навязчивый сервис

[Peter_I]

Здравствуйте!

Несколько дней назад я в xubuntu-18.04 практически встретил нечто, изредка выводящее мне на экран небольшую панельку
с сообщением, не имеющем отношения к информационным технологиям, крестиком для закрытия, кнопкой "Settings" и текстом
тега <a href ...../a>. Но сегодня ещё не было. А чьи это козни, к чему могут привести и как от этого избавиться?

[AlexBKost]

Но сегодня ещё не было.

Peter_I, давайте повременим до завтра, может ОНИ (чьи-то козни) уже померли, и беспокоится уже не о чем.

[Peter_I]

Но сегодня ещё не было.

Peter_I, давайте повременим до завтра, может ОНИ (чьи-то козни) уже померли, и беспокоится уже не о чем.

Хорошо, повременим, тем более, что сегодня панельки так и не было.
Пользователь добавил сообщение 15 Ноября 2018, 23:59:55:

Но сегодня ещё не было.

Peter_I, давайте повременим до завтра, может ОНИ (чьи-то козни) уже померли, и беспокоится уже не о чем.

Нет, сервис жив! Вот сейчас появилась панелька на неизвестном языке, но вроде бы на европейском,
а в теге есть словво "casino". Козни усиливаются.

[AnrDaemon]

"Дорогие ученые! У меня который год в подполе происходит подземный стук. Объясните,   пожалуйста, как он происходит."

[zg_nico]

Peter_I, скриншот панельки (не обязательно нотариально заверенный). Выхлоп команды top сравните с панелькой и без неё. Автозагрузку пользователя проверьте.
Если посещаете в это время какой-то сайт, - панелька может быть окном браузера, а к ее возникновению может приводить соответствующий JavaScript на целевой странице, которую Вы посетили.

[alang]

Дорогие ученые! У меня который год в подполе происходит подземный стук. Объясните,   пожалуйста, как он происходит.

(Нажмите, чтобы показать/скрыть)

Квинтэссенция большинства тем на этом форуме.

[Peter_I]

zg_nico, Хорошо, когда дождусь, попробую сделать скриншот.
Сайт в это время не посещал.
Пользователь добавил сообщение 16 Ноября 2018, 22:35:01:Вот пришла панелька:

Пользователь добавил сообщение 16 Ноября 2018, 23:48:07:А позже она ещё раз пришла. Есть ли в Ubuntu средства для защиты от таких неслыханных козней?
Что можно сдлеать в этом случае?

[zg_nico]

Peter_I, по Settings что открывается? Будет ли что-то в выводе команды (выполняться будет долго, - ищем файл по встречающемуся в нем слову без учета регистра):

Код: [Выделить]

find -L / -type f 2>/dev/null | while read i; do cat "$i" 2>/dev/null | grep -H --label="$i" -in "cpcheck"; done

[ALiEN]

zg_nico,

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

grep -iIRn "cpcheck" / 2> /dev/null

[Peter_I]

zg_nico, я ни разу не нажимал кнопку "Settings" на этих панельках, как-то смелости не хватает.

[zg_nico]

Peter_I, а вывод команды?

[Peter_I]

zg_nico, Ambiguous output redirect.
Я таких сложных конструкций не использую. Я уже пробовал искать это "cpcheck" попроще, но ниего толкового не увидел.

[Pasha-pivo]

Здесь вычитал как получить PID процесса, отвечающего за какое-нить окно.

Что делать:

Код: [Выделить]

xprop _NET_WM_PID | sed 's/_NET_WM_PID(CARDINAL) = //' | ps `cat`
Появится курсор в виде перекрестия. Нужно кликнуть на окне. Получишь в выводе PID процесса и команду, его вызывающую. Там, я думаю, зловреда будет найти раз плюнуть.

Или просто xprop и поковыряться ручками.

[ALiEN]

Peter_I, еще как вариант

Код: [Выделить]

journalctl | grep cpcheck

[Peter_I]

Pasha-pivo, благодарю, даже не подумал об этом.
Пользователь добавил сообщение 17 Ноября 2018, 22:24:00:В результате поиска по cpcheck строки такого вида:

(Нажмите, чтобы показать/скрыть)

/home/peter/.config/google-chrome/Default/IndexedDB/https_cpcheck.pro_0.indexeddb.leveldb/LOG.old:2018/11/16-22:27:20.129 6301 Reusing MANIFEST /home/peter/.config/google-chrome/Default/IndexedDB/https_cpcheck.pro_0.indexeddb.leveldb/MANIFEST-000001