我最近幫同學處理這個問題,我平時在學校工讀處理老師電腦問題,這種問題我已經
很有經驗,直到碰到你說的這個由公司政策安裝的Case,卡了40分鐘,首先我想先分
想我處理首頁綁架跟廣告彈出的SOP,再提怎麼解決此問題,以下都是一個步驟一
個步驟,前步驟沒用才走下個流程。
1.先檢查chrome://extensions內有無不明extension,可以移除先移除,重開Chrome
2.檢查C:\內有無user.js,有就把它砍掉
3.檢查Chrome捷徑的內容的目標部分有無被下一串網址在後面,若有就會在開Chrome
時彈出網頁,只是你會發現首頁那沒有設定這網站覺得納悶就是(處理網址被竄改)
4.若只是首頁被竄改問題,還是要檢查一下有沒有可能已解決竄改問題,只是沒改回
首頁,也就是說改改首頁看看是不是改完不會跳回去被竄改的頁面了
5.到控制台>程式集的移除程式看有沒有跟Extension同名的程式或是明顯的流氓軟體
把它移除
6.檢查開機啟動程式(用msconfig或CCleaner)有無異常的軟體,這需要一點判斷能力
跟經驗
7.考量效率,以上六步驟都沒用,或者是很趕時間,我就先用AdwCleaner最新版砍看
看了,前提是你信任這套軟體,基本上我是信任的,然後看他Scan出來的結果有無
問題再來砍,我覺得他有在更新,很多新的綁架招數他都有新增它的規則
8.砍Chrome的User Profile重建(進chrome://settings/找使用者的刪除這位使用者)
,再不然就重裝Chrome
9.爬registry(regedit)中的Software\Google部分,不過這要專業人士才會看了(HKLM
跟HKCU),其中64bit OS要記得進Software\Wow6432Node\...檢查看看(就Software
後面多打Wow6432Node的意思)
對付由公司政策安裝的話
要用以下10.開始的步驟才比較有用,其中最後一個步驟才解決我同學的問題,網路上
沒爬到...
10.一樣registry,位置是HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\
ExtensionInstallForcelist,記得也要檢查SOFTWARE\Wow6432Node\Policies...
把右邊列表看得到的字串值砍掉(通常名稱是1)
11.進chrome://extensions開啟開發人員模式,記下extension的ID,在regedit內搜
尋,找到就砍
12.進chrome://version找到設定檔路徑,去那路徑找其下的Extensions資料夾,找到
跟extension ID同名的資料夾砍掉
13.進chrome://policy/沒意外你會看到砍不掉那個extension的名稱&ID,點Policy
value應該可以看到它的檔案到底寄生在哪,可以去那資料夾把檔案砍掉先
14.到C:\Windows\System32\GroupPolicy\看Machine跟User兩資料夾內有沒有pol檔,
用記事本打開看內容是否大意就是開機時模擬出10.步驟的登錄檔,若是則砍掉
搞了半天是因為它把該寫死在登錄檔內的資料,寫一個群組原則來弄,難怪10.找不到
我只能說道高一尺魔高一丈,弄了半天才能解決小問題,我想很多版友直接END了吧...
如果身邊沒有像我這樣有研究精神、經驗的工具人,還是直接重灌電腦重新開始一段新
生活吧,畢竟會這樣子,就是平時使用習慣不對的關係,安裝軟體時別看不懂英文就一
直點下一步,有時候他推薦你安裝的,不見得是你需要的,因為免費軟體生存需要錢的
,他們在安裝程式時放這些選項讓你安裝,就有點像是大學社團拉贊,刊個名字logo在
你海報上一樣的意思啊~就算今天解決問題,電腦裡面還是沒有完全乾淨的!
還有一點,其實電腦出問題的原因太多了,如果你朋友能幫你在很短時間內確認問題並
解決,一定要給你的朋友掌聲鼓勵的,因為經驗不夠豐富,肯定被問倒的啊.....
※ 引述《azlbf (上邪!我欲與君相知)》之銘言:
: ※ 引述《holsety ()》之銘言:
: : 問題同上,大約是在1/29前後感覺chrome有時候會跳廣告出來
: : 或是在點連結的時候,會跑出別的廣告網站
: : 從chrome發現一個無法移除的擴充功能Media Player 1.1(由公司政策安裝)
: : 在新增與移除也發現一個Media Player程式
: : 我一開始也是照上篇重灌狂人的教學,用了無效反而不知該如何往下處理
: : 用掃毒掃木馬軟體都掃不到
: : 使清除軟體(例如CCleaner)砍了之後,只要開瀏覽器又生出來(瀏覽器整個砍掉也一樣)
: : 目前我是先用CCleaner把那個擴充功能暫時關掉
: : 然後從放可疑檔案的資料夾清空設唯讀
: : 我確定沒有hao123,不過之前不小心裝到新版的MiPony,瞬間被裝一堆亂七八糟的不明物
: : 感覺是那時候造成的後遺症
: : log如下:
: : ComboFix_Log
: : http://cht.tw/h/mlao4
: : hijackthis.log
: : http://cht.tw/h/5y6pt
: : SREngLOG.log
: : http://cht.tw/h/52p8b
: : 利用CCleaner可找到該擴充功能的存放位置
: : 裡面有兩個看起來就很像廣告軟體的東西,不曉得把程式碼附上有沒有幫助?
: : ffMediaPlayerV1alpha747chaction.js
: 自己回一下
: 如上篇推文所說
: 看起來是偽裝成win的系統
: 然後因為win的霸王條款所有防毒無效
: 如果不想重灌可以選擇還原
: 我還原到事發前一週就搞定了