場外休憩區

RE:【問題】場外的各位救命,我的chrome被綁架了

akf11715 (影風幽狼) #1 2017-01-11 19:52:00
認真回覆跟教學一下好了……

還有,強烈建議你去電硬版討論會比來場外問這種問題還要好的非常多……

首先,先把所有近期下載的程式或檔案刪除

再來,先去關閉、停用「開機自動啟動的軟體」
在「開啟」的欄位上輸入「msconfig」
如果是win7
開始>執行>輸入msconfig

如果是win10,就是開始>按右鍵>選執行>
一樣輸入msconfig

選啟動那邊,把“隱藏所有Microsoft的程式”打勾
因為通常微軟本身的東西不太會出問題,所以可以先隱藏比較好找

把看起來奇怪的程式(例如某360之類的
勾勾取消!

然後重新開機!

到目前為止的步驟僅僅只是為了
讓“在後臺偷偷運作的程式(或病毒)不再運作”而已

估計一開始無法刪除的檔案在經由這個取消的動作後就可以刪除了

請一定要先刪除可疑的程式之後再來做下面的動作
不然在怎麼做後續動作都會在被綁回來…(因為病毒源還沒移除嘛!

在上面的動作完成之後,再來就是關鍵了

如果是win7
開始>執行>輸入regedit

如果是win10,就是開始>按右鍵>選執行>
一樣輸入regedit


你會看到類似這個的視窗

請注意!紅筐內的內容不要在意!那個是改右鍵機碼值的,跟現在我要講的沒關係!
我只是借圖說明而已


IE綁價登錄檔位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

看到這個不是雅虎之類的而是奇怪的網頁就
按右鍵>修改>把奇怪網址刪掉換成你要的首頁


Google比照辦理
只是從InternetExplorer改成google而已

只要看到StartPage這個數值不是google就修改!

改完記得重新開機!


幹你娘…老娘打超她媽辛苦,結果才發現之前就有存txt檔的備份了

直接貼,不管了



就目前的首頁綁架基本上就是注意幾個地方
1.登錄值部分
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace

上面提到這兩個,第一個裡面有一些本來就有內建的東西
除了那些內建的以外,其他的就是刪除基本上沒關係
但建議最好是先去對應的CLSID數值去找有沒有異常才做處理
而第二個系統預設是沒有這東西的,有看到就直接刪掉沒關係.還有內建的一些CLSID數值有沒有被竄改像是HKEY_CLASSES_ROOTCLSID{1f4de370-d627-11d1-ba4f-00a0c91eedba}

HKEY_CLASSES_ROOTCLSID{450D8FBA-AD25-11D0-98A8-0800361B1103}

HKEY_CLASSES_ROOTCLSID{645FF040-5081-101B-9F08-00AA002F954E}

HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}

其他還有一個是IE8的數值HKEY_CLASSES_ROOTCLSID{11016101-E366-4D22-BC06-4ADA335C892B}

一般來說內建的會被修改大多都是這幾個CLSID數值有不屬於系統原本內定值的數值就刪除重建還有針對IE相關登錄值設定值做權限修改

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN

HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMAIN

這兩個的話是按右鍵選權限將權限設定記下來,然後再和其他的做比對將有不一樣的作一些修改

2.檔案方面檔案的話就是檢查底下幾個地方原本的捷徑檔案是不是有被修改

1.桌面
2.快速啟動
3.程式集
一般來說你使用的捷徑副檔名都是lnk,除非你是直接將執行檔檔案本身放在該位置上假設說是你從來沒看過的副檔名,像是ink,IE1,1nk這一類的
那你就要注意他所對應到的檔案是不是有問題,一般會建議直接砍掉重建.
以上是在沒有惡意程式監控的情形下手動作的處裡
有惡意程式那就要看惡意程式是怎麼啟動常駐的這個就沒依定準則了...完全靠經驗。
40
-

看較舊的 5 則留言

輔大新鮮人 系邊在此: 01-11 20:32

收藏~

Mj: 01-11 20:58

謝謝樓主 收藏

可供可售的柔軟兔子: 01-11 21:57

收藏

face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】