Recherche DNS IE détournée par Baidu

4

J'ai un utilisateur qui est allé en voyage en Chine récemment. Depuis qu'ils sont revenus, essayer de naviguer vers l'un de leurs signets les amène à cette URL:

http://nfdnserror1.wo.com.cn:8080/issueunziped/nf20140811/index.html?UserUrl=<the URL>

La page est fondamentalement juste le moteur de recherche chinois Baidu, avec le champ de recherche rempli avec la chaîne de requête UserUrl. L'URL semble être une page d'échec de recherche DNS personnalisée.

Le signet ne semble pas avoir été modifié. La navigation directe vers les URL redirige également vers cette page. Il semble que seules les URL des signets soient affectées, comme illustré ci-dessous:

Pas OK (existe dans les signets)

http://<internal server name>/<subsite name>/

D'accord

http://<internal server name>/

http://<internal server FQDN>/<subsite name>/

Le problème est isolé à IE11 et à ce compte d'utilisateur spécifique. Chrome et Firefox n'ont pas le problème du tout, et IE11 sur un compte local séparé n'a pas le problème non plus.

Le système d'exploitation est Windows 7 Pro x64.

J'ai vérifié et fait ce qui suit:

  • Les paramètres DNS sont corrects
  • Vidé le cache DNS
  • Le fichier des hôtes est correct
  • Il n'y a pas de plugins IE supplémentaires
  • Réinitialiser Internet Explorer (options Internet - & gt; Options avancées - & gt; Réinitialiser Internet Explorer)
  • HiJackThis ne prend rien de ce genre
  • Malwarebytes a récupéré quelques clés de registre qui semblaient être laissées par des barres d'outils installées accidentellement, mais leur mise en quarantaine n'a rien fait.
  • Les nouveaux favoris n'ont pas ce problème
  • La suppression de l'ancien signet et la navigation vers l'URL produisent toujours le problème.
  • Il n'y a pas de processus suspect en cours d'exécution ou de nouveaux services installés
  • Il n'y a pas de dossier Baidu dans les dossiers Program Files
  • La barre d'outils Baidu n'a jamais été installée
  • Vérifié qu'il n'y a pas de serveur proxy défini
  • Checked MSconfig, aucun programme ou service de démarrage inattendu
  • Autoran Ran Sysinternals ', mais rien de suspect n'a été trouvé

L'utilisateur n'a pas de droits d'administrateur et ne peut donc rien installer par lui-même. Quelqu'un d'autre a-t-il rencontré quelque chose de similaire à ce problème?

J'ai désinstallé IE11, mais le problème persiste. Bizarrement, cela ne se produit maintenant que sur une seule URL, qui est le nom en une seule étiquette d'un serveur appartenant à un domaine distinct pour lequel nous avons une confiance bidirectionnelle. Nous utilisons des suffixes DNS côté client définis dans un objet de stratégie de groupe pour les résoudre. Comme toujours, le problème ne survient que sous IE (bien que IE10 maintenant) et uniquement sur le compte de cet utilisateur. Je vais probablement les migrer sur une autre machine, mais ce serait bien de résoudre ce mystère en premier.

dns  internet-explorer  hijack 
Seyren
source
Les analyses de logiciels malveillants ne garantissent rien. Les taux de détection moyens sont tombés à environ 40%. Essuyez et réinstallez. C'est le seul moyen d'être sûr.
Jeff-Inventor ChromeOS
Quel est le système d'exploitation? Pouvez-vous reproduire le problème en utilisant à la fois des anciens et des nouveaux signets ou en démarrant Windows en mode sans échec avec la mise en réseau?
and31415
1
Oups. Je vais ajouter les détails à la question. Je vais essayer le mode sans échec demain, l'utilisateur n'en a plus le temps aujourd'hui.
Seyren
1
@ Jeff-InventorChromeOS Mettez-le en orbite! .. Je voudrais pouvoir arrêter le temps de le faire pour chaque cas :(
Seyren
@Seyren a eu la référence!
Jeff-Inventor ChromeOS

Réponses:

2

J'ai répondu à une autre question assez semblable à la tienne à Impossible d'utiliser Internet en raison d'un programme malveillant suspecté par le DNS . Là, j’ai raconté ma propre expérience de la façon dont l’un de nos utilisateurs a vécu une expérience similaire. Bien que les symptômes ne soient pas exactement les mêmes que les vôtres, il existe suffisamment de similitudes pour que vous puissiez suivre les techniques que j'ai utilisées pour aider mon utilisateur.

En outre, je constate que votre utilisateur ne dispose pas de droits d'administrateur. Je dois donc envisager la possibilité que la cause de votre problème ne soit pas répertoriée dans la liste "Ajouter ou supprimer des programmes". Vous devrez probablement désactiver un point de démarrage automatique. Certains points de démarrage automatique pour lesquels vous n'avez pas besoin de droits d'administrateur et qui sont spécifiques à l'utilisateur: cela explique probablement pourquoi le problème n'apparaît pas pour les autres utilisateurs locaux sur cette machine.

Dans ce cas, vous pouvez télécharger et exécuter les Autoruns de Sysinternals pour désactiver le point de démarrage. Autoruns est essentiellement une version optimisée de msconfig. Une fois que vous êtes dans Autoruns, allez directement à l'onglet Internet Explorer et voyez si IE charge quelque chose d'inhabituel. Allez-y et décochez toutes les entrées inhabituelles et espérons que le problème disparaisse.

user319647
source
Non, rien de suspect. Il n'y a pas de serveur proxy défini; Je l'ai vérifié à quelques reprises au cours du dépannage. Je viens d'essayer de désinstaller IE11, mais le problème se posait toujours, même lors du repli (IE10). Je vais ajouter cette information à la question, merci d'avoir essayé!
Seyren
2

Mon administrateur système a procédé comme suit pour résoudre le problème:

  1. Tuez tous les processus IE à l'aide du gestionnaire de tâches Windows
  2. Restaurez IE aux configurations par défaut: confidentialité, sécurité, etc.
  3. Redémarrer IE

C'est tout.

Alexander Mou
source
1

Si vous suspectez une 'infection' chez Baidu Hijacker, voici une référence à un article de eHow,
Comment faire pour supprimer Baidu Hijacker sur Internet Explorer

Baidu Hijacker n'est pas officiellement classé comme virus informatique.   Cependant, dans le monde de la sécurité informatique, il est connu sous le nom de PUP, ou potentiellement   programme indésirable et constitue une menace sérieuse pour la sécurité. Le nombre   formes et versions de ce pirate de navigateur le rendent extrêmement   difficile, mais pas impossible, à enlever.

La dernière section de l'article semble jeter toute la boîte à outils dessus,

Certains sites Web de sécurité et de programmes malveillants encouragent l’utilisation de plusieurs outils dans   conjonction pour nettoyer et restaurer complètement votre système. Pour   Par exemple, Kaspersky TDSSKiller supprime les infections de l’enregistrement de démarrage principal,   RKill met fin aux processus malveillants, anti-malware Malwarebytes   élimine les chevaux de Troie et autres fichiers malveillants, HitmanPro élimine   rootkits et RogueKiller cible des clés de registre malveillantes.

nik
source
Désolé, ce n'est pas ça. J'ai vérifié cette information plus tôt cependant, je vais ajouter les détails à la question.
Seyren
1

je eu exactement le même problème :)

J'ai cherché wo.com.cn dans le registre et j'ai trouvé quelque chose. Supprimé mais non suffisant Puis a donné une autre chance à Google et a trouvé ces instructions 1 :

Problème Internet Explorer met en cache les redirections de manière permanente, même si elles sont modifiées sur le serveur. Les symptômes incluent l'envoi à une ancienne destination pour une URL courte ou une autre redirection.

Solution Il semble n'y avoir aucun moyen de purger la redirection du cache du navigateur à l'aide de la fonctionnalité de purge du cache standard de l'écran de configuration des options Internet. Une méthode qui semble fonctionner.Ces instructions sont pour IE8, mais fonctionneront également dans IE9 (et pour IE11):

-Clear l'historique de votre navigateur et le cache.

-Allez dans le menu Outils et activez le mode de navigation InPrivate (navigation anonyme). Cela ouvrira une nouvelle fenêtre.

Collez l'URL d'origine de la page qui redirige de manière incorrecte dans la barre d'URL de la nouvelle fenêtre

-Vérifier que ceci redirige vers la bonne page.

-Fermez et redémarrez Internet Explorer.

Marc
source
Cela a résolu mon problème parfaitement !!!! J'aime ce post !!! Merci beaucoup Marc! Je déteste le site malveillant et le stupide IE!
Dexuan
0

Basé sur le dépannage que vous avez fait, je vous recommanderais de

Changer le moteur de recherche par défaut.

Étape changer le moteur de recherche par défaut dans Internet Explorer.

Étape 1 : Outils & gt; Gérer l'add-on

Étape 2 : Cliquez sur Search Provider

Étape 3 : Sélectionner Bing comme moteur de recherche par défaut.

Étape 4 : Clic droit et supprimer d'autres moteurs de recherche.

Faites-moi savoir si cela a aidé ou non.

Sanjeev Dogra
source
Si seulement c'était aussi simple… Le moteur de recherche est et a toujours été configuré pour Google.
Seyren
0

Je viens de rencontrer le même problème avec l'un de nos utilisateurs.

SOLUTION: Recherchez dans les fichiers Internet temporaires un fichier du même nom que votre site intranet et supprimez-le. La suppression de tous les fichiers Internet temporaires fonctionnera probablement aussi.

daykun
source
Je l'ai fait. On dirait que vous avez peut-être eu un problème différent avec les mêmes symptômes, il serait peut-être bon de le poser en tant que question Q & A distincte afin que les gens puissent le trouver facilement.
Seyren
0

J'ai eu à nouveau le problème avec IE aujourd'hui.

Voici 2 méthodes:

Méthode 1: nous pouvons contourner le problème temporairement en utilisant le mode de navigation InPrivate:

Cliquez sur Outils - & gt; Navigation InPrivate

Méthode 2: corrigeons le problème à fond

Cliquez sur Outils - & gt; options Internet 1. Cliquez sur «Supprimer ...» pour supprimer tout l'historique de navigation.

  1. Cliquez sur Paramètres: choisissez "Vérifier les nouvelles versions des pages stockées: chaque fois que je lance Internet Explorer".

    2.1 Cliquez sur «Afficher les objets» et supprimez tout le contenu des nouvelles fenêtres (par exemple, C: \ Windows \ Programmes téléchargés).

    2.2 Cliquez sur «Afficher les fichiers» et supprimez tout le contenu des nouvelles fenêtres (par exemple, C: \ Utilisateurs \\ AppData \ Local \ Microsoft \ Windows \ INetCache).

Je soupçonne que seule l’étape 2.2 est indispensable.

Dexuan
source
0

J'ai récemment fait face au même problème à mon retour de Chine.

Internet et Chrome fonctionnaient correctement sous Chrome et IE-11, à la différence que la page d'accueil de l'intranet ne se charge pas sur IE et le redirige vers wo.com.cn (page Web Baidu).

"J'ai supprimé tous les fichiers temporaires, y compris les cookies, ce qui a immédiatement résolu le problème."

ROCK
source
-1

J'ai récemment fait face au même problème à mon retour de Chine.

L'équipe informatique de l'usine de Chine a apporté des modifications à mon serveur DNS, car je ne pouvais pas accéder à ma page d'accueil intranet.

Internet et Chrome fonctionnaient correctement sous Chrome et IE-11, à la différence que la page d'accueil de l'intranet ne se charge pas sur IE et le redirige vers wo.com.cn (page Web Baidu).

J'ai supprimé tous les fichiers temporaires, y compris les cookies, ce qui a immédiatement résolu le problème.

J'espère que ça aide.

Merci

Sidd
source
Les paramètres DNS étaient corrects et j'ai essayé d'effacer les fichiers temporaires. J'aimerais vraiment avoir une machine de rechange à l'époque, j'aurais bien aimé éliminer celle-ci = /
Seyren
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.