LinuxでChrome拡張機能を含むマルウェアを特定するにはどうすればよいですか?

21

マルウェアに感染したようです。具体的には、時々(通常は数日に1回)何か、通常は「新しいバージョンのFlash」をダウンロードするように要求するページにリダイレクトされます。おそらく、それはこの種のものではありませんが、実際には何らかのウイルスまたはトロイの木馬です。

google-chromeDebian Linuxでバージョン30.0.1599.114 を使用していますが、これは拡張機能が原因であると確信しています。拡張機能を単にアンインストールしたり、~/.config/google-chromeフォルダーを削除したりすることはできますが、それは避けたいと思います。これを引き起こしている拡張子を特定し、それだけを削除したいと思います。

これをデバッグする際に(@Braiamに感謝)、イベントロガーをチェックインし、chrome://net-internals/#eventsリダイレクト先のURLの1つを検索しました。

Chromeのイベントロガーのスクリーンショット

内容は次のchrome://net-internals/#eventsとおりです。

122667: URL_REQUEST
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.358

t=1393864121358 [st=  0] +REQUEST_ALIVE  [dt=334]
t=1393864121359 [st=  1]   +URL_REQUEST_START_JOB  [dt=332]
                            --> load_flags = 134349184 (ENABLE_LOAD_TIMING | ENABLE_UPLOAD_PROGRESS | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
                            --> method = "GET"
                            --> priority = 2
                            --> url = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121359 [st=  1]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_OPEN_ENTRY  [dt=0]
                              --> net_error = -2 (ERR_FAILED)
t=1393864121359 [st=  1]      HTTP_CACHE_CREATE_ENTRY  [dt=0]
t=1393864121359 [st=  1]      HTTP_CACHE_ADD_TO_ENTRY  [dt=0]
t=1393864121359 [st=  1]     +HTTP_STREAM_REQUEST  [dt=1]
t=1393864121360 [st=  2]        HTTP_STREAM_REQUEST_BOUND_TO_JOB
                                --> source_dependency = 122670 (HTTP_STREAM_JOB)
t=1393864121360 [st=  2]     -HTTP_STREAM_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_SEND_REQUEST  [dt=0]
t=1393864121360 [st=  2]        HTTP_TRANSACTION_SEND_REQUEST_HEADERS
                                --> GET /p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980 HTTP/1.1
                                    Host: cdn.adnxs.com
                                    Connection: keep-alive
                                    User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.114 Safari/537.36
                                    Accept: */*
                                    DNT: 1
                                    Referer: http://ib.adnxs.com/tt?id=2301980&cb=1393864120&referrer=http://fra1.ib.adnxs.com/if?enc=gbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.&pubclick=http://fra1.ib.adnxs.com/click?XkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA./cnd%3D!8gXSNwiT18QBEIujlwYY0cEVIAA./referrer%3Dhttp://www.imgclck.com/serve/imgclck.php/clickenc%3Dhttp://optimized-by.rubiconproject.com/t/9164/15602/101258-2.3581666.3755480?url%3D&cnd=%218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.&ccd=%21vwV6NgiCtsABEL3CkgYYt5YRIAA.&udj=uf%28%27a%27%2C+279660%2C+1393864119%29%3Buf%28%27c%27%2C+3152642%2C+1393864119%29%3Buf%28%27r%27%2C+12886333%2C+1393864119%29%3B&vpid=77&apid=189016&referrer=http%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php&media_subtypes=1&ct=0&dlo=1&pubclick=http://fra1.ib.adnxs.com/click?AAAAAAAAAAAAAAAAAAAAALTIdr6fGus_AAAAAAAAAAAAAAAAAAAAAA-Oj4oIzbJcljpJTzhxcH-4rRRTAAAAANYjIwB6AgAAEAkAAAIAAAAfKcUAD5wFAAAAAQBVU0QAVVNEANgCWgCqqwAAtdQAAQUCAQIAAIwA6xZV3wAAAAA./cnd=%21GgafOwjH0sYBEJ_SlAYYj7gWIAE./referrer=http%3A%2F%2Ffra1.ib.adnxs.com%2Fif%3Fenc%3DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%26pubclick%3Dhttp%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%2Fcnd%253D%218gXSNwiT18QBEIujlwYY0cEVIAA.%2Freferrer%253Dhttp%3A%2F%2Fwww.imgclck.com%2Fserve%2Fimgclck.php%2Fclickenc%253Dhttp%3A%2F%2Foptimized-by.rubiconproject.com%2Ft%2F9164%2F15602%2F101258-2.3581666.3755480%3Furl%253D%26cnd%3D%25218yV7-QiCtsABEL3CkgYYACC3lhEwADj8xRpAAEjQBlCS_YsBWABgngZoAHAMeIABgAEMiAGAAZABAZgBAaABAagBA7ABALkBGWjVpdTIaD_BARlo1aXUyGg_yQFwmqHGvyLwP9kBAAAAAAAA8D_gAQA.%26ccd%3D%2521vwV6NgiCtsABEL3CkgYYt5YRIAA.%26udj%3Duf%2528%2527a%2527%252C%2B279660%252C%2B1393864119%2529%253Buf%2528%2527c%2527%252C%2B3152642%252C%2B1393864119%2529%253Buf%2528%2527r%2527%252C%2B12886333%252C%2B1393864119%2529%253B%26vpid%3D77%26apid%3D189016%26referrer%3Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%26media_subtypes%3D1%26ct%3D0%26dlo%3D1/clickenc=
                                    Accept-Encoding: gzip,deflate,sdch
                                    Accept-Language: en-US,en;q=0.8,fr;q=0.6
                                    Cookie: __gads=ID=386c1f6bc0285adb:T=1390666421:S=ALNI_MZXJdGrAsWELFKRsS7QcqnPTkuaMw; uuid2=9182964126870747798; sess=1; icu=ChIIr54TEAYYASAAKAEwu8_EmAUKEgiCyRUQBhgDIAAoAzDGkb-XBQoSCKraFRAGGAEgACgBMIyKv5cFChII5I8WEAYYASAAKAEw0szplwUKEgjXlhYQBhgCIAAoAjDFvM2YBQoSCP7-CBAKGAUgBSgFMMjU0pgFChIIpogJEAoYByAHKAcwqtXSmAUKEgiDtwoQChgdIB0oHTCx29KYBQoSCNuECxAKGAUgBSgFMPbX0pgFChII0aELEAoYASABKAEwuc3SmAUKEgjLzwsQChgBIAEoATDrzNKYBQoSCK7fCxAKGAEgASgBMJfH0pgFChII0eQLEAoYASABKAEw5czSmAUKEgi78AsQChgHIAcoBzDwyNKYBQoSCL_yCxAKGAEgASgBMKzV0pgFChIIkoAMEAoYAiACKAIwrdvSmAUKEgi3hQ0QChgBIAEoATCv1dKYBQoSCMWnDhAKGAcgBygHMOzY0pgFChII_KcOEAoYBSAFKAUwisHSmAUKEgiIqA4QChgEIAQoBDCr1dKYBQoSCJ7pDhAKGAUgBSgFMMnK0pgFChII3ukOEAoYICAgKCAwuNvSmAUKEgi0hw8QChgBIAEoATC2ydKYBQoSCOeVDxAKGAUgBSgFMMnK0pgFChII_J4PEAoYASABKAEwrtvSmAUKEgi_lxAQChgDIAMoAzC8zdKYBQoSCNCkEBAKGAIgAigCML3N0pgFChII6acQEAoYBiAGKAYw5dfSmAUKEgjpsRAQChgGIAYoBjCv1dKYBQoSCMy5EBAKGAEgASgBMO3U0pgFChII1uoQEAoYASABKAEwstXSmAUKEgipghEQChgIIAgoCDCJy9KYBQoSCIaeERAKGAQgBCgEMOzY0pgFChIIh54REAoYAyADKAMw79jSmAUKEgjJpREQChgBIAEoATCbytKYBQoSCI-yERAKGAEgASgBMInL0pgFChIIqbcREAoYAiACKAIwisvSmAUKEgievhEQChgBIAEoATCtw9KYBQoSCP7GERAKGAYgBigGMNzT0pgFChIIofMREAoYAyADKAMwttHSmAUKEgjK-xEQChgCIAIoAjCx1dKYBQoSCJ6BEhAKGBsgGygbMNvX0pgFChII9ogSEAoYBiAGKAYw18rSmAUKEgjvmRIQChgDIAMoAzDP2dKYBQoSCI2qEhAKGAQgBCgEMLXJ0pgFChIInLASEAoYAiACKAIw0srSmAUKEgjXsRIQChgCIAIoAjDYytKYBQoSCKO0EhAKGAMgAygDMKjV0pgFChIIvrQSEAoYByAHKAcw19jSmAUKEgjFthIQChgCIAIoAjD0zNKYBQoSCLHAEhAKGAEgASgBMKDE0pgFChIIqswSEAoYASABKAEwzsrSmAUKEgiv0hIQChgDIAMoAzCPwdKYBQoSCOTYEhAKGAEgASgBMLTV0pgFChIIrNkSEAoYByAHKAcw7MLSmAUKEgj-2xIQChgDIAMoAzCx1dKYBQoSCInfEhAKGAIgAigCMMDN0pgFChIIxuASEAoYByAHKAcw3dnSmAUKFQj14BIQChjIASDIASjIATC429KYBQoSCPfgEhAKGAEgASgBMMDN0pgFChII9-ISEAoYBCAEKAQw5djSmAUKEgjw5BIQChgDIAMoAzD4wdKYBQoSCJXqEhAKGAMgAygDMI3F0pgFChII6uwSEAoYAiACKAIwpNLSmAUKEgjB8BIQChgGIAYoBjC_zdKYBQoSCOTyEhAKGAIgAigCMPXM0pgFChII5fISEAoYAyADKAMw-czSmAUKEgiG8xIQChgHIAcoBzDQ2dKYBQoSCIuJExAKGBMgEygTMMTW0pgFChIIoIwTEAoYBSAFKAUw7dTSmAUKEgjDohMQChgBIAEoATC21dKYBQoSCI-wExAKGAUgBSgFMLrN0pgFChIIxLATEAoYBiAGKAYwqtXSmAUKEgjIsBMQChgDIAMoAzDzzNKYBQoSCLyyExAKGAQgBCgEMOnL0pgFChIIvrITEAoYASABKAEw2cnSmAUKEgj6shMQChgBIAEoATDbx9KYBQoSCMi2ExAKGAEgASgBMNnG0pgFChII5bgTEAoYAiACKAIwhNfSmAUKEgiXuRMQChgEIAQoBDDU2NKYBQoSCIq-ExAKGAYgBigGMMfC0pgFChIInsITEAoYASABKAEw2cbSmAUKEgibxRMQChgGIAYoBjCE0dKYBQoSCP_FExAKGAIgAigCMOjM0pgFChIIkcYTEAoYBCAEKAQwz8fSmAUKEgi3xhMQChgBIAEoATCfydKYBQoSCOvGExAKGAEgASgBMLjb0pgFChIIx8gTEAoYBCAEKAQw6NTSmAUKEgiFyhMQChgBIAEoATDTzNKYBQoSCI_KExAKGAIgAigCMMbU0pgFChIIu9ETEAoYAyADKAMw2sfSmAUKEgjr2BMQChgCIAIoAjC21dKYBQoSCIbbExAKGAIgAigCMLnb0pgFChIIzuUTEAoYASABKAEw8MzSmAUKEgj76RMQChgCIAIoAjCqydKYBQoSCIHrExAKGAEgASgBMKrJ0pgFELnb0pgFGNYE; anj=dTM7k!M4.g1IKw2hK`RZ[+9f#Abz#5Z8>#V-^@!KG9XLO4442ch)Pc]jvxZ!#GhOwx*meAdp/D)elWNRR%-I!MOpSn=J+VCrW%0=hj]Bz32M!LSOQ5gll*LP_br1!?zqWv$YT0!S8!Ssqbx<[gw>6wFG2.OXE$1'cEc8BdiTCWLi:P+XwDKQDr`LmI$bR^3u%?co]YbrY[FD44<J(CU/Gn<5H=tP`n<jx[Cz6px:fcFXbqHccp2?vY*$/m>4GqE.2:v`'pIRgJ@wKuwpOTY'2wRpvC`e.1o[gHdch:d8Ly_dx!x3SeM0^!qrZIi%XQ$0pC/UUYEnNS-^j>32us+UP1VB_*ML]?KovH`x8g7%)dRu@#?pr+Lx<$9w@Af%inZIpkFAP#Y`t[+c'OBbc?!FUlhh4fF<-9S<1`W1<W3_z!``x7Jhjeh
t=1393864121360 [st=  2]     -HTTP_TRANSACTION_SEND_REQUEST
t=1393864121360 [st=  2]     +HTTP_TRANSACTION_READ_HEADERS  [dt=330]
t=1393864121360 [st=  2]        HTTP_STREAM_PARSER_READ_HEADERS  [dt=330]
t=1393864121690 [st=332]        HTTP_TRANSACTION_READ_RESPONSE_HEADERS
                                --> HTTP/1.1 200 OK
                                    Server: Apache
                                    ETag: "d932a372371bd0a47ba7e2a73649a8d0:1393776550"
                                    Last-Modified: Sun, 02 Mar 2014 16:09:10 GMT
                                    Accept-Ranges: bytes
                                    Content-Length: 5255
                                    Content-Type: application/x-shockwave-flash
                                    Date: Mon, 03 Mar 2014 16:28:41 GMT
                                    Connection: keep-alive
t=1393864121690 [st=332]     -HTTP_TRANSACTION_READ_HEADERS
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121690 [st=332]      HTTP_CACHE_WRITE_INFO  [dt=0]
t=1393864121691 [st=333]   -URL_REQUEST_START_JOB
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121691 [st=333]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121691 [st=333]    HTTP_TRANSACTION_READ_BODY  [dt=1]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334]    HTTP_TRANSACTION_READ_BODY  [dt=0]
t=1393864121692 [st=334]    HTTP_CACHE_WRITE_DATA  [dt=0]
t=1393864121692 [st=334] -REQUEST_ALIVE

そしてURL_REQUEST

122669: DISK_CACHE_ENTRY
http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980
Start Time: 2014-03-03 17:28:41.359

t=1393864121359 [st=  0] +DISK_CACHE_ENTRY_IMPL  [dt=350]
                          --> created = true
                          --> key = "http://cdn.adnxs.com/p/d9/32/a3/72/d932a372371bd0a47ba7e2a73649a8d0.swf?clickTag=http%3A%2F%2Ffra1.ib.adnxs.com%2Fclick%3FSRPvAE9aoD_c-TxO6i6ZP-kmMQisHO4_3Pk8TuoumT9JE-8AT1qgP3vmRkLiiPF6ljpJTzhxcH-5rRRTAAAAABwgIwByBwAAPwEAAAIAAADRAMMAVqgFAAAAAQBVU0QAVVNEANgCWgDHsgAAFIsAAQUCAQIAAIwAeiTtsAAAAAA.%2Fcnd%3D%2521NgbzOgjzkMEBENGBjAYY1tAWIAA.%2Freferrer%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fif%253Fenc%253DgbdAguLHaD8eqb7zixJkP_LSTWIQWOk_Hqm-84sSZD-At0CC4sdoP2mCZbZYUNUFljpJTzhxcH-3rRRTAAAAAJL-IgB2AgAAUAMAAAIAAAA9ocQAN0sEAAAAAQBVU0QAVVNEANgCWgD8ogAA58sAAgUCAQIAAIwA9idtvAAAAAA.%2Fclickenc%3Dhttp%253A%252F%252Ffra1.ib.adnxs.com%252Fclick%253FXkiHhzB-Wj-D_TJz3IRWP3E9CtejcNU_g_0yc9yEVj9eSIeHMH5aP_ygL0YyHDQoljpJTzhxcH-2rRRTAAAAAEJLIQBJAQAAVwMAAAIAAACL0cUA0WAFAAAAAQBVU0QAVVNEANgCWgDQMgAAUdQDAQUCAQIAAIwA3yN4YgAAAAA.%252Fcnd%253D%25218gXSNwiT18QBEIujlwYY0cEVIAA.%252Freferrer%253Dhttp%253A%252F%252Fwww.imgclck.com%252Fserve%252Fimgclck.php%252Fclickenc%253Dhttp%253A%252F%252Foptimized-by.rubiconproject.com%252Ft%252F9164%252F15602%252F101258-2.3581666.3755480%253Furl%253Dhttp%25253A%25252F%25252Fwww.downloadchop.com%25252Fgo%25252Flightspark%25253Fsource%25253Dybrant_lightspark-fr%252526adprovider%25253Dybrant%252526ce_cid%25253Dfra1CJb1pPqEp5y4fxACGPvMm5KknOL4eiINODIuMjI5LjIyLjE2NigBMLnb0pgF%252526subid%25253D2301980"
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 304
                            --> index = 0
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 304
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121690 [st=331]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 0
                            --> index = 2
                            --> offset = 0
                            --> truncate = true
t=1393864121690 [st=331]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 0
t=1393864121691 [st=332]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 2612
                            --> index = 1
                            --> offset = 0
                            --> truncate = true
t=1393864121691 [st=332]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 2612
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1448
                            --> index = 1
                            --> offset = 2612
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1448
t=1393864121692 [st=333]   +ENTRY_WRITE_DATA  [dt=0]
                            --> buf_len = 1195
                            --> index = 1
                            --> offset = 4060
                            --> truncate = true
t=1393864121692 [st=333]   -ENTRY_WRITE_DATA
                            --> bytes_copied = 1195
t=1393864121693 [st=334]    ENTRY_CLOSE
t=1393864121709 [st=350] -DISK_CACHE_ENTRY_IMPL

スキャンDISK_CACHE_ENTRYすると、きれいであることがわかります。

$ sudo clamscan -r .config/google-chrome/
[...]
Known viruses: 3138491
Engine version: 0.97.8
Scanned directories: 543
Scanned files: 1511
Infected files: 0
Data scanned: 70.93 MB
Data read: 135.29 MB (ratio 0.52:1)
Time: 22.528 sec (0 m 22 s)

提供されるページは、多くの場合(おそらく常に、確かではない)xxx.adnx.comドメインにあります(xxx一部は異なります)。google-chromeディレクトリでその文字列を検索すると、次が返されます。

$ grep -lR adnx .config/google-chrome/
.config/google-chrome/Default/Preferences
.config/google-chrome/Default/History Provider Cache
.config/google-chrome/Default/Cookies
.config/google-chrome/Default/Current Tabs
.config/google-chrome/Default/History
.config/google-chrome/Default/Archived History
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/#cdn.adnxs.com/settings.sol
.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/Y255TG9H/macromedia.com/support/flashplayer/sys/settings.sol
.config/google-chrome/Default/Favicons-journal
.config/google-chrome/Default/Preferences~
.config/google-chrome/Default/Favicons
.config/google-chrome/Default/Cookies-journal

私のインストール済みアドオンが続きます。これらは、Chromeのアドオンストアからのものです。

"View Vote totals" without 1000 rep
AutoReviewComments 1.3.0
Chat Reply Helper for Stack Exchange sites 2.4.0
Close Tabs 1.1
Desktop Notifications for Stack Exchange 1.6.5.1
Docs PDF/PowerPoint Viewer (by Google) 3.10
Edit with Emacs 1.13
Hangout Chat Notifications 2.0.0
IE Tab 6.1.21.1
KBD Button for Stack Exchange sites 0.2.0
Sexy Undo Close Tab 7.4.13
Smooth Gestures 0.17.14
SmoothGestures: Plugin 0.9.1
Yet another flags 0.9.10.0

これらはStack Appsのものです。

Dude, where's my cursor 1.0
SE Comment Link Helper 1.0
Super User Automatic Corrector 1.0
threading-comments 1.0
stackexchange-tab-editing 1.0

インストール済みプラグイン:

インストールされたプラグインを示すスクリーンショット

この(またはその他の)情報を使用して、どのアドオンがこれを引き起こしているのかを特定するにはどうすればよいですか?

linux  google-chrome  malware 
タードン
ソース
1
私が知っている唯一の方法は、試行錯誤のアプローチです。
ラムハウンド14
@Ramhoundええ。問題は、これはまれにしか発生しないため、数日ごとに1回試行錯誤するアプローチには数か月かかる可能性があるため、まだ試していません。
テルドン14
@terdon | clamscanまさに私が考えていたものでした。ある程度断続的であるため、それらをシャットダウンして一定期間にわたって追加する以外に、拡張機能を見つけることはほとんどありません。これは、拡張の問題であることを前提としています。問題が発生したときに、アクティビティに一貫性があることに気づきましたか?
マシューウィリアムズ14
@MatthewWilliams何もありません。それは完全にランダムに見えますが、クロムでのみ起こることは知っています。たとえば、ここで投稿を読むことができ、クリックすることなく、突然追加/ダウンロードページにリダイレクトされます。
テルドン14
1
ただし、拡張機能を一度に1つずつ無効にする必要はありません。数日間それらの半分を無効にすると、すぐにフィールドが半分になります(感染した拡張機能が複数ある場合を除く)。
アレクシス14

回答:

10

これがあなたの特定の問題に当てはまるかどうかはわかりませんが、既知の優れた拡張機能がサードパーティに販売され、悪意のある目的で拡張機能を採用する場合があります。これについて説明するストーリーの1つが、Google Chrome拡張機能が悪意のあるアドウェア企業に販売されていることです。

抜粋

Ars TechnicaのRon Amadeoは最近アドインされた悪意のある更新を配置するためにChrome拡張機能を購入するアドウェアベンダーについての記事を書きまし

ユーザーが常に最新のアップデートを実行できるようにするため、Google Chromeには自動アップデートがあります。明らかに、Google ChromeはGoogleによって直接更新されます。ただし、この更新プロセスにはChromeの拡張機能が含まれます。Chrome拡張機能は拡張機能の所有者によって更新され、拡張機能の所有者が信頼できるかどうかを判断するのはユーザー次第です。

ユーザーが拡張機能をダウンロードすると、拡張機能の所有者に、いつでも新しいコードをブラウザーにプッシュする許可が与えられます。

必然的に起こったのは、アドウェアベンダーが拡張機能の作成者から拡張機能を購入し、そのためユーザーを購入しているということです。これらのベンダーは、拡張機能のすべてのユーザーにアドウェアをプッシュしているため、危険なブラウジングエクスペリエンスが得られます。

ワンGoogle拡張機能の作者が与えた彼の個人アカウントと題した彼のブログでこののを、「私はクローム拡張を販売、それは悪い決断でした。」

私のアドバイスは、この状況を非常に真剣に受け止め、よくわからない拡張機能を無効にすることです。次に、状況を監視して、状況が収まるか継続するかを確認します。

それが続く場合、私はより深く掘り下げ、使用しているDNSサーバーを精査し始めます。このサービス(無料)は、DNSルックアップを代わりのOpenDNSページにリダイレクトすることで攻撃ベクトルを阻止しようとするため、私は通常、この正確な理由でOpenDNSを使用します。

DNSを気にする理由

OpenDNS DNSサーバーは、ホスト名がスパム/ハッキング/フィッシング関連のアクティビティに関連していることがわかっている場合、ルックアップを行うときに返される結果を意図的に増やします。顧客がトラフィックするすべてのサイトのルックアップを実行するため、彼らはユニークな立場にあり、異常を検出できるようになります:OPENDNS PHISHING PROTECTIONおよびこちら

ほかに何か?

また、/etc/hostsファイルが侵害されていないことを確認し、のようなものを使用して状況を監視し続けnethogます。これにより、ネットワークにアクセスしているプロセスが表示されます。

Amit Agarwalは、Chrome用のFeedly拡張機能を1時間以内に作成し、知らないうちにアドウェアベンダーに4桁の価格で販売しました。拡張機能の販売時のChromeユーザー数は30,000人以上でした。新しい所有者はChromeストアに更新をプッシュし、アドウェアとアフィリエイトのリンクをユーザーのブラウジングエクスペリエンスに挿入しました。この拡張機能は、Agarwalの反省的な告白が原因で削除されましたが、Chrome拡張機能では非常に一般的なイベントです。

slm
ソース
ええ、そのようなことが起こっていると思います。hostsファイルがクリーンであり、念のためOpenDNSに切り替えることを確認できます。ありがとう。
テルドン14
OpenDNSには違いはありません。これらの有効なリクエストを考慮していると思います。
テルドン14年
@terdon-この問題はまだ検出されていない可能性があります。
slm 14年
5

拡張機能のスムーズジェスチャ直接リンク)のレビューをご覧ください

レビューを日付順に並べ替える([ 最近 ]をクリックする)と、ほとんどすべての新しいレビューに1つ星の評価が付けられ、アンダーハンド広告について文句を言うことがわかります。

ケビン・リー 1日前

広告を追加するサードパーティ企業に販売され、広告の支払い機能があります。

Suresh Nageswaran 3日前

広告が嫌い。それが私のブラウジング体験に広告を注入し始めるまではうまくいきました。私はそれを使い続けるためにお金を払っていたでしょうが、私はこっそりについて強く感じました。スパイウェアの境界線。

ジョン・スミス 6日前

これを使用しないでください。クリックジャックにJSを注入し、httpsでXSSセキュリティ問題を引き起こします。

トマス・フラヴァチェク 2014年2月23日

絶対にがらくた...不正なURLが忍び込む事件を覚えていますか?その後、ユーザーに「寄付」または広告の被害を強いることになりました。特定のページで遅れが出始めました(すべての「改善」の前にはそうではありませんでした)。だから私はCrxMouseに切り替えて、元気です。

カイル・バー 2014年2月19日

マウスジェスチャーの拡張機能ですが、新しい広告は恐ろしい追加機能です。第一に、拡張機能が広告を更新してサイレントに追加するため、広告がどこから来たのかわからないからです。ここでは、複数のマルウェアスキャナーでコンピューターをスキャンしています。これは、Smooth Gesturesがそれらを挿入していることに気付くまで、ランダムな広告が表示されるからです。

この拡張機能を使用する正当な理由はありません。個人的には、この拡張機能の開発者を知りたいので、将来それらから何もインストールしないようにします。

それが犯人のようです。

デニス
ソース
ああ、今では本当に有望に見えます。ありがとう、私は既に削除したものを再インストールし、これを削除します。確かに数日かかるので、私はまだ受け入れませんが、戻ってきてあなたに知らせます。
テルドン14年
犯人を見つけたようでうれしい。同じ問題があるように見えるSmoothScrollと呼ばれる同様の拡張機能があります。chrome.google.com/webstore/search/smooth%20scroll。より多くのレビューがあるものは、評価を見ると、これと同じ取引です!
slm 14年
@terdon:便利な拡張機能を見つけたと思います。Extensions Update Notifierは、拡張機能が更新されるたびにデスクトップ通知を表示します。
デニス14年
5

ここでの答えに加えて、さらに役立つリソースがいくつか見つかりました。

  1. このhowtogeekの記事では、Webデバッグプロキシとして機能するFiddlerと呼ばれるプログラムを推奨しています。これにより、ネットワーク要求を調べることができます(アルファ版のLinuxバージョンがあります)。@slmは、同様のさまざまなプログラムがあるSOについてのこの答えを私に指摘しました。

  2. Chromeのchrome://extensionsページの開発者モードでは、バックグラウンドで実行されているプロセスの各拡張機能を確認できます。

    ここに画像の説明を入力してください

    をクリックすると、background.htmlChromeの開発者ツールウィンドウが開き、拡張機能に含まれるさまざまなスクリプトのソースを簡単に確認できます。この場合、supportSexy Undo Close Tabのソースツリーにあるフォルダーに、background.js疑わしいと思われるスクリプトが含まれていることに気付きました(私の症状に合ったランダムな時間間隔を生成していました)。

  3. この他のhowtogeekの記事には、避けるべき既知の拡張機能のリストがありますが、http://www.extensiondefender.comは、悪意のある拡張機能のユーザー生成データベースのようです。ただし、特定の拡張機能がマルウェアまたはアドウェアとしてタグ付けされた方法または理由を指定していないため、おそらくそれを一粒のコードで使用する必要があります。

  4. extensiondefender.comの背後にいる人々(誰でも)は、(ドラムロール)Extension Defenderと呼ばれる非常にクールで小さな拡張機能も開発しました。これにより、既存の拡張機能で既知の「不良な」拡張機能をスキャンし、ブラックリストに登録されている拡張機能のインストールをブロックすることもできます。

OPの拡張機能のうち、Smooth Gestures(@Dennisに感謝)とSexy Undo Close Tabの両方がアドウェアです。support/background.js後者のファイルのソースコードに基づいて、現在のページをランダムにハイジャックしているのは確かですが、数日後に確認します。

もう1つの便利な拡張機能は、Extensions Update Notifier@Dennisに感謝)です。拡張機能haqが更新されるたびに通知されるため、更新によってこのタイプの動作が追加された場合に犯人を特定できます。

タードン
ソース
OK、タブを閉じるのはセクシーで元気ですか?
slm 14年
@slmへー、だから私は確認した[編集:確認したと思って、今すぐリンクを追加した]名前がリンクだったので、誰もその目的を誤解していない:)。これは「閉じたタブを再び開く」拡張機能であり、開発者はそのとんでもない名前に決めました。
テルドン14年
フィドラーはWindowsのみです。Linuxでmitmproxyを使用できます。stackoverflow.com/questions/2040642/...
SLM
@slmいいえ、そうではありません。MonoベースのAlphaバージョンがあり、LinuxとOSXで動作するはずだと主張しています。ダウンロードページにリンクがあります。
テルドン14年
デビッドは誰ですか?:P
デニス14年
4

検出方法に焦点を当てます。

変更ログを確認する

これは明らかなようです。変更ログについてChrome拡張機能ページを確認し、拡張機能が最後に更新された日時と動作が開始された日時を比較します。これは、障害のある拡張機能を正確に識別したい場合に適したポインタです。

バックグラウンドスクリプトを解析する

chrome拡張機能manifest.jsonファイルでbackground、次のようなオブジェクトを探します。

  "background" : {
    "persistent" : true,
    "scripts" : [
        "js/jquery.js",
        "js/jQuery.loadScript.js",
        "js/i18n.js",
        "js/MangaElt.js",
        "js/mgEntry.js",
        "js/BSync.js",
        "js/analytics.js",
        "js/personalstat.js",
        "js/wssql.js",
        "js/amrcsql.js",
        "js/background.js"
    ]
  },

これらのスクリプトは通常、拡張機能がアクティブである間は常に実行され、最も一般的な攻撃ベクトルです。テキストの解析:

chrome.extension.sendRequest({action: "opentab"
chrome.tabs.create({
chrome.windows.create({

ドメイン名(などadnxs)が適切なアプローチです。ファイルが何らかの方法で難読化されている場合、これは機能しません。これは、怪しいものが潜んでいることを示すポインタでもあります。

ブルートフォースによる排除

簡単ですが、あなたの場合、長い方法では、原因を特定するまで排除するまで拡張機能を1つずつ無効にします。

ソケットイベントを確認する

これは最も高度ですが、拡張機能を特定することはありませんが、情報を収集する方法です。唯一の欠点は、クロム/ iumがメモリを使い果たしたときにイベントを削除する可能性があり、少しオーバーヘッドが発生することです。

拡張機能と影響を受ける他の拡張機能を比較する

2人が同じ問題を抱えており、共通の拡張機能が1つしかない場合、その拡張機能が原因であると安全に推定して無効にできます。それが機能しない場合、拡張機能はクリーンであり、他と比較できます。

ブライアム
ソース
うーん、背景のものを解析するための素晴らしいヒントが、今それを行います。残念ながら、このことは既存のタブをハイジャックする傾向があるため、不要opentabまたはcreate必要です。私が検索すべきものへのポインタはありますか?GETリクエストのようなものだと思います。
テルドン14
@terdon現在のウィンドウをハイハッキングする場合、代わりにcontentscriptsをチェックします。待って、私はいくつかのスクリーンを取得します
Braiam
ええ、manifest.jsonファイルには明らかなものはありません。コンテンツスクリプトはどこにありますか?
テルドン14年
1

開始するのに適した場所は、クロム拡張「クロムのシールド」です。既知の問題を持つ拡張機能を発見するのに役立ちます。Chromeウェブストアで入手できます。無料で、軽量で、本当に使いやすいです。 https://chrome.google.com/webstore/detail/shield-for-chrome/cbaffjopmgmcijlkoafmgnaiciogpdel

または「Extension Defender」。 https://chrome.google.com/webstore/detail/extension-defender/lkakdehcmmnojcdalpkfgmhphnicaonm?hl=en

RLC
ソース
1

あなたが持っている場合はワインのWindowsエミュレータがインストールされ、それが感染する可能性があり、およびマルウェアがデフォルトのブラウザを開いているので、Chromeが開いています。

~/.wineディレクトリを移動/削除して、マシンを再起動してみてください。私は数ヶ月前に同じ問題を抱えていたので、それを解決しました。

後知恵では、感染の詳細を判断するためにディレクトリのコピーを保持してほしいと思います。当時、この方法が機能するかどうか、また感染がどれほど広範囲に及ぶかわからなかったため、すべてを削除することにしました。

ジョン・ルタン
ソース
0

実際にマルウェアであると確信していますか?リダイレクトなどを引き起こす広告自体の急増があり、かなりの量のJavaScriptを実行できるため、遅れてそれを行うことができました。あなたのリクエストのデバッグは、広告配信プラットフォームであると私が信じていることを示しているという事実は、どこかに見えるかもしれないことを示唆しています。

広告ブロッカーを試します。(ただし、最近Chromeで何が良いのかはよくわかりません。)

ジグ
ソース
確かに、この動作はマルウェアのないサイトであると確信しています。たとえば、これです。私には十分な担当者がいるので、私が頻繁に使用するSEサイトには追加がなく、これらの迷惑なリダイレクトが発生します。
テルドン14
マルウェアに感染しているのはサイトではありません。それは彼らが使用する広告ネットワークです。広告購入者は広告を購入し、独自のコードを忍び込んでいます。
zigg14年
ええ、もちろんですが、広告が表示されないため、ブラウザに配信されないと想定しています。新しいユーザーにのみ広告が表示されます。
テルドン14
0

この99%はWindowsのみのようですが、それでもこのガイドに従ってください

あなたが投稿したものから、それらの問題を引き起こしている拡張機能を特定することは不可能です。

がんばろう!

クリス
ソース
感謝しますが、あなたが言ったように、それはWindowsのすべてです。OSに依存しない唯一の提案は、私がインストールしていないすべてのアドオンを削除することです(すべてのアドオンは削除されました)。
テルドン14
@terdon-この問題が始まって以来、拡張機能の更新から始めます。
ラムハウンド14
@terdonブラウザ関連のものはたくさんあります!すべての拡張機能を無効にしてみて、本当に必要な拡張機能のままにしてください。Firefoxを試して、同様の拡張機能があるかどうかを確認してください。Googleですべての拡張機能を1つずつ確認します。誰かが同様の問題を報告したのでしょうか?インストールしたすべての拡張機能のリストを投稿します。
クリス14
@Ramhoundに感謝しますが、それらのほとんどは同じ日にインストールされました。
テルドン14
@Chris私はそれがクロム固有であることを知っています、そしてそれはまさに私が避けたいものです。数日ごとにしか発生しないため、1つずつデバッグするには数か月かかる場合があります。拡張機能のリストをOPに追加しました。
テルドン14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.