网站 › 『病毒救援区』 › 再次求助，百度快照再次被劫持，修改DNS已无效

lusitibing 发表于 2020-10-19 17:30

再次求助，百度快照再次被劫持，修改DNS已无效

本帖最后由 lusitibing 于 2020-10-27 10:47 编辑

前两天，在坛子里发了帖，问题为，点击百度快照会自动跳转到赌场广告，每个浏览器都如此，因为是电脑小白，不知道从何地方入手解决，请求有大神能提供解决思路。
https://www.52pojie.cn/thread-1286110-1-1.html

当时有多位热心人分析为DNS劫持，而且的确用360的DNS优化后，成功解决。

但是今天在使用时发现，再次被劫持，结合我这两天的回想，最大的可疑软件可能是今天使用了灵缇给switch加速，不过我不懂这方面的原理，就不下结论了。

根据上一帖其他好心人的帮助，这次尝试了以下操作：

1. 重置IE设置，没解决（Worse，还发现了IE的主页从MSN被劫持成百度……）
2. DNS优化，没解决，手动修改成阿里DNS，没解决，DNS清理缓存，没解决
3. 360急救箱，强力查杀模式，没解决（不过倒是发现了灵缇的一个名为lingtiwfp64.sys的驱动文件有异常，处理了但没解决）
4. 火绒专杀工具，没解决，查看火绒安全日志，发现已阻止一个名为svchost.exe的程序访问一个名为云骑士的网站，不过跟云骑士可能没多大关系，系统应该是原装的，之前也没出现过问题
5. 查看hosts文件，没有异常，尝试在把恶意网站代码的跳转ip改成别的正常ip，没用
6. 下载了PowerTool软件查看网络，但因为不知道怎么筛选有效信息和进行下一步，失败
7. 使用了F12查看恶意网页代码，没发现跟baiducontent相关的命令，也不知道应该看什么，失败
8. 在尝试过程中发现了百度快照是使用http，而非https，尝试复制了一个链接改成https后，可以正常跳转快照，但快照内容不加载，也不知道这个发现有没得用



顺便贴一下恶意网站代码相关截图，也不知道有没得用，是两个网站，先跳到第一个，隔一分钟不操作会跳到第二个



于是再来坛子求各位大神能不能帮帮忙，主要是我现在又不知道该往什么地方去解决了，只要能给点解决思路和方向就是很大帮助啦！我自己下来可以一一尝试和学习的，当然如果有非常热心的大神那就再感谢不过了。

==============================
21：24更新
问题补充描述一下：是百度任意搜索后的任何页面的百度快照，包括复制百度快照链接http://cache.baiducontent.com/……后访问都会跳转到同一博彩网站，因为和两天前遇到同样问题后跳转的博彩网站是同一个，而偏偏这两天比较忙没怎么用电脑，只开过网页和灵缇，所以才会考虑是否是灵缇对电脑网络做了什么或者对路由器做了什么，不过这不重要了，已经卸载了。抱歉@牵着小猪走天涯大神，之前没说清楚

9. 因为当前没有第二台电脑，用手机在同一wifi下打开任意百度快照正常，不知道能不能用这个排除路由器被劫持的可能。
10. 现在准备研究研究21楼和23楼大神说的JS源码和.htaccess配置文件，
11. 还准备等两天再看看，没准就跟9楼说的那样，过几天自己好了（做梦）

==============================
10.27更新

之前太忙了，没精力管这个，昨天拿了另外的笔记本回家，发现在同一wifi下出现同样跳转，手机热点下不跳转，于是判断为路由器劫持，重置路由器后发现仍然跳转，最后判断为宽带的DNS可能存在一定问题，哎，这样一看，其实跟灵缇，云骑士这些没关系，不想进一步解决了就这样吧，瘫……

总之谢谢各位的热心帮助~

落华无痕 发表于 2020-10-19 17:30

电脑连的是否无线路由器，是的话，手机连接wifi。把会跳转的快照链接发给手机，看手机访问是否跳转。
安装个带网络的PE到硬盘上，重启进入PE，看PE里访问是否也劫持。
浏览器新建下载，下载会跳转的网页，编辑查看源码，看头部有没被插入什么可疑JS链接。

wuh 发表于 2020-10-19 17:44

排除法啊，dns劫持，其他电脑也这样嚒？如果是的话，路由器重置掉

Sekios 发表于 2020-10-19 18:02

说不定只是单纯的百度行为

列明 发表于 2020-10-19 18:03

雲騎士是一個重裝系統的工具，估計你的系統不是原版，經過修改的。建議重裝一下原版的系統，下載好系統鏡像後記得對照一下md5crc32sha256之類的信息。

涛之雨 发表于 2020-10-19 18:08

你用的加速器有问题吧。。。
最好还是用大厂的，腾讯、迅游之类的

yzqhj 发表于 2020-10-19 18:10

楼主，还是给电脑安个保护套吧，我安装的电脑管家，坑鬼坑，但是还是有些效果的，我不知道最新版，但是我现在使用的版本确实给力，连自家广告都拦截，dns，点击网络修复，一般情况都能自己回来

牵着小猪走天涯 发表于 2020-10-19 18:43

我是做黑帽技术的！ 就是不入侵，也可以被劫持，跳转站和劫持站没必然联系。 是一个专门网站利用蜘蛛池劫持到你网站快照，具体要分析日志，可能性很多很多。
这种劫持概率很低，只有企业站容易中招。

JFF 发表于 2020-10-19 18:44

云骑士？开起来是个重装系统的

用的是ghost系统吗？可以试试国外杀毒软件，比如卡巴斯基，大蜘蛛

额 觉得麻烦 你直接去杀毒软件论坛反馈，或许有人联系你帮你远程修（比如火绒，360）

风译者 发表于 2020-10-19 18:58

大概在半年前我也遇到过这种情况，查询成绩时网页也就你这样的情况。
因为当时赶时间没太注意，等我后来闲下来时发现又没问题了。

查看完整版本: 再次求助，百度快照再次被劫持，修改DNS已无效