Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
DavinciDavinci
V2EX  ›  问与答

朋友遇到的一个浏览器地址栏搜索劫持,排查了半天没找到原因

  •   
  •   DavinciDavinci · Aug 30, 2024 · 3142 views
    This topic created in 608 days ago, the information mentioned may be changed or developed.

    一个朋友找咱帮忙,说最近 chrome 上面地址栏进行搜索的时候,总是会先跳转到 bd.tao234.com 这个地址。虽然最后还是会重定向回百度,但是看到这个奇怪的域名感觉怕是中了病毒

    然后咱做了下面这些排查:

    • 让他用杀软跑了一轮检测,但没查出有问题

    • 在注册表当中搜索这个域名,也没有找到

    • 系统启动项检查了一遍,除了一个缺少发布者的 drive.service.exe ,检查了是他的键盘驱动,其他也没有奇怪的软件启动

    • 检查了快捷方式,也没有问题,而且用 edge 也存在这样的情况

    • 查看了一下他安装的浏览器扩展,也没有其他问题,没有安装其他油猴脚本

    我个人是想不出其他原因了,看看各位大佬有没有遇到过这样的情况

  • 搜索劫持
  • bd.tao234.com
  • Chrome
    16 replies    2024-08-31 00:55:40 +08:00
    Vegetable
        1
    Vegetable  
       Aug 30, 2024
    为什么没说检查了浏览器搜索引擎配置
    DavinciDavinci
        2
    DavinciDavinci  
    OP
       Aug 30, 2024
    @Vegetable 搜索引擎配置就是 baidu.com
    idapro1
        3
    idapro1  
       Aug 30, 2024
    考虑一下路由器劫持,比如 dns 。
    edward1987
        4
    edward1987  
       Aug 30, 2024
    [重定向回百度] 是回到百度首页还是带着关键词的搜索页面? 网络代理看下有没有被拦截
    liudewa
        5
    liudewa  
       Aug 30, 2024
    被代理中转了吧
    DavinciDavinci
        6
    DavinciDavinci  
    OP
       Aug 30, 2024
    @edward1987 是回到带有关键词的页面
    doco
        7
    doco  
       Aug 30, 2024
    进隐私模式试试, 之前好像有过比价插件会跳转 aff 链接的问题
    biumall
        8
    biumall  
       Aug 30, 2024
    下个火绒吧,一看就是下载过盗版软件。
    BadFox
        9
    BadFox  
       Aug 30, 2024
    网站负责人:
    -
    主办单位名称:
    江西巨佳网络科技有限公司
    主办单位性质:
    企业
    备案/许可证号:
    赣 ICP 备 15009941 号-6
    网站名称:
    淘网址大全
    网站地址:
    www.tao234.com
    审核时间:
    2019-12-28

    https://hostloc.com/thread-1044880-1-1.html

    检查你的注册表。
    mingtdlb
        10
    mingtdlb  
       Aug 30, 2024
    不就是首页被篡改了?改回来就好了

    https://bd.tao234.com/
    ```html
    <!doctype html>
    <html lang="en">
    <head>
    <meta charset="UTF-8">
    <title>百度搜索</title>
    <link rel="shortcut icon" href="https://www.baidu.com/favicon.ico" />
    <script>
    var _hmt = _hmt || [];
    (function() {
    var hm = document.createElement("script");
    hm.src = "https://hm.baidu.com/hm.js?d786dc36ff418c0fd81996049d2f356c";
    var s = document.getElementsByTagName("script")[0];
    s.parentNode.insertBefore(hm, s);
    })();
    </script>
    <script>
    var url = location.search;
    if (url.substr(1,3)=='wd=') {
    window.location.href = 'https://www.baidu.com/s'+url+'&ie=utf-8&tn=15007414_9_dg';
    }else{
    window.location.href = 'https://www.baidu.com/?tn=15007414_9_dg';
    };
    </script>
    <noscript><meta http-equiv="refresh" content="0;url=https://www.baidu.com/?tn=15007414_9_dg"></noscript>
    </head>
    </html>
    ```


    话说现在浏览器首页还能赚钱?装机联盟好多都倒了
    DavinciDavinci
        11
    DavinciDavinci  
    OP
       Aug 30, 2024
    @daohanghao 咱提到的杀软其实就是火绒,不过他后面又用 360 也跑了一遍,也没查出问题
    DavinciDavinci
        12
    DavinciDavinci  
    OP
       Aug 30, 2024
    @mingtdlb 这个和首页被篡改不一样的吧,首页是正常的,只是在通过地址栏进行搜索的时候会跳一下这个网站
    qwertooo
        13
    qwertooo  
       Aug 30, 2024
    看下浏览器的快捷方式是不是被动过手脚
    x86
        14
    x86  
       Aug 30, 2024
    先无痕模式下打开看看
    qwertooo
        15
    qwertooo  
       Aug 30, 2024
    看下已安装程序列表,把奇怪的软件都卸载掉试试。比如金山系、2345 系、驱动精灵等,卸载完后重新打开浏览器试下。

    一个同事有遇到过一次,所有浏览器的搜索、新标签页被强行替换,火绒也没找出原因。

    最后卸载驱动精灵解决了。
    Rache1
        16
    Rache1  
       Aug 31, 2024
    @DavinciDavinci #2

    你该不会看到这里显示 baidu.com 就是了吧,要点开后面的编辑,看里面的参数
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1298 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 17:09 · PVG 01:09 · LAX 10:09 · JFK 13:09
    ♥ Do have faith in what you're doing.