传奇私服劫持网页问题的解决过程

今天某位网友在下载打开了多个私服登录器后，访问某些传奇私服网站，开始出现劫持跳转到别的网站的现象。远程前网友已经用过360卫士杀毒以及360急救箱强力模式了，但问题并没有解决。

一般中私服病毒的都会用360官网的360急救箱强力模式两遍，排查可能存在的rootkit。少数情况下急救箱会被rootkit针对无法正常工作，但网友的明显不是这个问题。

远程时，我查看了一遍inetcpl.cpl，连接，局域网设置，没有设置自动配置脚本。

里面的勾选去掉后点确定，再重新打开也没有自动勾选上，说明相关注册权限正常，否则可以用我的工具fixautocfgurl.exe解决这里的权限问题。

任务管理器详细信息界面设置显示进程路径，按路径排列，没发现可疑路径的进程。传奇私服的白加黑木马的进程名一般是随机的很容易区分。

运行ncpa.cpl，找到当前网络连接，属性，ipv4属性，检查DNS，发现非常见DNS，应该是劫持。

去掉问题DNS后，再管理员cmd执行命令ipconfig /flushdns刷新DNS缓存，再次打开浏览器访问问题网页，没有劫持了！还有问题的话，清理下浏览器缓存就可以了。

为了避免复发，下载Autoruns检查一遍有没病毒启动项，果然发现两个可疑启动项：

第一个随机名的是白加黑木马，劫持自动配置脚本的；第3个是锁定DNS的，两者都可能导致劫持。

删除完启动项和病毒文件，让网友重启测试下有没复发。本以为问题解决了，断开远程后，网友却说问题没有解决？？？

继续连上远程。用360浏览器访问网友发的私服网址，正常，没有跳转，跟我电脑访问一模一样。换了ie浏览器访问也正常。于是让网友演示一遍劫持现象。然后就看到网友打开微信聊天记录，点开问题网址，用微信内置浏览器复现了劫持问题。。。

呃，这大概率是浏览器缓存问题，问题是不知道微信内置浏览器缓存在哪里？虽然可以通过设置取消用内置浏览器访问网址，但这只能算妥协的办法。

存储空间管理里清理缓存的方法不管用。最后我用procmon监控微信相关进程的WriteFile事件，在微信里点开网址，看到了写缓存的路径：

%appdata%\Tencent\WeChat\radium\web

退出微信或结束WeChatAppEx.exe进程后，删除上述路径，之后再次点开问题网址，问题解决！