Búsqueda de DNS de IE secuestrada por Baidu

tag-icon tag-icon dns internet-explorer hijack
Búsqueda de DNS de IE secuestrada por Baidu

Tengo un usuario que recientemente se fue de viaje a China. Desde que regresaron, intentar navegar a cualquiera de sus favoritos los llevará a esta URL:

http://nfdnserror1.wo.com.cn:8080/issueunziped/nf20140811/index.html?UserUrl=<the URL>

La página es básicamente el motor de búsqueda chino Baidu, con el campo de búsqueda completado con la cadena de consulta UserUrl. Parece que la URL es una página de error de búsqueda de DNS personalizada.

El marcador no parece haber sido modificado. Navegar directamente a las URL también redirige a esta página. Parece que sólo las URL de los marcadores se ven afectadas, como se ilustra a continuación:

No está bien (existe en marcadores)

http://<internal server name>/<subsite name>/

DE ACUERDO

http://<internal server name>/

http://<internal server FQDN>/<subsite name>/

El problema está aislado de IE11 y de esa cuenta de usuario específica. Chrome y Firefox no tienen ningún problema, y ​​IE11 en una cuenta local separada tampoco tiene el problema.

El sistema operativo es Windows 7 Pro x64.

Revisé y hice lo siguiente:

  • La configuración de DNS es correcta
  • Vació la caché de DNS
  • El archivo de hosts está bien.
  • No hay complementos de IE adicionales
  • Restablecer IE (Opciones de Internet -> Avanzado -> Restablecer IE)
  • HiJackThis no capta nada relacionado con esto
  • Malwarebytes recogió un par de claves de registro que parecían haber quedado de algunas barras de herramientas que se instalaron accidentalmente, pero ponerlas en cuarentena no hizo nada.
  • Los nuevos marcadores no tienen este problema
  • Eliminar el marcador anterior y navegar a la URL aún produce el problema
  • No hay ningún proceso sospechoso ejecutándose ni ningún servicio nuevo instalado
  • No hay ninguna carpeta de Baidu en ninguna de las carpetas de Archivos de programa
  • La barra de herramientas de Baidu nunca se instaló en ningún momento
  • Comprobado que no hay ningún servidor proxy configurado
  • MSconfig comprobado, no hubo programas o servicios de inicio inesperados
  • Ejecuté las ejecuciones automáticas de Sysinternals, pero no se encontró nada sospechoso

El usuario no tiene derechos de administrador, por lo que no puede haber instalado nada por su cuenta. ¿Alguien más ha encontrado algo similar a este problema?

Desinstalé IE11, pero el problema persiste. Curiosamente, ahora solo ocurre en una URL en particular, que es el nombre de etiqueta única de un servidor en un dominio separado con el que tenemos una confianza bidireccional. Usamos sufijos DNS del lado del cliente definidos en un GPO para resolverlos. Como siempre, el problema sigue ocurriendo solo en IE (aunque ahora IE10) y solo en la cuenta de este usuario. Probablemente voy a migrarlos a otra máquina, pero sería bueno resolver este misterio primero.

Respuesta1

Respondí otra pregunta bastante similar a la tuya enNo se puede utilizar Internet debido a sospecha de malware DNS. Allí conté mi propia historia de cómo uno de nuestros usuarios tuvo una experiencia similar. Aunque los síntomas no son 100% iguales a los tuyos, hay suficientes similitudes para que puedas seguir las técnicas que utilicé para ayudar a mi usuario.

Además, veo que su usuario no tiene derechos de administrador, por lo que debo considerar la posibilidad de que la causa del problema no aparezca en la lista "Agregar o quitar programas". Probablemente tendrás que desactivar un punto de inicio automático. Para algunos puntos de inicio automático no necesita derechos de administrador y son específicos del usuario: eso probablemente explica por qué el problema no aparece para otros usuarios locales en esa máquina.

En cuyo caso, puede descargar y ejecutar las ejecuciones automáticas de Sysinternals para deshabilitar el punto de inicio. Autoruns es esencialmente una versión mejorada de msconfig. Una vez que esté en Autoruns, vaya directamente a la pestaña de Internet Explorer y vea si IE está cargando algo inusual. Continúe y desmarque cualquier entrada inusual y, con suerte, el problema debería desaparecer.

Respuesta2

Iteníaexactamente el mismo problema :)

Busqué wo.com.cn en el registro y encontré algo. Lo eliminé pero no fue suficiente (aún así es posible que desees eliminarlo). Luego le di a Google otra oportunidad y encontré estas instrucciones.1:

Problema Internet Explorer almacena en caché permanentemente los redireccionamientos incluso si se modifican en el servidor. Los síntomas incluyen el envío a un destino antiguo para una URL corta u otro redireccionamiento.

Solución Parece que no hay forma de eliminar la redirección de la memoria caché del navegador mediante la función de eliminación de caché estándar en la pantalla de configuración de Opciones de Internet. Un método que parece funcionar. Estas instrucciones son para IE8, pero también funcionarán en IE9 (y para IE11):

-Borra el historial y el caché de tu navegador.

-Vaya al menú Herramientas y habilite el modo de navegación InPrivate (navegación anónima). Esto abrirá una nueva ventana.

-Pegue la URL original de la página que redirige incorrectamente en la barra de URL de la nueva ventana

-Verifica que esto redirija a la página correcta.

-Cierre y reinicie Internet Explorer.

Respuesta3

Mi administrador de sistemas hizo lo siguiente para solucionar el problema:

  1. Elimine todos los procesos de IE usando el Administrador de tareas de Windows
  2. Restaure IE a las configuraciones predeterminadas: privacidad, seguridad, etc.
  3. Reiniciar IE

Eso es todo.

Respuesta4

Según la solución de problemas que ha realizado, le recomendaría que

Cambiar el motor de búsqueda predeterminado.

Pasopara cambiar el motor de búsqueda predeterminado en Internet Explorer.

Paso 1:Herramientas > Administrar complemento

Paso 2:Haga clic en Proveedor de búsqueda

Paso 3: SeleccionarBingcomo su motor de búsqueda predeterminado.

Etapa 4:Haga clic derecho y elimine otros motores de búsqueda.

Déjame saber si esto ayudó o no.

información relacionada