今天某位網(wǎng)友在下載打開了多個私服登錄器后，訪問某些傳奇私服網(wǎng)站，開始出現(xiàn)劫持跳轉(zhuǎn)到別的網(wǎng)站的現(xiàn)象。遠(yuǎn)程前網(wǎng)友已經(jīng)用過360衛(wèi)士殺毒以及360急救箱強(qiáng)力模式了，但問題并沒有解決。

一般中私服病毒的都會用360官網(wǎng)的360急救箱強(qiáng)力模式兩遍，排查可能存在的rootkit。少數(shù)情況下急救箱會被rootkit針對無法正常工作，但網(wǎng)友的明顯不是這個問題。

遠(yuǎn)程時(shí)，我查看了一遍inetcpl.cpl，連接，局域網(wǎng)設(shè)置，沒有設(shè)置自動配置腳本。

里面的勾選去掉后點(diǎn)確定，再重新打開也沒有自動勾選上，說明相關(guān)注冊權(quán)限正常，否則可以用我的工具fixautocfgurl.exe解決這里的權(quán)限問題。

任務(wù)管理器詳細(xì)信息界面設(shè)置顯示進(jìn)程路徑，按路徑排列，沒發(fā)現(xiàn)可疑路徑的進(jìn)程。傳奇私服的白加黑木馬的進(jìn)程名一般是隨機(jī)的很容易區(qū)分。

運(yùn)行ncpa.cpl，找到當(dāng)前網(wǎng)絡(luò)連接，屬性，ipv4屬性，檢查DNS，發(fā)現(xiàn)非常見DNS，應(yīng)該是劫持。

去掉問題DNS后，再管理員cmd執(zhí)行命令ipconfig /flushdns刷新DNS緩存，再次打開瀏覽器訪問問題網(wǎng)頁，沒有劫持了！還有問題的話，清理下瀏覽器緩存就可以了。

為了避免復(fù)發(fā)，下載Autoruns檢查一遍有沒病毒啟動項(xiàng)，果然發(fā)現(xiàn)兩個可疑啟動項(xiàng)：

第一個隨機(jī)名的是白加黑木馬，劫持自動配置腳本的；第3個是鎖定DNS的，兩者都可能導(dǎo)致劫持。

刪除完啟動項(xiàng)和病毒文件，讓網(wǎng)友重啟測試下有沒復(fù)發(fā)。本以為問題解決了，斷開遠(yuǎn)程后，網(wǎng)友卻說問題沒有解決？？？

繼續(xù)連上遠(yuǎn)程。用360瀏覽器訪問網(wǎng)友發(fā)的私服網(wǎng)址，正常，沒有跳轉(zhuǎn)，跟我電腦訪問一模一樣。換了ie瀏覽器訪問也正常。于是讓網(wǎng)友演示一遍劫持現(xiàn)象。然后就看到網(wǎng)友打開微信聊天記錄，點(diǎn)開問題網(wǎng)址，用微信內(nèi)置瀏覽器復(fù)現(xiàn)了劫持問題。。。

呃，這大概率是瀏覽器緩存問題，問題是不知道微信內(nèi)置瀏覽器緩存在哪里？雖然可以通過設(shè)置取消用內(nèi)置瀏覽器訪問網(wǎng)址，但這只能算妥協(xié)的辦法。

存儲空間管理里清理緩存的方法不管用。最后我用procmon監(jiān)控微信相關(guān)進(jìn)程的WriteFile事件，在微信里點(diǎn)開網(wǎng)址，看到了寫緩存的路徑：

%appdata%\Tencent\WeChat\radium\web

退出微信或結(jié)束WeChatAppEx.exe進(jìn)程后，刪除上述路徑，之后再次點(diǎn)開問題網(wǎng)址，問題解決！