问题标签 [spyware]

谷歌浏览器向我展示了这条消息，一个小的 div 类型的弹出窗口。升级成功完成。Google Chrome 已使用新的 ToFind 服务成功升级了您的扩展程序。继续使用 toFind 服务了解更多

我不知道什么时候安装的，在此期间我从未安装过任何东西

我记得安装了一个安装了 superfish 搜索插件的软件（同样在我不知情的情况下）。卡巴斯基也没有检测到它，谷歌浏览器也没有给出任何警告。

我设法卸载它。但是我仍然在某些购物网站上看到“查找产品”按钮，但我没有看到任何结果。

现在，在我安装未知软件的最后几天出现了这种情况。

我认为谷歌浏览器容易受到这种间谍软件/垃圾邮件的攻击。甚至不知道是什么

任何人都看过这个并且知道如何卸载它。它不会出现在扩展中。我只有少数扩展

是否有可能在未经用户许可的情况下在 Android 上安装任何有害软件并将该软件隐藏在应用列表中？

间谍软件、病毒等

谢谢。

我注意到我的一个网站添加了一个 iframe，它链接到恶意软件网站或类似网站（不包括 URL，但域s l u x x q q g y k e w o l m o l i . i n没有空格）。

它只是 html / css 和 javascript...没有安装 Wordpress 或任何形式的内容管理系统。我正在浏览 html 文件以删除它的任何实例，但我想知道的是我将来如何防止这种情况 IE 有人如何设法将它放到我的网站上？

非常感谢任何帮助或资源

我有一个托管在我的网站上的单页 Web 应用程序Windows Azure很容易受到广告软件的影响（主要是在 上IE，有时在 上Firefox）。我注意到更受欢迎的网站不太容易受到这些攻击。我怎样才能使我的网站不那么容易发生Ad Injectors？我的网站当然托管在云中，使我几乎无法访问与服务器相关的设置。在专用服务器上托管会有所帮助（以及我需要在服务器上安装什么）？可以通过某些js库解决此问题吗？

不幸的是，关于这个主题没有太多的说法。这是我发现讨论它的唯一页面。安装SSL能解决问题吗？

感谢您的帮助。谢谢！

今天我在我的网站背景上看到一个白色像素，起初我以为是我的显示器，但它没有出现在其他网站上。然后我用萤火虫检查了这个像素，发现了这一点：

我从来没有添加过这个脚本，最奇怪的是它没有出现在我的源文件中，而且这个网站不在托管公司，它在我的本地主机上。有没有人知道它可能是什么？http://swebdpjs.info指向http://www.limelight.com/。

有人正在使用 NetMaster 和 GeoTrace 应用程序跟踪我的 iPad/iPhone。他们使用 GeoTrace（他们说）来监控我的短信。在保存的 GeoTrace 搜索中，只有应该来自我的 iPhone 的部分或句子（我不认识）显示。

他还拍摄了许多他所追踪的啤酒花的屏幕截图，据说这些屏幕截图显示了我的互联网搜索（我一个都不认识。）通过查看“啤酒花”可以发现什么？</p>

我知道在这里问这个问题很奇怪——有些人可能会说这不是提出这个问题的地方，但万一我是对的，它可能会影响到依赖这个群体的其他人。基本上，一个比较流行的 firefox 插件可能具有一些未记录且可能不需要的功能。

我在带有几个插件的 Windows 7 环境中使用 Firefox 47.0.1 作为我的 WAMP 环境的一部分。我慷慨地使用了 console.log，今天（可能从昨天开始）注意到我的控制台在输出中包含了“测试”这个词。它没有将源归因于它（通常在控制台的右侧，它会给我脚本和行号 - 它只是空白）。在调用了我自己的几个函数之后，“测试”一词将出现在同一位置。我的整个 javascript 代码库接近 4000 行 - 我不记得输入了这样的词，但作为预防措施，我将其复制到 cygwin/*nix 命令行并通过我的脚本搜索 grep -i "testing" 并没有找到这个词。我尝试了其他创造性的方法来帮助我确定它可能在哪里发挥作用，但失败了。

我使用 Firefox 配置文件 - 一种专门用于禁用磁盘和内存缓存的开发。我卸载了插件，删除了配置文件，然后重新创建了配置文件，重新运行了我的代码。

我的代码像以前一样运行，只是“测试”不再出现在控制台输出中。

我是偏执狂吗？我想不出“测试”这个词是从哪里来的。没有其他人可以使用这台笔记本电脑（带有 20 个字符密码的加密硬盘、防病毒软件，不与任何人共享）。

短版：见主题

详细版本：

我想为 Windows 使用特定的 3rd 方主题。我已经在使用我自己编译的开源解决方案来禁用 Window 对主题的限制。

过去，在使用 DLL 附带的 3rd 方主题相关模组时（例如用于登录 ui 的 authui.dll，或用于修改系统图标的 imageres.dll），我通过简单地复制未知 DLL 的主题相关资源来避免使用未知 DLL （例如位图、图标组或 UI 脚本）到它的原始 MS Dll 对应物。我称之为资源嫁接，其中资源被更改，但 DLL 或 exe 的可执行元素被单独保留。

回到我想安装的主题，我使用 sha256 哈希确定只有 aero.msstyles 也可以被资源黑客修改。所以我做了和平时一样的事情，把第三方主题的资源转移到了Window自己的aero.msstyles中。问题是我遇到了一种我无法阅读或知道其内容的资源。它被称为变体。从在 VM 中进行的一些实验来看，它似乎是资源黑客无法反编译的某种二进制 UI 脚本。我通常希望能够阅读我传输的任何 UI 脚本，但我无法使用这个。

这会构成任何真正的安全风险吗？UI 脚本可以通过某种漏洞利用来加载吗？对我来说似乎不太可能，因为主题文件（msstyle）的功能是协调系统 UI 的外观，但我对整个主题系统的内部工作知之甚少，无法确定。在我将主题从虚拟机中取出之前，我想我会得到一些其他的观点。

在我的三星 Galaxy S6 手机上，当我单击显示系统应用程序时，我在设置 > 应用程序中看到 service.odtcfactory.sec.com.odtcfactoryservice。不久前，我开始怀疑我的手机可能被黑客入侵了，当我连接到它时，我注意到在 Phone\Android\data 中有一个名为 service.odtcfactory.sec.com.odtcfactoryservice 的文件夹，该文件夹是在入侵可能发生的时候创建的已经发生（事后看来）。

在此文件夹内有一个空缓存文件夹，该文件夹的创建和修改日期时间与以下行相同，其中包含 adb logcat 输出中的字符串“odtc”：

07-15 16:12:44.502 D/MountService（3663）：getExternalStorageMountMode：最终 mountMode=1，uid：1000，packageName：service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.541 I/ActivityManager（3663 ): 启动 proc 5087:service.odtcfactory.sec.com.odtcfactoryservice/1000 广播 service.odtcfactory.sec.com.odtcfactoryservice/.odtcfactory.BatteryAlarmReceiver
07-15 16:12:44.561 I/SELinux (5087): SELinux: seaapp_context_lookup: seinfo=platform, pkgname=service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.608 I/ActivityManager(3663): DSS on for service.odtcfactory.sec.com.odtcfactoryservice 和规模是 1.0
07- 15 16:12:44.644 D/ODTCFactoryService:BatteryAlarmReceiver(5087): ACTION_POWER_CONNECTED 收到
07-15 16:12:44.648 W/ContextImpl（5087）：在没有合格用户的情况下调用系统进程中的方法：android.app.ContextImpl.sendBroadcast:906 android.content.ContextWrapper.sendBroadcast:452 android.content.ContextWrapper .sendBroadcast:452 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.BatteryAlarmReceiver.onReceive:54 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.067 I/ODTCFactoryService:AlarmReceiver(5087): 收到警报
07 -15 16:12:45.071 D/ODTCFactoryService:AlarmReceiver(5087)：计划在 1800000 (ms) 之后发出警报，会话时间为 180000 (ms)
07-15 16:12:45.071 D/ODTCFactoryService:PowerMonitor(5087): sessionStartTime 1531696365071
07-15 16:12:45.073 W/ContextImpl(5087): 在没有合格用户的情况下调用系统进程中的方法: android.app.ContextImpl.startService:1403 android.content.ContextWrapper.startService:664 android.content.ContextWrapper .startService:664 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.AlarmReceiver.onReceive:105 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.078 D/ODTCFactoryService::LockscreenEncoderFactory(5087): LockscreenEncoderFactory 实例化
07-15 16:12:45.094 D/ODTCFactoryService:ProcessLockManager(5087): 锁被释放
07-15 16:12:45.105 I/ActivityManager(3663): Process service.odtcfactory.sec.com.odtcfactoryservice (pid 5087) 已经死亡(54,1194)

我已强制停止此应用程序并重新启动。本周我还两次将手机恢复出厂设置，但该应用程序仍然存在。第一次恢复出厂设置后，我安装了最新的系统更新，所以我的 Android 版本是 7.0：

内核版本 3.10.61-13731302 Mon Jun 和 4 2018内部版本
号 NRD90M.G920W8VLU6DRF1
Android 安全补丁级别 2018 年 6 月 1 日

这个系统应用合法吗？我在谷歌搜索中找不到太多关于它的信息，这让我更加怀疑。如果它无效，我该如何卸载它？我尝试运行以下命令，但得到了 DELETE_FAILED_INTERNAL_ERROR。
adb shell pm uninstall service.odtcfactory.sec.com.odtcfactoryservice

我还在与 reSIProcate 服务相关的日志文件中看到了其他看似可疑的活动。以下行是一个示例，但有许多类似的例子，就像我的手机向服务器发送消息一样。
07-15 15:51:08.226 I/reSIProcate(3132): SipResp: 200 tid=68e64ae9ac9d2c9f cseq=29 注册联系人=xxxx@[2605:8d80:2:8c1c:d6a:ab6e:8708:44c4]:6100 / 29从（电线）

卡巴斯基正在将大量数据上传到本地服务器！请帮我解释一下！！