CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Удаляем неотключаемое расширение Media Player

отредактировано Апрель 2016 Раздел: Форум лечения заражений
Тема поднятая RP55.RP55 (pchelpforum.ru/forum.esetnod32.ru), и связанная с показом рекламы расширением Media Player для Chrome, оказалась полезной и познавательной, в связи с засильем рекламных показов в браузерах в темах форумов по безопасности.

проблема для пользователя здесь не решается просто отключением нежелательного расширения через список расширений (chrome://extensions), поскольку данная опция недоступна. При удалении расширения из списка по указанному пути ..\Google\Chrome\User Data\Default\Extensions расширение "чудесным образом" восстанавливается при перезапуске браузера.

image

Благодаря goover (antimalware.ru) стало понятно каким образом расширение в Chrome становится неотключаемым.

открываем в Chrome режим просмотра политик: Chrome://policy

image

результат применения политики виден так же в реестре.

HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome \ExtensionInstallSources=URL адрес.

-------
чтобы исследовать проблему (и найти решение), воспроизводим данное состояние браузера на тестовой машине: т.е. получаем из зараженного Chrome данное расширение, и переносим его в тестовую систему.

на зараженной_целевой системе выполняем:

1. Запускаем Хром и переходим в меню расширений по адресу chrome://extensions
2. Переключаемся в режим разработчика
3. Выполняем действие "упаковать расширение"
4. полученное расширение в формате crx (архив) переносим на тестовую систему,
5. через функцию "добавить упакованное расширение" переносим исследуемое расширение в Chrome на тестовой системе.

подробнее,


далее, воспроизводим добавление расширения через правила корпоративной политики.
--------

чтобы добавить политики для Chrome, используем административный шаблон сhrome.adm, который можно скачать отсюда
http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip

Policy settings can be stored in the registry under HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER in the following paths:
Google Chrome: Software\Policies\Google\Chrome\


через оснастку gpedit.msc добавляем в локальные политики в раздел административные шаблоны файл chrome.adm, и далее настраиваем правило "список принудительно добавляемых расширений".
----------
после применения данного правила значение добавлено в реестр
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome \ExtensionInstallSources

а так же в файл групповой политики REgistry.pol.

image

Проблема заключается в том, что удаление политики из реестра не решает проблему. Через групповую политику расширение продолжает добавляться в список расширений. Отключить данное расширение можно только через оснастку gpedit.msc отключая соответственно добавленную политику, или через другой инструментарий, который удалит данную политику из REgistry.pol.

Заметим, что оснастка gpedit.msc может отсутствовать в Home версиях Windows.

-----------
Таки проблема решена разработчиком в universal Virus Sniffer 3.81v11 с помощью добавленного твика.
27. удалить все политики Google Chrome

или с помощью скрипта:
;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
regt 27
restart
(с), chklst.ru
Тэги темы:
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.