这是一个创建于 4294 天前的主题,其中的信息可能已经有所发展或是发生改变。
这几天访问京东时,发现会发生几次跳转,然后URL被加上推广代码。
跳转情况如图:
目前已排除的情况:
1.浏览器流氓插件(换浏览器访问,结果一样);
2.运营商劫持 (笔记本用的电信,用联通手机开启Wi-Fi热点给笔记本使用,结果一样);
3.DNS劫持 (换DNS,结果一样);
我怀疑是中了木马,用自带的MSE全盘查杀,无果;然后又下载了国产卫士和国产管家(主要用的都是小红伞的引擎)全盘查杀,无果。
除了重装系统,有木有解决办法,能不能找出是被哪个程序劫持了?
系统:Windows 8.1 Update 1
跳转情况如图:
目前已排除的情况:
1.浏览器流氓插件(换浏览器访问,结果一样);
2.运营商劫持 (笔记本用的电信,用联通手机开启Wi-Fi热点给笔记本使用,结果一样);
3.DNS劫持 (换DNS,结果一样);
我怀疑是中了木马,用自带的MSE全盘查杀,无果;然后又下载了国产卫士和国产管家(主要用的都是小红伞的引擎)全盘查杀,无果。
除了重装系统,有木有解决办法,能不能找出是被哪个程序劫持了?
系统:Windows 8.1 Update 1
第 1 条附言 2014 年 6 月 29 日
运营商劫持可以排除的,我用Ubuntu的Live CD,使用同一个网络,访问京东是没问题的。
第 2 条附言 2014 年 6 月 30 日
问题已解决。
其实就是中了木马。
程序文件:http://pan.baidu.com/s/1i30yTjZ
双击运行木马程序的exe文件(该程序默认以管理员身份运行),该程序会在C:\Windows\System32文件夹里面释放Packet.dll和wpcap.dll两个文件;
还有在C:\Windows\SysWOW64文件夹中释放Packet.dll,wpcap.dll和msips.exe三个文件,并使用System用户启动msips.exe,以此来劫持京东,易迅等购物网站的链接并加上推广代码。
不知道该程序还有没有其它后门什么的,有兴趣的可以下载去研究下。
这东西看起来并不复杂,国内几个安全软件和微软的MSE都查不出这东西,令人不解。
PS:运营商劫持我已通过几个方面排除了,但还是有很多回帖说是运营商劫持的,恳请各位回答问题的时候看清问题描述,谢谢~
其实就是中了木马。
程序文件:http://pan.baidu.com/s/1i30yTjZ
双击运行木马程序的exe文件(该程序默认以管理员身份运行),该程序会在C:\Windows\System32文件夹里面释放Packet.dll和wpcap.dll两个文件;
还有在C:\Windows\SysWOW64文件夹中释放Packet.dll,wpcap.dll和msips.exe三个文件,并使用System用户启动msips.exe,以此来劫持京东,易迅等购物网站的链接并加上推广代码。
不知道该程序还有没有其它后门什么的,有兴趣的可以下载去研究下。
这东西看起来并不复杂,国内几个安全软件和微软的MSE都查不出这东西,令人不解。
PS:运营商劫持我已通过几个方面排除了,但还是有很多回帖说是运营商劫持的,恳请各位回答问题的时候看清问题描述,谢谢~
 | 1 oott123 2014 年 6 月 29 日 via Android 这看起来很厉害啊。 检查过 hosts 了么? |
 | 3 DreaMQ 2014 年 6 月 29 日 很可能是运营商劫持,联通手机访问还是跳转可能是缓存的缘故 看看同网络环境下其他设备呢 |
 | 4 davidyin 2014 年 6 月 29 日 用随便哪个linux的live CD启动,然后上网看看。 |
 | 5 icanfork 2014 年 6 月 29 日 via Android dns劫持,我这边的vip.com跳到有一个推广链接的域名上 |
 | nbsp; 6 wy315700 2014 年 6 月 29 日 运营商劫持的 你没办法的 |
 | 7 Huazai 2014 年 6 月 29 日 仲么还没搞定呀? |
 | 10 Axurez 2014 年 6 月 29 日 是什件啊? |
 | 11 JmmBite 2014 年 6 月 29 日 路由器被劫持了吧,是不是刷过了,还是买的二手路由 |
 | 12 zzColin 2014 年 6 月 29 日 我也有点倾向于路由器问题,如果用的是公用网络的话可能性就更大了 |
 | 13 LetFoxRun 2014 年 6 月 29 日 以上CTRL+F5刷新下,再看看。 如果不行,Win系统注册表里搜索下duapp yiqifa zhekoumei 看看能不能发现点什么。 |
 | 14 moroumo 2014 年 6 月 29 日 又是yiqifa啊,这应该说联通那边的劫持。要么你用https,要么就忍了吧。 我这mac,linux下都有,访问amazon.cn的时候。不是次次都有,大概5,6次就出现一次。 你可以向JD投诉。 |
 | 15 emric 2014 年 6 月 29 日 yiqifa, 应该是运营商的劫持我这里亦是. 不介意的话可以把 `103.242.110.31 p.yiqifa.com` 加进 hosts. |
 | 16 Garwih OP |
 | 17 ihacku 2014 年 6 月 29 日 昨天翻到某运营商系统的文档 内有亮点  |
 | 18 imn1 2014 年 6 月 29 日 京东我也中了一次,因为只有京东,其他站没事,就找在线客服投诉,那客服不懂网页技术,被我说得挺惨的~ 后来想想不对,不像之前遇到的劫持情况,就开始排查 发现只有我常用的FireFox有这德行,更新版本也有(覆盖更新),关闭所有addons就没了,确认是addons 逐个addon打开关闭,确认是油猴 打开油猴,但全关油猴脚本,没了,确认是某个脚本 逐个打开,确认是一个滚动到顶部的脚本 找到脚本的存放目录,居然见到两个js,其中一个叫updater.js就是劫持跳转脚本~ |
 | 20 GuangXiN 2014 年 6 月 29 日 我遇到过劫持百度统计的。网络中间某一环发现我在请求百度统计的js代码,就直接回我一个302,然后浏览器收到的新的js会在当前浏览的网页最上面加一个a标签fixed布局,100%宽100%高,颜色透明,链到一个小网站,而且onclick会把这个标签删除,并且用cookie记录,每天每个网站最多出现三次这个情况。 |
 | 22 jasontse 2014 年 6 月 29 日 via iPad 抓过包吗 |
| 24 ihacku 2014 年 6 月 29 日 |
 | 25 yfdyh000 2014 年 6 月 29 日 |
 | 26 kqz901002 2014 年 6 月 29 日 via Android 其实是扩展原因,看看有没有装一淘助手或者惠惠助手 |
 | 28 KokongW 2014 年 6 月 29 日 一般是运营商TCP劫持,可以考虑抓下包 |
 | 30 lightforce 2014 年 6 月 29 日 你是不是访问过kds,kds上有人放cs,mlgb |
| 31 Garwih OP |
 | 33 vmebeh 2014 年 6 月 29 日 电信、长宽同被劫持,连续重新打开几次就没了,有效时间半天左右。 贴个链接看看是不是同一id p.yiqifa.com/c?s=19d75af1&w=721664&c=254&i=160&l=0&e=&t=http://www.jd.com/ |
 | 34 renb 2014 年 6 月 29 日 我安装了扩展youkuantiads_with_player。这个会劫持一些购物网站。和你的情况不一样。 |
 | 37 ysjdx 2014 年 6 月 29 日 曾经被99sushe(就是那个四六级查分的)劫持过LSP 修复下看看 |
 | 39 nanpuyue 2014 年 6 月 30 日 国内运营商就是喜欢乱来,你可以尝试到电信主管部门投诉运行商。 |
 | 40 sjzboy 2014 年 6 月 30 日 之前遇到过运营商劫持换dns,后来遇到是路由器劫持,还原后,重新设置,并且加密,没有了。 |
 | 42 seers 2015 年 1 月 1 日 请问lz怎么发现木马,然后怎么解决的,目前我也是这个问题,但是没找到木马运行文件 |
 | 43 chineer 2015 年 2 月 16 日 via Android 手都跳,是商吧 |
 | 44 Raul 2016 年 5 月 31 日 是 ISP 搞的鬼,与您本机无关。 您访问 jd.com 是明文的 HTTP, 运营商劫持你的 HTTP 请求,返回一个事先准备好的带有跳转功能的 HTML 文档,然后就发生了您所描述的情况。 如果你问 ISP ,他们还会扯淡说是您本机中病毒了什么的。。。 |
45
tianwang 2019 年 3 月 7 日 安全 稳定 放劫持的在线客服软件有哪些? -
https://zhuanlan.zhihu.com/p/58556314
https://zhuanlan.zhihu.com/p/58556314
Select Language