你以为在找黑料网，其实在被引到浏览器劫持 · 我把全过程写出来了

2026-01-19 12:48:03 文化社区 0 242

前几天我本来只是随手搜了一条小道消息，点了一个看起来“相关度高”的搜索结果，接下来发生的事情让我坐不住：页面瞬间跳转好几次，地址栏不停闪烁陌生域名，弹出一堆“你的电脑有问题”“点击这里修复”的广告，浏览器主页和默认搜索被替换，甚至多了几个我没安装过的扩展。起初我以为是误点了什么，后来查清楚才知道：这不是普通广告，是一次典型的浏览器劫持（browser hijack）过程。下面把我遇到的全过程、如何查清来源和彻底清理的步骤都写出来，给碰到类似情况的人做个参考。

一、劫持是怎么发生的（简单还原流程）

搜索/点击：从搜索引擎或外部链接进入含有恶意广告/脚本的页面。
重定向链：页面通过嵌入的广告或开放重定向（open redirect）把请求一环接一环地转向垃圾页面或下载页面。
利用漏洞或诱导下载：有的页面会弹出伪装成“更新/修复/播放器”的安装提示，通过社会工程学诱导你下载并运行程序；也有只靠浏览器扩展或脚本就能更改设置。
改写设置与持久化：一旦恶意程序或扩展获得权限，会修改浏览器默认搜索、主页、安装劫持扩展、改写快捷方式 target、在系统启动项或计划任务中加入自身，实现重启后仍然存在。
广告/追踪变现：最终目的通常是靠流量变现、插入广告、劫持搜索结果进行流量劫持或推广付费产品，有时还会植入更危险的恶意软件或窃取数据。

二、常见表现（遇到这些就要警惕）

浏览器主页或默认搜索突然被改成陌生网站
新安装你没授权的扩展或者书签
经常被强制重定向到广告/下载页
频繁弹出“系统有问题”“下载修复”的广告
搜索结果被篡改，显示大量低质量推广链接
浏览器打开缓慢或频繁崩溃

三、我如何一步步查清楚来源（排查方法）

回顾最近的点击和安装记录：检查最近安装的软件、扩展、下载文件，尤其是免费工具、破解、软件捆绑安装器。
检查浏览器扩展：打开扩展管理页，一个个禁用/删除可疑的扩展并重启浏览器。
看浏览器快捷方式：右键快捷方式 → 属性 → 目标（Target），检查后面是否被附加了奇怪的 URL 参数。
查看主页/搜索设置：在设置里查看默认搜索引擎与主页是否被篡改。
检查系统启动项与计划任务：任务管理器的“启动”选项卡或系统的计划任务里是否有异常项。
本地文件与Hosts：Windows 的 hosts 文件（C:\Windows\System32\drivers\etc\hosts）和常见目录是否有被修改的痕迹。
网络流量与重定向链：通过安全工具或开发者工具（F12）观察页面加载时的请求链，识别中间的可疑域名或广告网络。

四、彻底清理流程（实操步骤）按顺序做，避免半途而废导致残留。

1) 断开网络（可选）：如果怀疑正在下载或连接恶意域名，先断网或断开Wi‑Fi。 2) 卸载可疑程序：

Windows：控制面板 → 程序和功能，按时间排序，卸载最近安装的可疑软件。
macOS：应用程序中删除不明软件，检查“系统偏好设置 → 描述文件/管理配置”是否有可疑配置文件。 3) 删除可疑浏览器扩展：
Chrome/Edge/Firefox：逐个禁用并删除不熟悉的扩展，随后重启浏览器。 4) 恢复浏览器设置：
在浏览器设置中重置到默认值（这会清除主页、搜索引擎、固定标签页等）。
检查并修复快捷方式 target 字段。 5) 使用杀软与专用清理工具：
推荐工具：Malwarebytes、AdwCleaner（由 Malwarebytes 出品）、Windows Defender 扫描。运行全盘扫描并清除检测到的威胁。 6) 检查启动项与计划任务：
Windows：任务管理器 → 启动；以及“任务计划程序”中查看可疑任务并删除。
macOS：登录项（系统设置 → 用户与群组 → 登录项）。 7) 检查 hosts 和 DNS：
hosts 文件恢复默认（只有非常了解的人才编辑hosts），可删除所有非本机的强制映射。DNS 若被改为陌生解析器，改回信任的 DNS（例如 1.1.1.1 或 8.8.8.8）。 8) 清除浏览器缓存与Cookie，重启系统。 9) 复查并观察：清理后观察几天，确认不再重现劫持行为。

五、手机端（Android / iOS）简要处理