본문 바로가기

벌새::Analysis

"엔터프라이즈 정책에 의해 설치됨" 크롬 확장 프로그램 삭제 방법 (2014.2.10)

구글 크롬(Google Chrome) 웹 브라우저 사용자의 경우 해외에서 제작된 광고 프로그램이 설치되는 과정에서 "확장 프로그램(chrome://extensions/)"에 등록된 플러그인이 사용자에 의한 중지 및 삭제를 할 수 없도록 "엔터프라이즈 정책에 의해 설치됨"으로 등록되는 문제에 대해 살펴보도록 하겠습니다.

대표적인 유포 방식은 해외 사이트에서 파일 다운로드를 위해 제공되는 파일<SHA-1 : d3da3088d5b7aff7cdbb787d2384171bdce9af68 - AhnLab V3 : PUP/Win32.TSULoader (VT : 20/50)>을 실행할 경우 그림과 같이 "Premium Experience, Better Interaction, Include WebSave"와 같은 필수 설치 항목을 통해 다양한 광고 프로그램과 함께 자동으로 설치가 이루어질 수 있습니다.

 

  • YoutubeAdblocker 2.1.0.1195 버전 (SHA-1 : 1edcdcb005b96e023875b536ee020c48239464db) - avast! : Win32:Malware-gen (VT : 19/50)
  • YoutubeAdblocker 4.2.0.1447 버전 (SHA-1 : ffd9f1a303504b5831445987336045cd50eec715) - ESET : a variant of Win32/AdWare.MultiPlug.O (VT : 19/50)

참고로 필수 설치 항목을 통해 설치시 2종의 YoutubeAdblocker 설치 파일을 다운로드하여 자동으로 설치가 진행됩니다. 

YoutubeAdblocker 프로그램이 설치된 환경에서 구글 크롬(Google Chrome) 웹 브라우저의 확장 프로그램 항목을 살펴보면 사용 중지 및 삭제가 가능한 "YoutubeAdblocker 1.0" 버전과 사용 중지 및 삭제가 불가능한 "YoutubeAdblocker 1.2" 버전이 함께 등록되어 있는 것을 알 수 있습니다.

제어판에 등록된 설치 프로그램 목록을 살펴보면 2개의 YoutubeAdblocker 삭제 항목이 등록되어 있는 것을 확인할 수 있으며, 외형적인 2.1.0.1195 버전과 4.2.0.1447 버전으로 구분되어 있습니다.

 

  • YoutubeAdblocker 2.1.0.1195 버전(YoutubeAdblocker 1.0 버전) 삭제값 : "C:\ProgramData\YoutubeAdblocker\ZXoc9.exe" /s /n /i:"ExecuteCommands;UninstallCommands" "" 
  • YoutubeAdblocker 4.2.0.1447 버전(YoutubeAdblocker 1.2 버전) 삭제값 : "C:\ProgramData\YoutubeAdblocker\9XG.exe" /s /n /i:"ExecuteCommands;UninstallCommands" ""

사용자가 제어판에 등록된 YoutubeAdblocker 삭제 항목 중 하나를 선택하여 프로그램 삭제를 진행할 경우 2종의 버전 중 1종은 삭제가 정상적으로 이루어질 수 있습니다.

하지만 1종의 YoutubeAdblocker 프로그램 삭제 후에는 이들 버전이 공통적으로 사용하는 폴더(C:\ProgramData\YoutubeAdblocker) 내에 존재하는 파일을 삭제하는 문제로 인하여 결과적으로 수동으로 삭제 가능한 YoutubeAdblocker 버전은 제거할 수 있지만, 구글 크롬(Google Chrome) 웹 브라우저의 확장 프로그램에 등록된 "YoutubeAdblocker 1.2" 버전은 "엔터프라이즈 정책에 의해 설치됨"으로 인하여 삭제되지 않는 문제가 발생합니다.

 

  해외 제휴 프로그램 : YoutubeAdblocker (2014.1.18)

 

참고로 "YoutubeAdblocker 1.0" 버전(YoutubeAdblocker 1.3.0.1081 버전 / YoutubeAdblocker 2.1.0.1195 버전 등)의 세부적인 삭제 방법은 기존에 작성한 YoutubeAdblocker 분석 내용을 참고하시기 바랍니다.

엔터프라이즈 정책에 의해 설치되어 삭제가 불가능한 것처럼 보이는 "YoutubeAdblocker 1.2" 확장 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행해 보시기 바랍니다.

 

(a) 엔터프라이즈 정책을 제거하기 위해서는 "C:\Windows\System32\GroupPolicy\Machine\Registry.pol" 파일을 찾아 삭제하시기 바랍니다.

참고로 해당 파일에는 "YoutubeAdblocker 1.0" 확장 프로그램에 대한 정보가 포함되어 있는 것을 확인할 수 있습니다.

 

(b) 구글 크롬(Google Chrome) 웹 브라우저의 정책(chrome://policy/)을 확인해보면 "ExtensionInstallForcelist" 정책을 통해 필수 수준으로 "YoutubeAdblocker 1.2" 확장 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

그러므로 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\
ExtensionInstallForcelist"
키값을 찾아 삭제하시기 바랍니다.

 

위의 절차를 수행한 후 구글 크롬(Google Chrome) 웹 브라우저를 재실행하시면 엔터프라이즈 정책에 의해 설치된 모든 확장 프로그램이 자동으로 삭제되어 있는 것을 확인할 수 있으며, 나머지 YoutubeAdblocker 프로그램이 생성한 폴더(파일), 레지스트리 값을 찾아 삭제하시면 됩니다.

 

이 글에서는 구글 크롬(Google Chrome) 웹 브라우저의 확장 프로그램이 "엔터프라이즈 정책에 의해 설치됨"으로 인해 삭제할 수 없는 부분만을 중점적으로 다루었기에 YoutubeAdblocker 프로그램에 대한 세부적인 폴더(파일), 레지스트리 값에 대한 정보는 생략합니다.

 

마지막으로 위와 같은 해외 광고 프로그램은 사용자가 조금만 주의를 기울이면 설치되지 않다는 점에서 파일 실행시 추가적으로 설치되는 제휴 프로그램이 존재한지 꼼꼼하게 살피는 습관을 가지시기 바랍니다.

  • QQQ 2014.02.11 11:14 댓글주소 수정/삭제 댓글쓰기

    삭제권한이 없어서 삭제 못하고있었는데 덕분에 지워졌네요 ㅠㅠ

    좋은글 감사합니다!!

  • 감사 또 감사 또 감사 2014.02.11 22:43 댓글주소 수정/삭제 댓글쓰기

    진짜 진짜 정말루 감사 합니다 ㅠㅠ

    웬만해선 댓글안다는데 그동안 얼마나 고생했는지 몰라요 ㅠㅠ

    정말 감사합니다. 복 겁나 많이 받으세용 ^^

    저 말고도 많은 사람들이 이 글을 봤으면 좋겠네요..

  • 감사합니다 2014.02.11 23:13 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 ㅜㅜ 요 얼마전부터 새창만 열먼 광고가 떠서
    짜증났는데 은혜로운 글 정말 감사합니다 ㅜㅜ

  • ddd 2014.02.15 22:07 댓글주소 수정/삭제 댓글쓰기

    덕분에 해결됬습니다 왜 크롬 자체내에서 해결안을 안주는지 모르겠네요 몇번이나 신고를 했음에도 불구하고

    • 그러게요.ㅠㅠ 원래는 제어판에서 프로그램 삭제시 함께 제거할 수 있도록 되어 있는데, 이 프로그램은 좀 머리를 써서 제어판을 통해 삭제를 해도 남게 한 것 같습니다.

  • 샌드맨 2014.02.20 19:59 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 ㅠㅠ 복받으실거에요 ㅠㅠ

  • 휴... 2014.04.05 19:28 댓글주소 수정/삭제 댓글쓰기

    저는 watchltadbiloke 라는 확장프로그램인데 제어판에도 관련된거없고...

    system32 에는 groupPolicy는 없고... 어떻하조 엔터프라이즈정책 완전싫음

  • 와우 2014.04.12 23:44 댓글주소 수정/삭제 댓글쓰기

    정말정말 감사합니다!! 복받으실거에요!

  • 맨날 지워도 다시 떠서 컴퓨터 할 때마다 스트레스였는데 ㅠㅠ 드디어 지웠습니다 감사합니다

  • open 2014.10.22 17:48 댓글주소 수정/삭제 댓글쓰기

    확장 프로그램 메뉴에서 개발자 모드를 키면, 확장 프로그램의 실제 파일 위치를 알 수 있습니다.

    계속 지워도 다시 설치가 되서 아예 해당 폴더에 가서 파일 자체를 지웠더니 완전히 지워졌습니다.

    chrome 버전 37.0.2062.103 입니다.

  • ally 2015.03.05 11:23 댓글주소 수정/삭제 댓글쓰기

    벌새님 안녕하세요? v3로 정밀검사 하다가 PUP/Win32.TSULoader.gen이라는 악성파일이 발견되어서 삭제 방법 검색하다가 오게 되었습니다. 제 컴퓨터에는 아직 포스팅 하신 그게 설치되진 않았는데요ㅠㅠ 혹시 PUP/Win32.TSULoader 이 놈 삭제하는 방법 알고 계시면 알려주실 수 있으신가요?ㅠㅠㅠㅠ 아무리 검색해도 방법을 찾을수가 없네요ㅠㅠ

    • 진단명을 보니 해외 악성 광고 프로그램 계열로 알고 있으며, 워낙 다양한 변종이 있습니다.

      제어판에서 1차적으로 해외 광고 프로그램을 찾아 삭제해 보시기 바라며, 만약 제거가 쉽지 않으면 http://cafe.naver.com/malzero/94376 게시글에서 제공하는 mzk를 이용해 보시기 바랍니다.

      그래도 해결 안되시면 http://hummingbird.tistory.com/notice/4859 내용을 확인하시고 문의해 주시기 바랍니다.

  • ally 2015.03.05 12:30 댓글주소 수정/삭제 댓글쓰기

    mzk로 안지워져서 벌새님이 알려주신대로 런스캐너 실행하고 파일 첨부해서 이메일 드렸습니다. 아우 이거 골치 아프네요ㅎㅎ 빠른 답변 정말 고맙습니다. 저같은 컴맹에겐 진짜 동아줄 같은 존재셔요ㅠㅠ

  • 덕분에 해결이 되었습니다 정말 감사 또 감사드립니다 ^^

  • 지나가던사람 2017.06.16 11:55 댓글주소 수정/삭제 댓글쓰기

    감사합니다

  • 비밀댓글입니다

    • 확인해 보겠습니다.

    • 확인을 해보니 Cookies Control 확장 프로그램의 경우 단순히 Chrome 스토어에서 배포하는 경로로 설치해서는 엔터프라이즈 정책이 적용되지 않습니다.

      아마도 외부의 다른 프로그램 설치 과정에서 확장 프로그램이 추가되면서 정책이 적용되는 것으로 보입니다.

      이런 경우에는 1차적으로 Cookies Control 확장 프로그램을 설치한 악성 프로그램을 찾아 제거한 후 이 글에서 안내한 방식으로 확장 프로그램을 제거하셔야 할 것 같습니다.

      추가적인 정보 확인을 위해 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 메일로 관련 정보를 제공해 주시면 더 검토해 보도록 하겠습니다. 감사합니다.

  • 무지몽매한 학생 2017.08.14 00:48 댓글주소 수정/삭제 댓글쓰기

    정말로 감사합니다 몇 시간동안 고생했는데, 덕분에 말끔히 지울 수 있었습니다.. 정말 감사합니다 복 많이 받으세요!!