我最近帮同学处理这个问题,我平时在学校工读处理老师电脑问题,这种问题我已经
很有经验,直到碰到你说的这个由公司政策安装的Case,卡了40分钟,首先我想先分
想我处理首页绑架跟广告弹出的SOP,再提怎么解决此问题,以下都是一个步骤一
个步骤,前步骤没用才走下个流程。
1.先检查chrome://extensions内有无不明extension,可以移除先移除,重开Chrome
2.检查C:\内有无user.js,有就把它砍掉
3.检查Chrome捷径的内容的目标部分有无被下一串网址在后面,若有就会在开Chrome
时弹出网页,只是你会发现首页那没有设定这网站觉得纳闷就是(处理网址被窜改)
4.若只是首页被窜改问题,还是要检查一下有没有可能已解决窜改问题,只是没改回
首页,也就是说改改首页看看是不是改完不会跳回去被窜改的页面了
5.到控制台>程式集的移除程式看有没有跟Extension同名的程式或是明显的流氓软件
把它移除
6.检查开机启动程式(用msconfig或CCleaner)有无异常的软件,这需要一点判断能力
跟经验
7.考量效率,以上六步骤都没用,或者是很赶时间,我就先用AdwCleaner最新版砍看
看了,前提是你信任这套软件,基本上我是信任的,然后看他Scan出来的结果有无
问题再来砍,我觉得他有在更新,很多新的绑架招数他都有新增它的规则
8.砍Chrome的User Profile重建(进chrome://settings/找使用者的删除这位使用者)
,再不然就重装Chrome
9.爬registry(regedit)中的Software\Google部分,不过这要专业人士才会看了(HKLM
跟HKCU),其中64bit OS要记得进Software\Wow6432Node\...检查看看(就Software
后面多打Wow6432Node的意思)
对付由公司政策安装的话
要用以下10.开始的步骤才比较有用,其中最后一个步骤才解决我同学的问题,网络上
没爬到...
10.一样registry,位置是HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\
ExtensionInstallForcelist,记得也要检查SOFTWARE\Wow6432Node\Policies...
把右边列表看得到的字串值砍掉(通常名称是1)
11.进chrome://extensions开启开发人员模式,记下extension的ID,在regedit内搜
寻,找到就砍
12.进chrome://version找到设定档路径,去那路径找其下的Extensions资料夹,找到
跟extension ID同名的资料夹砍掉
13.进chrome://policy/没意外你会看到砍不掉那个extension的名称&ID,点Policy
value应该可以看到它的档案到底寄生在哪,可以去那资料夹把档案砍掉先
14.到C:\Windows\System32\GroupPolicy\看Machine跟User两资料夹内有没有pol档,
用记事本打开看内容是否大意就是开机时模拟出10.步骤的登录档,若是则砍掉
搞了半天是因为它把该写死在登录档内的资料,写一个群组原则来弄,难怪10.找不到
我只能说道高一尺魔高一丈,弄了半天才能解决小问题,我想很多版友直接END了吧...
如果身边没有像我这样有研究精神、经验的工具人,还是直接重灌电脑重新开始一段新
生活吧,毕竟会这样子,就是平时使用习惯不对的关系,安装软件时别看不懂英文就一
直点下一步,有时候他推荐你安装的,不见得是你需要的,因为免费软件生存需要钱的
,他们在安装程式时放这些选项让你安装,就有点像是大学社团拉赞,刊个名字logo在
你海报上一样的意思啊~就算今天解决问题,电脑里面还是没有完全干净的!
还有一点,其实电脑出问题的原因太多了,如果你朋友能帮你在很短时间内确认问题并
解决,一定要给你的朋友掌声鼓励的,因为经验不够丰富,肯定被问倒的啊.....
※ 引述《azlbf (上邪!我欲与君相知)》之铭言:
: ※ 引述《holsety ()》之铭言:
: : 问题同上,大约是在1/29前后感觉chrome有时候会跳广告出来
: : 或是在点连结的时候,会跑出别的广告网站
: : 从chrome发现一个无法移除的扩充功能Media Player 1.1(由公司政策安装)
: : 在新增与移除也发现一个Media Player程式
: : 我一开始也是照上篇重灌狂人的教学,用了无效反而不知该如何往下处理
: : 用扫毒扫木马软件都扫不到
: : 使清除软件(例如CCleaner)砍了之后,只要开浏览器又生出来(浏览器整个砍掉也一样)
: : 目前我是先用CCleaner把那个扩充功能暂时关掉
: : 然后从放可疑档案的资料夹清空设唯读
: : 我确定没有hao123,不过之前不小心装到新版的MiPony,瞬间被装一堆乱七八糟的不明物
: : 感觉是那时候造成的后遗症
: : log如下:
: : ComboFix_Log
: : http://cht.tw/h/mlao4
: : hijackthis.log
: : http://cht.tw/h/5y6pt
: : SREngLOG.log
: : http://cht.tw/h/52p8b
: : 利用CCleaner可找到该扩充功能的存放位置
: : 里面有两个看起来就很像广告软件的东西,不晓得把程式码附上有没有帮助?
: : ffMediaPlayerV1alpha747chaction.js
: 自己回一下
: 如上篇推文所说
: 看起来是伪装成win的系统
: 然后因为win的霸王条款所有防毒无效
: 如果不想重灌可以选择还原
: 我还原到事发前一周就搞定了