Pesquisa de DNS do IE sequestrada pelo Baidu

tag-icon tag-icon dns internet-explorer hijack
Pesquisa de DNS do IE sequestrada pelo Baidu

Tenho um usuário que viajou recentemente para a China. Desde que eles voltaram, a tentativa de navegar para qualquer um dos seus favoritos os leva a este URL:

http://nfdnserror1.wo.com.cn:8080/issueunziped/nf20140811/index.html?UserUrl=<the URL>

A página é basicamente o mecanismo de busca chinês Baidu, com o campo de busca preenchido com a string de consulta UserUrl. Parece que o URL é uma página personalizada de falha de pesquisa de DNS.

O marcador não parece ter sido modificado. Navegar diretamente para os URLs também redireciona para esta página. Parece que apenas os URLs nos favoritos são afetados, conforme ilustrado abaixo:

Não está OK (existe nos favoritos)

http://<internal server name>/<subsite name>/

OK

http://<internal server name>/

http://<internal server FQDN>/<subsite name>/

O problema está isolado no IE11 e nessa conta de usuário específica. O Chrome e o Firefox não apresentam esse problema, e o IE11 em uma conta local separada também não apresenta esse problema.

O sistema operacional é o Windows 7 Pro x64.

Eu verifiquei e fiz o seguinte:

  • As configurações de DNS estão corretas
  • Liberou o cache DNS
  • O arquivo hosts está bem
  • Não há plug-ins adicionais do IE
  • Redefinir o IE (opções da Internet -> Avançado -> Redefinir o IE)
  • HiJackThis não captura nada relacionado a isso
  • O Malwarebytes pegou algumas chaves de registro que pareciam ter sobrado de algumas barras de ferramentas que foram instaladas acidentalmente, mas colocá-las em quarentena não adiantou nada
  • Novos favoritos não apresentam esse problema
  • Excluir o favorito antigo e navegar até o URL ainda produz o problema
  • Não há processos suspeitos em execução ou novos serviços instalados
  • Não há pasta Baidu em nenhuma das pastas Arquivos de Programas
  • A barra de ferramentas do Baidu nunca foi instalada em nenhum momento
  • Verificado que não há nenhum servidor proxy configurado
  • MSconfig verificado, nenhum programa ou serviço de inicialização foi inesperado
  • Executei Autoruns da Sysinternals, mas nada suspeito foi encontrado

O usuário não tem direitos de administrador, portanto não pode instalar nada por conta própria. Alguém mais encontrou algo semelhante a esse problema?

Desinstalei o IE11, mas o problema persiste. Estranhamente, agora isso ocorre apenas em uma URL específica, que é o nome de rótulo único de um servidor em um domínio separado com o qual temos uma confiança bidirecional. Usamos sufixos DNS do lado do cliente definidos em um GPO para que isso seja resolvido. Como sempre, o problema ainda ocorre apenas no IE (embora agora seja no IE10) e apenas na conta deste usuário. Provavelmente irei migrá-los para outra máquina, mas seria bom resolver esse mistério primeiro.

Responder1

Respondi outra pergunta bastante semelhante à sua emNão é possível usar a Internet devido a suspeita de malware de DNS. Lá contei minha própria história de como um de nossos usuários teve uma experiência semelhante. Embora os sintomas não sejam 100% iguais aos seus, existem semelhanças suficientes para você seguir as técnicas que usei para ajudar meu usuário.

Além disso, vejo que seu usuário não tem direitos de administrador, por isso devo considerar a possibilidade de que o que está causando o problema não apareça na lista "Adicionar ou remover programas". Provavelmente você terá que desabilitar um ponto de início automático. Alguns pontos de inicialização automática para os quais você não precisa de direitos de administrador e são específicos do usuário: isso provavelmente explica por que o problema não aparece para outros usuários locais naquela máquina.

Nesse caso, você pode baixar e executar o Autoruns da Sysinternals para desabilitar o ponto de inicialização. Autoruns é essencialmente uma versão aprimorada do msconfig. Quando estiver no Autoruns, vá direto para a guia do Internet Explorer e veja se o IE está carregando algo incomum. Vá em frente e desmarque todas as entradas incomuns e esperamos que o problema desapareça.

Responder2

EUtiveexatamente o mesmo problema :)

Procurei wo.com.cn no registro e encontrei algo. Excluiu-o, mas não foi suficiente (ainda assim, você pode querer removê-lo). Em seguida, deu outra chance ao Google e encontrou estas instruções1:

Problema O Internet Explorer armazena em cache os redirecionamentos permanentemente, mesmo que eles sejam alterados no servidor. Os sintomas incluem ser enviado para um destino antigo para um URL curto ou outro redirecionamento.

Solução Parece não haver maneira de limpar o redirecionamento do cache do navegador usando a funcionalidade padrão de limpeza de cache na tela de configuração de Opções da Internet. Um método que parece funcionar. Estas instruções são para o IE8, mas também funcionarão no IE9 (e para o IE11):

-Limpe o histórico e o cache do navegador.

-Vá para o menu Ferramentas e ative o modo Navegação InPrivate (navegação anônima). Isso abrirá uma nova janela.

-Cole o URL original da página que redireciona incorretamente na barra de URL da nova janela

-Verifique se isso redireciona para a página correta.

-Feche e reinicie o Internet Explorer.

Responder3

Meu Sysadmin fez o seguinte para corrigir o problema:

  1. Mate todos os processos do IE usando o Gerenciador de Tarefas do Windows
  2. Restaure o IE para as configurações padrão: Privacidade, Segurança etc.
  3. Reinicie o IE

É isso.

Responder4

Com base na solução de problemas que você fez, recomendo que você

Alterar mecanismo de pesquisa padrão.

Etapapara alterar o mecanismo de pesquisa padrão no Internet Explorer.

Passo 1:Ferramentas > Gerenciar complemento

Passo 2:Clique em Provedor de Pesquisa

etapa 3: SelecioneGooglecomo seu mecanismo de pesquisa padrão.

Passo 4:Clique com o botão direito e remova outros mecanismos de pesquisa.

Deixe-me saber se isso ajudou ou não.

informação relacionada