V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
DavinciDavinci
V2EX  ›  问与答

朋友遇到的一个浏览器地址栏搜索劫持,排查了半天没找到原因

  •  
  •   DavinciDavinci · 83 天前 · 1912 次点击
    这是一个创建于 83 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个朋友找咱帮忙,说最近 chrome 上面地址栏进行搜索的时候,总是会先跳转到 bd.tao234.com 这个地址。虽然最后还是会重定向回百度,但是看到这个奇怪的域名感觉怕是中了病毒

    然后咱做了下面这些排查:

    • 让他用杀软跑了一轮检测,但没查出有问题

    • 在注册表当中搜索这个域名,也没有找到

    • 系统启动项检查了一遍,除了一个缺少发布者的 drive.service.exe ,检查了是他的键盘驱动,其他也没有奇怪的软件启动

    • 检查了快捷方式,也没有问题,而且用 edge 也存在这样的情况

    • 查看了一下他安装的浏览器扩展,也没有其他问题,没有安装其他油猴脚本

    我个人是想不出其他原因了,看看各位大佬有没有遇到过这样的情况

    16 条回复    2024-08-31 00:55:40 +08:00
    Vegetable
        1
    Vegetable  
       83 天前
    为什么没说检查了浏览器搜索引擎配置
    DavinciDavinci
        2
    DavinciDavinci  
    OP
       83 天前
    @Vegetable 搜索引擎配置就是 baidu.com
    idapro1
        3
    idapro1  
       83 天前
    考虑一下路由器劫持,比如 dns 。
    edward1987
        4
    edward1987  
       83 天前
    [重定向回百度] 是回到百度首页还是带着关键词的搜索页面? 网络代理看下有没有被拦截
    liudewa
        5
    liudewa  
       83 天前
    被代理中转了吧
    DavinciDavinci
        6
    DavinciDavinci  
    OP
       83 天前
    @edward1987 是回到带有关键词的页面
    doco
        7
    doco  
       83 天前
    进隐私模式试试, 之前好像有过比价插件会跳转 aff 链接的问题
    daohanghao
        8
    daohanghao  
       83 天前
    下个火绒吧,一看就是下载过盗版软件。
    BadFox
        9
    BadFox  
       83 天前
    网站负责人:
    -
    主办单位名称:
    江西巨佳网络科技有限公司
    主办单位性质:
    企业
    备案/许可证号:
    赣 ICP 备 15009941 号-6
    网站名称:
    淘网址大全
    网站地址:
    www.tao234.com
    审核时间:
    2019-12-28

    https://hostloc.com/thread-1044880-1-1.html

    检查你的注册表。
    mingtdlb
        10
    mingtdlb  
       83 天前
    不就是首页被篡改了?改回来就好了

    https://bd.tao234.com/
    ```html
    <!doctype html>
    <html lang="en">
    <head>
    <meta charset="UTF-8">
    <title>百度搜索</title>
    <link rel="shortcut icon" href="https://www.baidu.com/favicon.ico" />
    <script>
    var _hmt = _hmt || [];
    (function() {
    var hm = document.createElement("script");
    hm.src = "https://hm.baidu.com/hm.js?d786dc36ff418c0fd81996049d2f356c";
    var s = document.getElementsByTagName("script")[0];
    s.parentNode.insertBefore(hm, s);
    })();
    </script>
    <script>
    var url = location.search;
    if (url.substr(1,3)=='wd=') {
    window.location.href = 'https://www.baidu.com/s'+url+'&ie=utf-8&tn=15007414_9_dg';
    }else{
    window.location.href = 'https://www.baidu.com/?tn=15007414_9_dg';
    };
    </script>
    <noscript><meta http-equiv="refresh" content="0;url=https://www.baidu.com/?tn=15007414_9_dg"></noscript>
    </head>
    </html>
    ```


    话说现在浏览器首页还能赚钱?装机联盟好多都倒了
    DavinciDavinci
        11
    DavinciDavinci  
    OP
       83 天前
    @daohanghao 咱提到的杀软其实就是火绒,不过他后面又用 360 也跑了一遍,也没查出问题
    DavinciDavinci
        12
    DavinciDavinci  
    OP
       83 天前
    @mingtdlb 这个和首页被篡改不一样的吧,首页是正常的,只是在通过地址栏进行搜索的时候会跳一下这个网站
    frencis107
        13
    frencis107  
       83 天前
    看下浏览器的快捷方式是不是被动过手脚
    x86
        14
    x86  
       83 天前
    先无痕模式下打开看看
    frencis107
        15
    frencis107  
       83 天前
    看下已安装程序列表,把奇怪的软件都卸载掉试试。比如金山系、2345 系、驱动精灵等,卸载完后重新打开浏览器试下。

    一个同事有遇到过一次,所有浏览器的搜索、新标签页被强行替换,火绒也没找出原因。

    最后卸载驱动精灵解决了。
    Rache1
        16
    Rache1  
       82 天前
    @DavinciDavinci #2

    你该不会看到这里显示 baidu.com 就是了吧,要点开后面的编辑,看里面的参数

    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2578 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:38 · PVG 23:38 · LAX 07:38 · JFK 10:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.