Chrome瀏覽器,開啟新頁面被下載擴充外掛綁架

conbawa

昨天(104.12.17),照著慣例,點開chrome新頁面,然後看著其他分頁
後來,發現怎麼出現了一個類似廣告的分頁,心下以為是其他網頁開的廣告
不以為意的關閉分頁,點開新分頁,看著網頁開啟的瞬間 完了,瀏覽器被綁架了

預設的chrome新分頁,是一行google搜尋輸入,下方會有八個常用網頁可以選
但是,現在則是直接開啟新網頁,網址是 w*w*w.2345.c*o*m (加*號避免誤點)

看著右下的avast 2016免費版防毒,avast啊,你太讓我失望了,虧我前幾天還更新版本
這是當下的想法,但後來我發現,我錯怪它了.

總之,防毒沒跳出警示,前一天我也沒安裝什麼軟體,這事態很嚴重.
但防毒沒辦法包山包海,木馬廣告之類的,還是得找專業.
下載了JRT來掃描,非常好,掃到三個檔案,而且位置非常的微妙
目錄是c:\windows\system32\prefetch,大致的檔名是chrometoolbarXXXX.pf

但是當我很高興地開了chrome,點開新分頁,傻眼,問題依舊.
當下已經做好砍掉重練的打算了,後來,覺得還是要看看擴充功能有沒有怪東西
點開一看,只有一個很久以前安裝的,非chrome官方認可的外掛,如下圖這個


當初裝這個是為了能直接另存網頁視頻,但後來也沒在用,就這樣放著
移除這各擴充功能以後,問題竟然神奇的......沒了.

但我們不應該如此武斷的就認定兇手是這各外掛,畢竟之前有做掃毒動作不是?

直到,晚上,我家裡的電腦,用到一半,在我開啟新頁的瞬間,跳出這個2345網站.
點開擴充功能,我果然家裡也裝了這個,直接移除,問題解除.

所以兇手99.99999%是這個外掛,截圖上的更新日期是12.15,很巧合的時間吧?

提供給大家做參考,另外,我想或許這個外掛綁廣告頁或許不會是單一特例.

SIMON1016

2345 這流氓是吧...

那該是Hosts 檔出問題了 (管理DNS指向的問題)，

1. 到  C : \Windows\System32\drivers\etc
2. 找hosts , 複製到桌面動手術
3. 以記事本開啟桌面該檔

4. -----  看看內容是否如下     ------

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#        127.0.0.1       localhost
#        ::1             localhost


---- 如果是相同, 我的方法無效  ---  跳 計畫B

如果不同 , 那就有戲 !!  有奸細 !!

5. 複製 上述紅字內容   覆蓋到記事本該檔 ,  回存退出
6. 將桌面這個動過手術的檔案, 複製 回原處
     C : \Windows\System32\drivers\etc
      將其覆蓋 原hosts 檔

7. 重新啟動系統
----------------------------------------

-----計畫B--------  
1. 開註冊表 ( regedit )
2. 搜尋   w*w*w.2345.c*o*m (加*號避免誤點)
    時間會很久
3. 找到就刪了

------

先搜尋找這紅字串
通常是這裡 HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
底下有 shell\OpenHomePage\Command   
滑鼠將Command 雙擊打開   
然後資料裡"C:/Program Files/Internet Explorer/iexplore.exe"  有問題時
會接著有  w w w . 奇 怪 的 網 頁. com (跟'遛鳥器' 延伸擴充功能的都會在這搞鬼)  
看到w*w*w.2345.c*o*m (加*號避免誤點)  就滑鼠左鍵點(預設值)修改刪了

專炸元件

Avast 對這類的外載或是選用軟體總覺得沒什麼防範力      可以要$升下去就有效吧^&#$%@%&*^&

通常我用到不滿意的外掛  就一定立刻移除了  
1可以避免吃資源 2就是避免他作怪  

conbawa

SIMON1016 發表於 2015-12-19 12:52 AM
2345 這流氓是吧...

那該是Hosts 檔出問題了 (管理DNS指向的問題)，

這隻似乎一直在改變啟動方式

我一開始也有找hosts檔案內容,沒看到怪東西

但是我給它加上一行  170.0.0.1   w*w*w.2*3*4*5.c*o*m

就算解不掉,也不想上該網站 n_102|

登陸裡面,我是直接找網址字串,但是搜尋結束也沒找到網址字串.

這兩個很好用的方式都宣告失效,所以才懷疑是chrome外掛功能的問題

conbawa

專炸元件 發表於 2015-12-19 06:03 PM
Avast 對這類的外載或是選用軟體總覺得沒什麼防範力      可以要$升下去就有效吧^&#$%@%&*^&

通常我用到不 ...

這次給我很好的教訓啊.

沒想到那個外掛可以忍那麼久才發作.