Panduan Penghapusan Browser Hijacker (Windows 11, 2026)
Jawaban Singkat: Buka chrome://policy. Jika Anda melihat entri seperti DefaultSearchProviderEnabled atau ExtensionInstallForcelist yang tidak pernah Anda atur, hijacker menyuntikkan kebijakan enterprise Chrome ke registry Anda — itulah kenapa mereset homepage tidak berguna dan reinstall Chrome tidak membantu. Perbaikannya adalah menghapus kunci kebijakan registry tersebut, membersihkan task di Task Scheduler yang menambahkannya kembali, dan mereset DNS, bukan reinstall browser.
Buka chrome://policy di address bar. Jika Anda melihat entri seperti DefaultSearchProviderEnabled, HomepageLocation, atau ExtensionInstallForcelist — itu bukan pengaturan Anda. Browser hijacker menyuntikkan kebijakan enterprise Chrome ke Registry Windows, dan itulah kenapa mengganti homepage atau mesin pencari kembali tidak berguna. Pengaturan di-greyout karena hijacker menggunakan fitur manajemen Chrome sendiri melawan Anda. Anda bisa reinstall Chrome, hapus semua data browsing, bahkan factory reset browser — hijacker bertahan dari semuanya karena kebijakan hidup di registry, bukan di folder data Chrome.
Nama yang paling sering kami bersihkan saat ini adalah Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror, dan MegaGuard. Varian baru muncul setiap beberapa minggu karena infrastrukturnya mudah di-clone. Stanford’s Internet Observatory melaporkan lebih dari 280 juta download ekstensi browser berbahaya pada 2025, dan satu insiden di Juli menyerang 2,3 juta pengguna Chrome dan Edge. Itu baru yang berbasis ekstensi — belum termasuk yang dibundel dengan installer software gratis.
Matikan Kebijakan Dulu
Ini langkah yang kebanyakan panduan online lewati atau sembunyikan di bagian bawah. Buka Registry Editor — Win+R, ketik regedit, Enter. Navigasikan ke lokasi berikut dan hapus folder Chrome di bawah masing-masing:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome — hapus seluruh folder Chrome jika Anda tidak di komputer kerja yang dikelola.
HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome — sama.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update — beberapa hijacker mengatur kebijakan update di sini untuk mencegah Chrome auto-update, yang seharusnya akan menghapus hijacker saat Google memperbarui blocklist ekstensi berbahayanya.
Untuk Edge: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge dan padanan HKCU.
Restart Chrome. Banner “Your browser is managed by your organization” seharusnya hilang dan pengaturan homepage serta mesin pencari bisa diedit lagi. Jika banner kembali setelah reboot, Anda punya mekanisme persistence yang menginstal ulang kebijakan — terus baca.
Ekstensi dan Task Scheduler
Buka chrome://extensions, aktifkan Developer Mode (toggle di kanan atas), dan hapus semua yang tidak Anda instal secara sengaja dari Chrome Web Store. Jangan hanya nonaktifkan — klik Remove. Ekstensi hijacker yang dinonaktifkan bisa mengaktifkan diri sendiri melalui scheduled task. Apa pun dengan “PDF,” “Helper,” “Safe Search,” “Web Protection,” atau “Enhanced Search” di namanya yang tidak Anda kenal patut dicurigai. Stanford menemukan ekstensi hijacker bertahan di Web Store rata-rata 380 hari sebelum terdeteksi, jadi mungkin terlihat legitimate saat Anda menginstalnya berbulan-bulan lalu.
Jika tombol Remove ekstensi di-greyout, Anda belum menyelesaikan pembersihan registry di atas — kebijakan memaksanya terinstal. Kembali dan pastikan Anda sudah menghapus kunci registry tersebut.
Sekarang buka Task Scheduler — Win+R, taskschd.msc. Di sinilah kebanyakan upaya penghapusan DIY gagal dan kenapa hijacker terus kembali setelah orang berpikir sudah dibersihkan. Task hijacker menggunakan nama yang dirancang terlihat tidak berbahaya: “ChromeUpdate,” “BrowserMaintenance,” “SystemHealthCheck,” kadang string acak. Klik setiap entri mencurigakan dan periksa tab Actions. Jika aksinya menjalankan skrip PowerShell, file .bat dari direktori Temp, atau .exe dari folder AppData, itu mekanisme persistence Anda. Saya pernah melihat satu bernama “MicrosoftEdgeUpdateTask” — cukup mirip dengan task Edge asli sehingga kebanyakan orang melewatinya. Hapus itu. Periksa juga tab Startup di Task Manager — entri tanpa publisher atau menunjuk ke executable di AppData\Local\Temp hampir tidak pernah legitimate.
Satu tempat persembunyian terakhir yang tidak ada yang periksa: C:\Windows\System32\drivers\etc\hosts. Buka dengan Notepad sebagai admin. File hosts yang bersih kebanyakan komentar (baris dimulai dengan #). Jika Anda melihat google.com, bing.com, atau domain legitimate apa pun dipetakan ke alamat IP acak, itu hosts-file hijacking — trik tertua dan masih efektif karena tidak ada yang melihat ke sana.
Reset dan Scan
Setelah persistence hilang, reset browser. Chrome: Settings → Reset Settings → “Restore settings to their original defaults.” Firefox: ketik about:support, klik “Refresh Firefox” — ini lebih agresif, membuat profil baru sepenuhnya, yang persis yang Anda inginkan. Bookmark dan password tersimpan bertahan di keduanya.
Jalankan Windows Defender full scan — Settings → Privacy & Security → Windows Security → Virus & threat protection → Full Scan. Lalu Malwarebytes Free untuk pendapat kedua — dia menangkap PUP yang pengaturan default Defender kadang abaikan. Panduan penghapusan malware lengkap kami mencakup teknik scanning Safe Mode untuk infeksi yang lebih dalam.
Periksa pengaturan DNS Anda juga. Beberapa hijacker tidak menyentuh browser sama sekali — mereka mengubah DNS Anda sehingga semua traffic web dialihkan melalui server mereka. Command Prompt, ipconfig /all, lihat baris DNS Servers untuk adapter aktif Anda. Seharusnya IP router, ISP Anda, atau DNS publik yang Anda atur sendiri. Alamat asing yang tidak pernah Anda konfigurasi? Ganti ke 8.8.8.8 dan 1.1.1.1. Panduan DNS kami mencakup diagnosa lengkap jika Anda curiga ada manipulasi level DNS. Juga login ke router Anda (192.168.1.1 atau 192.168.0.1) dan periksa DNS di sana — beberapa malware yang mendapat akses router mengubah DNS di level router, mempengaruhi setiap perangkat di jaringan.
Setelah menghapus hijacker, ganti password untuk semua akun yang Anda gunakan saat hijacker aktif. Ekstensi hijacker dengan permission luas bisa membaca semua yang Anda ketik di formulir web. Instal uBlock Origin untuk memblokir rantai malvertising yang mengirim hijacker sejak awal. Untuk download software, gunakan situs resmi atau Ninite.com, dan baca setiap layar saat wizard instalasi — hilangkan centang “Install recommended browser extension” dan “Set as default search engine,” yang sudah tercentang secara default. Jika hijacker terus kembali setelah semua ini, kami bisa menemukan mekanisme persistence secara remote — rata-rata sesi butuh sekitar 20 menit karena kami tahu persis di mana mencarinya.
Pertanyaan yang Sering Diajukan
Kenapa browser hijacker terus kembali setelah saya hapus?
Hijacker yang terlihat (homepage berubah, ekstensi nakal) hanyalah gejala. Infeksi sebenarnya adalah mekanisme persistence — biasanya Scheduled Task Windows atau entri startup yang memantau penghapusan dan menginstal ulang semuanya secara otomatis. Periksa Task Scheduler untuk task mencurigakan seperti 'ChromeUpdate' atau 'BrowserMaintenance' yang menjalankan skrip PowerShell atau executable dari folder AppData. Hapus task tersebut untuk menghentikan siklusnya.
Apa arti 'Your browser is managed by your organization' di komputer pribadi?
Artinya malware menyuntikkan kebijakan enterprise Chrome ke Registry Windows Anda yang mengunci pengaturan mesin pencari dan homepage. Anda tidak bisa memperbaikinya dari dalam Chrome — Anda perlu membuka Registry Editor (regedit) dan menghapus entri di HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome dan HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome. Restart Chrome setelahnya.
Bagaimana cara menghapus browser hijacker yang tidak bisa di-uninstall ekstensinya?
Jika tombol Remove di-greyout pada ekstensi Chrome, kebijakan Chrome memaksanya terinstal. Pertama hapus kebijakan dari Registry Windows (lihat bagian 'Managed by your organization'), lalu restart Chrome. Tombol Remove ekstensi akan bisa diklik lagi. Jika masih tidak bisa dihapus, coba opsi Reset Settings Chrome untuk menonaktifkan semua ekstensi sekaligus.
Bisakah browser hijacker mencuri password saya?
Ya. Ekstensi hijacker dengan permission luas bisa membaca semua yang Anda ketik di formulir web, termasuk password dan nomor kartu kredit. Beberapa menyadap kueri pencarian dan mengarahkan Anda melalui situs phishing palsu. Setelah menghapus hijacker, ganti password untuk semua akun yang Anda gunakan saat hijacker aktif — terutama perbankan, email, dan media sosial.
Apa browser hijacker paling umum di 2026?
Nama yang paling sering kami lihat di RebootDoctor saat ini adalah Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror, dan MegaGuard. Varian baru muncul setiap beberapa minggu karena infrastrukturnya mudah di-clone. Hijacker berbasis kebijakan 'Managed by your organization' adalah tipe paling persisten — dia bertahan dari reinstall browser dan clearing browsing data.