后ESET报毒,我仔细看了一下报毒的内容,提示“Vivaldi在访问clients2.googleusercontent.com时拒绝访问了*********.crx”(没截图,跟帖子里发的报毒内容有区别了,不再报那个js文件了),我退出vivaldi账号,ESET就不报了,再登录就再报。我打开用Edgeblock软件封印的Edge浏览器,刚一启动,ESET就报了相同的内容。
5,https://forum.eset.com/topic/41613-i-cant-remove-malware-from-clients2googleusercontentcom/  我找到了这个官方论坛帖子,情况跟重装vivaldi之后的我类似,而且提供了很详细的反馈内容,但是,Macros就像个机器人一样,反复要求发帖人关闭sync……反正是我关了,ESET就不报了……
6,由于完全相同的配置内容,卡巴不报,ESET报,我现在只能卸载ESET了(所以没有报毒内容的截图,当时忘了截了),换成了MD,用上了DefenderUI+WFC。然后,MD也不报……
7,累了,毁灭吧。
水是冰的眼泪
发表于 2024-10-23 14:45:04 | 显示全部楼层
我点了更新插件后,遇到了类似的问题,报的crx文件,文件名就是插件的id,这个插件我没启用,就没管它。


再说个题外话,有些插件用得好好的,在某次点了更新后,就变成包含恶意软件,不让启用了,这种要是还想用,怎么办?这是个强制复制网页文本内容的插件。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
超超~.~ + 3 好家伙,竟然是它

查看全部评分

驭龙
发表于 2024-10-22 01:44:29 | 显示全部楼层
可能大概也许是中招了,建议把文件发样本区,现在已知MD也杀
wenshui1013
发表于 2024-10-22 10:14:44 | 显示全部楼层
我也猜是某个插件的问题
Miostartos
发表于 2024-10-22 10:22:18 | 显示全部楼层
插件加料了吧
最简单的办法,按更新时间去查,出问题当天更新的插件首先删了
x-天秤座
发表于 2024-10-22 10:34:09 | 显示全部楼层
这种报的js文件是插件或者油猴的某个脚本问题,不好说,看你承担风险能力:不用的话有些功能就没有,用的话---试一下换个其他。我以前也是遇见过,某个油猴脚本自己会搜集信息发送到某个网站,一直以为是浏览器后来才根据功能猜到是某个脚本,然后删除后就没事了,从此之后只用去广告的插件和几个看起来正规的脚本。
超超~.~
 楼主| 发表于 2024-10-23 00:58:54 | 显示全部楼层
驭龙 发表于 2024-10-22 01:44
可能大概也许是中招了,建议把文件发样本区,现在已知MD也杀

我在置顶回复里增加了一些自己折腾的结果
超超~.~
 楼主| 发表于 2024-10-23 00:59:17 | 显示全部楼层
wenshui1013 发表于 2024-10-22 10:14
我也猜是某个插件的问题

可能是吧,不过我这边排查的结果是跟我开启浏览器同步有关系
超超~.~
 楼主| 发表于 2024-10-23 01:00:12 | 显示全部楼层
Miostartos 发表于 2024-10-22 10:22
插件加料了吧
最简单的办法,按更新时间去查,出问题当天更新的插件首先删了

折腾之后,已经不报js了,报clients2.googleusercontent.com了
超超~.~
 楼主| 发表于 2024-10-23 01:00:40 | 显示全部楼层
x-天秤座 发表于 2024-10-22 10:34
这种报的js文件是插件或者油猴的某个脚本问题,不好说,看你承担风险能力:不用的话有些功能就没有,用的话 ...

我已经按照您的做法,给自己的浏览器狠狠瘦身过了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:50 , Processed in 0.130139 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表