我最近幫同學處理這個問題，我平時在學校工讀處理老師電腦問題，這種問題我已經 很有經驗，直到碰到你說的這個由公司政策安裝的Case，卡了40分鐘，首先我想先分 想我處理首頁綁架跟廣告彈出的ＳＯＰ，再提怎麼解決此問題，以下都是一個步驟一 個步驟，前步驟沒用才走下個流程。 1.先檢查chrome://extensions內有無不明extension，可以移除先移除，重開Chrome 2.檢查C:\內有無user.js，有就把它砍掉 3.檢查Chrome捷徑的內容的目標部分有無被下一串網址在後面，若有就會在開Chrome 時彈出網頁，只是你會發現首頁那沒有設定這網站覺得納悶就是(處理網址被竄改) 4.若只是首頁被竄改問題，還是要檢查一下有沒有可能已解決竄改問題，只是沒改回 　首頁，也就是說改改首頁看看是不是改完不會跳回去被竄改的頁面了 5.到控制台>程式集的移除程式看有沒有跟Extension同名的程式或是明顯的流氓軟體 把它移除 6.檢查開機啟動程式(用msconfig或CCleaner)有無異常的軟體，這需要一點判斷能力 跟經驗 7.考量效率，以上六步驟都沒用，或者是很趕時間，我就先用AdwCleaner最新版砍看 看了，前提是你信任這套軟體，基本上我是信任的，然後看他Scan出來的結果有無 問題再來砍，我覺得他有在更新，很多新的綁架招數他都有新增它的規則 8.砍Chrome的User Profile重建(進chrome://settings/找使用者的刪除這位使用者) ，再不然就重裝Chrome 9.爬registry(regedit)中的Software\Google部分，不過這要專業人士才會看了(HKLM 跟HKCU)，其中64bit OS要記得進Software\Wow6432Node\...檢查看看(就Software 後面多打Wow6432Node的意思) 對付由公司政策安裝的話 要用以下10.開始的步驟才比較有用，其中最後一個步驟才解決我同學的問題，網路上 沒爬到... 10.一樣registry，位置是HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ 　 ExtensionInstallForcelist，記得也要檢查SOFTWARE\Wow6432Node\Policies... 把右邊列表看得到的字串值砍掉(通常名稱是1) 11.進chrome://extensions開啟開發人員模式，記下extension的ID，在regedit內搜 　 尋，找到就砍 12.進chrome://version找到設定檔路徑，去那路徑找其下的Extensions資料夾，找到 跟extension ID同名的資料夾砍掉 13.進chrome://policy/沒意外你會看到砍不掉那個extension的名稱&ID，點Policy value應該可以看到它的檔案到底寄生在哪，可以去那資料夾把檔案砍掉先 14.到C:\Windows\System32\GroupPolicy\看Machine跟User兩資料夾內有沒有pol檔， 用記事本打開看內容是否大意就是開機時模擬出10.步驟的登錄檔，若是則砍掉 搞了半天是因為它把該寫死在登錄檔內的資料，寫一個群組原則來弄，難怪10.找不到 我只能說道高一尺魔高一丈，弄了半天才能解決小問題，我想很多版友直接END了吧... 如果身邊沒有像我這樣有研究精神、經驗的工具人，還是直接重灌電腦重新開始一段新 生活吧，畢竟會這樣子，就是平時使用習慣不對的關係，安裝軟體時別看不懂英文就一 直點下一步，有時候他推薦你安裝的，不見得是你需要的，因為免費軟體生存需要錢的 ，他們在安裝程式時放這些選項讓你安裝，就有點像是大學社團拉贊，刊個名字logo在 你海報上一樣的意思啊～就算今天解決問題，電腦裡面還是沒有完全乾淨的！ 還有一點，其實電腦出問題的原因太多了，如果你朋友能幫你在很短時間內確認問題並 解決，一定要給你的朋友掌聲鼓勵的，因為經驗不夠豐富，肯定被問倒的啊．．．．． ※ 引述《azlbf (上邪!我欲與君相知)》之銘言： : ※ 引述《holsety ()》之銘言： : : 問題同上，大約是在1/29前後感覺chrome有時候會跳廣告出來 : : 或是在點連結的時候，會跑出別的廣告網站 : : 從chrome發現一個無法移除的擴充功能Media Player 1.1(由公司政策安裝) : : 在新增與移除也發現一個Media Player程式 : : 我一開始也是照上篇重灌狂人的教學，用了無效反而不知該如何往下處理 : : 用掃毒掃木馬軟體都掃不到 : : 使清除軟體(例如CCleaner)砍了之後，只要開瀏覽器又生出來(瀏覽器整個砍掉也一樣) : : 目前我是先用CCleaner把那個擴充功能暫時關掉 : : 然後從放可疑檔案的資料夾清空設唯讀 : : 我確定沒有hao123，不過之前不小心裝到新版的MiPony，瞬間被裝一堆亂七八糟的不明物 : : 感覺是那時候造成的後遺症 : : log如下: : : ComboFix_Log : : http://cht.tw/h/mlao4 : : hijackthis.log : : http://cht.tw/h/5y6pt : : SREngLOG.log : : http://cht.tw/h/52p8b : : 利用CCleaner可找到該擴充功能的存放位置 : : 裡面有兩個看起來就很像廣告軟體的東西，不曉得把程式碼附上有沒有幫助? : : ffMediaPlayerV1alpha747chaction.js : 自己回一下 : 如上篇推文所說 : 看起來是偽裝成win的系統 : 然後因為win的霸王條款所有防毒無效 : 如果不想重灌可以選擇還原 : 我還原到事發前一週就搞定了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.169.127 ※ 文章網址: http://www.ptt.cc/bbs/AntiVirus/M.1398482759.A.A05.html ※ 編輯: NicholasLin (36.227.169.127), 04/26/2014 11:39:34