拆解91大事件:浏览器劫持的常见迹象 — 以及你能做什么 · 我把全过程写出来了

拆解91大事件:浏览器劫持的常见迹象 - 以及你能做什么 · 我把全过程写出来了

引言 近日出现的“91大事件”让我亲历了一次典型的浏览器劫持(Browser Hijack)清理过程。整件事从一个看似普通的主页变更开始,最后演变成搜索被劫持、频繁弹窗和默认浏览器被篡改。把我复原整个过程记录下来,目标是帮你快速识别、隔离并彻底清除浏览器劫持,避免重复踩坑。

一页速查:遇到浏览器劫持时的急救步骤(1–5分钟)

  • 断网:先断开网络(拔网线或关闭Wi‑Fi),阻断进一步通讯。
  • 关闭浏览器并结束相关进程(任务管理器)。
  • 在另一台安全设备上查找处理步骤或下载清洁工具。
  • 使用受信任的反恶意软件工具进行离线扫描(见下面工具建议)。
  • 备份重要书签与密码(若可能,先导出离线备份)。

常见迹象:你的浏览器可能被劫持了

  • 主页或新标签页被替换为陌生网站(且无法恢复)。
  • 默认搜索引擎被更改,搜索结果被重定向到不熟悉的站点。
  • 浏览器里出现你没安装过的扩展或工具栏。
  • 页面频繁弹出广告或广告位异常增多。
  • 浏览器启动后自动打开广告或未知网页。
  • 地址栏显示与实际页面不符或有大量重定向(URL被伪装)。
  • 浏览器设置项被灰化,无法修改(例如主页或搜索引擎一项)。
  • 系统托盘/启动项出现可疑程序,浏览器崩溃或变慢。
  • HTTPS证书警告频发或被提示连接不安全(需警惕 MITM 行为)。

我做了什么:从发现到彻底清理的全过程(实操回放) 1) 发现与隔离

  • 发现异常:在启动浏览器时自动打开了一个陌生的推广页面,搜索结果不断跳转。
  • 立刻断网并关闭受影响的浏览器窗口。避免在受感染环境下输入密码或进行金融操作。

2) 初步检测(在安全环境下)

  • 用另一台没有感染的设备在网上查找该劫持域名和相关报毒记录。
  • 在受感染的电脑上用任务管理器查看是否有异常进程,记录可疑进程名称。

3) 启动到安全模式与排查启动项

  • 在安全模式下启动系统(或使用带网络的安全模式视情况而定),这样能阻止某些劫持组件加载。
  • 检查启动项(Windows:任务管理器→启动项 / msconfig;Mac:系统偏好设置→用户与群组→登录项),禁用不明程序。

4) 扫描与清除恶意软件

  • 使用多款受信赖工具扫描:Malwarebytes、AdwCleaner、HitmanPro(这些对广告软件/劫持工具效果好)。
  • 运行全盘扫描并处理所有发现项,之后重启并复查。

5) 浏览器内直接清理

  • 扩展:逐一禁用并删除不认识或可疑的扩展。
  • 设置重置:将主页、新标签页、默认搜索引擎恢复为你熟悉的设置(Chrome:设置→重置并清理→恢复设置到原始默认值;Firefox:帮助→疑难解答信息→刷新Firefox)。
  • 清除缓存、Cookie和网站数据。
  • 检查浏览器快捷方式:右键快捷方式→属性→目标中是否被追加了可疑参数(例如在目标末尾追加了某个URL),若有,删除这些参数。

6) 系统级排查(代理、Hosts、证书、注册表)

  • 代理设置:检查系统与浏览器代理设置,确认没有被修改(Windows:设置→网络和Internet→代理)。
  • Hosts 文件:检查 C:\Windows\System32\drivers\etc\hosts(Windows)或 /etc/hosts(Mac/Linux),删除任何异常条目。
  • DNS 缓存:运行 ipconfig /flushdns(Windows)或 sudo dscacheutil -flushcache(Mac)清理。
  • Winsock 重置(Windows):在管理员命令提示符下执行 netsh winsock reset,然后重启。
  • 证书:检查受信任根证书和个人证书存储,删除不明证书(仅限熟悉操作的人)。
  • 注册表(Windows 高级):若确认是注册表项导致且有备份经验,可删除对应恶意启动项(HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run 等)。不熟悉请跳过或找专业人员。

7) 检查并清理浏览器相关文件与程序

  • 卸载可疑程序:控制面板→程序和功能中卸载不认识的软件。
  • 删除残留:在 %appdata%、%localappdata% 下查找并删除可疑文件夹(例如与劫持域名相同命名的文件夹)。

8) 恢复与加固

  • 重置所有被篡改的密码(优先邮箱、银行、常用社交)。
  • 为重要服务启用双因素认证。
  • 重新安装浏览器(若问题复杂且持续存在,可以先导出书签然后彻底卸载再重装)。
  • 观察数日确认无复发;必要时建立系统还原点或备份映像以便未来恢复。

工具与资源建议(我用过而且有效)

  • Malwarebytes(查广告软件、PUPs、恶意程序)。
  • AdwCleaner(专门清理广告软件、劫持项)。
  • HitmanPro(作为二次扫描,发现遗漏项)。
  • Chrome/Firefox 的官方重置或刷新功能。
  • VirusTotal:可用来检验可疑文件或URL是否被多家引擎标记。

如果无法清除/还在被劫持

  • 在安全模式下备份重要数据,然后考虑重装系统。
  • 若你手头资料非常重要,优先备份重要文件到外部介质再操作。
  • 咨询专业技术支持或可信的电脑维护服务,避免交给不明第三方远程工具。

预防清单:减少未来被劫持的几条实用习惯

  • 只从官方或正规渠道下载软件和浏览器扩展。
  • 安装并定期更新可信的安全软件。
  • 对扩展定期清理,只保留必要且可信的扩展。
  • 下载时仔细读安装界面,避免默认勾选的附带软件。
  • 使用非管理员账户进行日常操作,管理员权限仅用于安装软件。
  • 定期备份书签与重要数据,并保存离线拷贝。
  • 关注浏览器与系统更新,及时打补丁。