这是一个创建于 3582 天前的主题,其中的信息可能已经有所发展或是发生改变。
这几天访问京东时,发现会发生几次跳转,然后URL被加上推广代码。
跳转情况如图:
目前已排除的情况:
1.浏览器流氓插件(换浏览器访问,结果一样);
2.运营商劫持 (笔记本用的电信,用联通手机开启Wi-Fi热点给笔记本使用,结果一样);
3.DNS劫持 (换DNS,结果一样);
我怀疑是中了木马,用自带的MSE全盘查杀,无果;然后又下载了国产卫士和国产管家(主要用的都是小红伞的引擎)全盘查杀,无果。
除了重装系统,有木有解决办法,能不能找出是被哪个程序劫持了?
系统:Windows 8.1 Update 1
跳转情况如图:
目前已排除的情况:
1.浏览器流氓插件(换浏览器访问,结果一样);
2.运营商劫持 (笔记本用的电信,用联通手机开启Wi-Fi热点给笔记本使用,结果一样);
3.DNS劫持 (换DNS,结果一样);
我怀疑是中了木马,用自带的MSE全盘查杀,无果;然后又下载了国产卫士和国产管家(主要用的都是小红伞的引擎)全盘查杀,无果。
除了重装系统,有木有解决办法,能不能找出是被哪个程序劫持了?
系统:Windows 8.1 Update 1
第 1 条附言 · 2014-06-29 19:52:21 +08:00
运营商劫持可以排除的,我用Ubuntu的Live CD,使用同一个网络,访问京东是没问题的。
第 2 条附言 · 2014-06-30 13:45:42 +08:00
问题已解决。
其实就是中了木马。
程序文件:http://pan.baidu.com/s/1i30yTjZ
双击运行木马程序的exe文件(该程序默认以管理员身份运行),该程序会在C:\Windows\System32文件夹里面释放Packet.dll和wpcap.dll两个文件;
还有在C:\Windows\SysWOW64文件夹中释放Packet.dll,wpcap.dll和msips.exe三个文件,并使用System用户启动msips.exe,以此来劫持京东,易迅等购物网站的链接并加上推广代码。
不知道该程序还有没有其它后门什么的,有兴趣的可以下载去研究下。
这东西看起来并不复杂,国内几个安全软件和微软的MSE都查不出这东西,令人不解。
PS:运营商劫持我已通过几个方面排除了,但还是有很多回帖说是运营商劫持的,恳请各位回答问题的时候看清问题描述,谢谢~
其实就是中了木马。
程序文件:http://pan.baidu.com/s/1i30yTjZ
双击运行木马程序的exe文件(该程序默认以管理员身份运行),该程序会在C:\Windows\System32文件夹里面释放Packet.dll和wpcap.dll两个文件;
还有在C:\Windows\SysWOW64文件夹中释放Packet.dll,wpcap.dll和msips.exe三个文件,并使用System用户启动msips.exe,以此来劫持京东,易迅等购物网站的链接并加上推广代码。
不知道该程序还有没有其它后门什么的,有兴趣的可以下载去研究下。
这东西看起来并不复杂,国内几个安全软件和微软的MSE都查不出这东西,令人不解。
PS:运营商劫持我已通过几个方面排除了,但还是有很多回帖说是运营商劫持的,恳请各位回答问题的时候看清问题描述,谢谢~
 |
1
oott123 2014-06-29 13:58:55 +08:00 via Android
这看起来很厉害啊。
检查过 hosts 了么? |
 |
3
DreaMQ 2014-06-29 14:02:53 +08:00
很可能是运营商劫持,联通手机访问还是跳转可能是缓存的缘故
看看同网络环境下其他设备呢 |
 |
4
davidyin 2014-06-29 14:03:21 +08:00
用随便哪个linux的live CD启动,然后上网看看。
|
 |
5
belin520 2014-06-29 14:04:59 +08:00 via Android
dns劫持,我这边的vip.com跳到有一个推广链接的域名上
|
 |
6
wy315700 2014-06-29 14:10:46 +08:00
运营商劫持的 你没办法的
|
 |
7
Huazai 2014-06-29 14:17:30 +08:00
仲么还没搞定呀?
|
 |
10
Axurez 2014-06-29 14:30:44 +08:00
這是什麼軟件啊?
|
 |
11
JmmBite 2014-06-29 14:35:41 +08:00
路由器被劫持了吧,是不是刷过了,还是买的二手路由
|
 |
12
zzColin 2014-06-29 14:37:50 +08:00
我也有点倾向于路由器问题,如果用的是公用网络的话可能性就更大了
|
 |
13
LetFoxRun 2014-06-29 14:38:18 +08:00
以上CTRL+F5刷新下,再看看。
如果不行,Win系统注册表里搜索下duapp yiqifa zhekoumei 看看能不能发现点什么。 |
 |
14
moroumo 2014-06-29 14:57:30 +08:00
又是yiqifa啊,这应该说联通那边的劫持。要么你用https,要么就忍了吧。
我这mac,linux下都有,访问amazon.cn的时候。不是次次都有,大概5,6次就出现一次。 你可以向JD投诉。 |
 |
15
emric 2014-06-29 15:42:54 +08:00
yiqifa, 应该是运营商的劫持我这里亦是.
不介意的话可以把 `103.242.110.31 p.yiqifa.com` 加进 hosts. |
 |
16
Garwih OP |
 |
17
ihacku 2014-06-29 15:50:39 +08:00
昨天翻到某运营商系统的文档 内有亮点
 |
 |
18
imn1 2014-06-29 16:41:34 +08:00
京东我也中了一次,因为只有京东,其他站没事,就找在线客服投诉,那客服不懂网页技术,被我说得挺惨的~
后来想想不对,不像之前遇到的劫持情况,就开始排查 发现只有我常用的FireFox有这德行,更新版本也有(覆盖更新),关闭所有addons就没了,确认是addons 逐个addon打开关闭,确认是油猴 打开油猴,但全关油猴脚本,没了,确认是某个脚本 逐个打开,确认是一个滚动到顶部的脚本 找到脚本的存放目录,居然见到两个js,其中一个叫updater.js就是劫持跳转脚本~ |
 |
20
GuangXiN 2014-06-29 16:49:31 +08:00
我遇到过劫持百度统计的。网络中间某一环发现我在请求百度统计的js代码,就直接回我一个302,然后浏览器收到的新的js会在当前浏览的网页最上面加一个a标签fixed布局,100%宽100%高,颜色透明,链到一个小网站,而且onclick会把这个标签删除,并且用cookie记录,每天每个网站最多出现三次这个情况。
|
 |
22
jasontse 2014-06-29 16:58:36 +08:00 via iPad
抓过包吗
|
|
24
ihacku 2014-06-29 17:29:16 +08:00
|
 |
25
yfdyh000 2014-06-29 17:29:37 +08:00
|
 |
26
kqz901002 2014-06-29 18:20:47 +08:00 via Android
其实是扩展原因,看看有没有装一淘助手或者惠惠助手
|
 |
28
KokongW 2014-06-29 19:06:09 +08:00
一般是运营商TCP劫持,可以考虑抓下包
|
 |
30
lightforce 2014-06-29 19:29:34 +08:00
你是不是访问过kds,kds上有人放cs,mlgb
|
|
31
Garwih OP |
 |
33
vmebeh 2014-06-29 20:34:10 +08:00
电信、长宽同被劫持,连续重新打开几次就没了,有效时间半天左右。
贴个链接看看是不是同一id p.yiqifa.com/c?s=19d75af1&w=721664&c=254&i=160&l=0&e=&t=http://www.jd.com/ |
 |
34
renb 2014-06-29 21:09:55 +08:00
我安装了扩展youkuantiads_with_player。这个会劫持一些购物网站。和你的情况不一样。
|
 |
37
ysjdx 2014-06-29 22:32:39 +08:00
曾经被99sushe(就是那个四六级查分的)劫持过LSP
修复下看看 |
 |
39
nanpuyue 2014-06-30 07:53:36 +08:00
国内运营商就是喜欢乱来,你可以尝试到电信主管部门投诉运行商。
|
 |
40
sjzboy 2014-06-30 11:49:22 +08:00
之前遇到过运营商劫持换dns,后来遇到是路由器劫持,还原后,重新设置,并且加密,没有了。
|
 |
42
seers 2015-01-01 20:02:33 +08:00
请问lz怎么发现木马,然后怎么解决的,目前我也是这个问题,但是没找到木马运行文件
|
 |
43
chineer 2015-02-16 14:57:04 +08:00 via Android
手機都跳,應該是運營商吧
|
 |
44
Raul 2016-05-31 22:00:29 +08:00
是 ISP 搞的鬼,与您本机无关。
您访问 jd.com 是明文的 HTTP, 运营商劫持你的 HTTP 请求,返回一个事先准备好的带有跳转功能的 HTML 文档,然后就发生了您所描述的情况。 如果你问 ISP ,他们还会扯淡说是您本机中病毒了什么的。。。 |
 |
45
tianwang 2019-03-07 13:41:53 +08:00
安全 稳定 放劫持的在线客服软件有哪些? -
https://zhuanlan.zhihu.com/p/58556314 |
Select Language