Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

我之前遇到过楼主一样的问题，后来发现原因是安装过 99 宿舍软件，那玩意儿会劫持 winsock，netsh winsock show catalog 可以看到流氓软件的 dll 文件，netsh winsock reset 后解决

楼主怎么判断这些 DNS 是 Chrome 发出的？

@muzuiget 不知道是哪里发出的，只能判断和 chrome 有关，因为关掉就没那些请求了

有试过把 chrome 扩展都关了么

@syuraking autoruns 看了 wmi 事件 是空的
@tenwx 没有异常 winsock

@dot2017 都关掉了的 只有一个 IDM 扩展 已经关掉了

单从发送请求的域名来看，感觉是对方想拦截这些域名去刷 referrer，类似于那种广告联盟的行为。
你可以试一下在隐身模式手动打开其中的一个网站，看打开后地址栏 URL 后面有没有加奇怪的后缀，比如?xxxx
另外你是通过快捷方式启动 chrome 的么，看看快捷方式的地址后面是不是加了启动参数

@dot2017 没有启动参数的，是否在隐身模式也不影响这个 dns 请求重现，不需要访问网站它也会自动请求，只要 chrome.exe 进程在

明天做个蜜罐，拦一下这几个网站的访问看看，如果是刷量请求的话这也隐藏得太好了，hold 住连接，应该就能看到打开的端口

最烦的就是这样，因为这样我才把系统重装了。在公司的时候，那时候好像是因为弹广告、网页劫持，唯一怀疑只有自己装看图王（ 2345 出品）。

那时候强迫症，查了半天找不出来哪里发起。360 也没用（？）
后来就是重装系统了，再后来我也不用看图王，从此以后安静多了。

硬核查问题~ 大佬 np

试试用火绒查一下病毒。

@elfive
火绒已查过 无问题

楼主直接 chrome://version 看看启动命令行，与快捷方式的对比，确认是 chrome 问题还是 LoadProcess 函数被劫持

@yulihao
命令行 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox
未见异常

硬核，等待后续结果

前排围观

这种问题一般不好查，先 netsh winsock reset 简单粗暴，如果不能解决再慢慢查……emmmmm

有没有可能是搜狗的 dll 注入到了 Chrome，我记得输入法打开了就会注入到对应进程去。可以尝试卸载搜狗输入法尝试下还有没有。

试试火绒剑？猜测可能是有第三方的程序在检测 chrome 的进程是否存在
1.选择系统，设定过滤，路径过滤，输入 chrome，
2. 找不是 chrome 发起的，但是指向了 chrome 的文件夹的动作

日志比较长可以到处日志，在文本编辑器里面分析。
另外可以看看本机有没有奇怪的启动项，不正常的网络连接
https://i.loli.net/2020/04/13/YP3JcV9EfxFouTq.png
https://i.loli.net/2020/04/13/MiOga9xJhdwP4pr.png