IE DNS 查询被百度劫持

我有一个用户最近去了一趟中国。他回来后，尝试导航到他的任何书签都会转到这个网址：

http://nfdnserror1.wo.com.cn:8080/issueunziped/nf20140811/index.html?UserUrl=<the URL>

该页面基本上就是中文搜索引擎百度，搜索字段填写了 UserUrl 查询字符串。该 URL 看起来可能应该是自定义 DNS 查找失败页面。

该书签似乎没有被修改。直接导航到 URL 也会重定向到此页面。看起来只有书签中的 URL 受到影响，如下所示：

---

不正常（存在于书签中）

http://<internal server name>/<subsite name>/

好的

http://<internal server name>/

http://<internal server FQDN>/<subsite name>/

---

该问题仅限于 IE11 和该特定用户帐户。Chrome 和 Firefox 完全没有这个问题，单独的本地帐户上的 IE11 也没有这个问题。

操作系统是 Windows 7 Pro x64。

我已经检查并完成了以下操作：

• DNS 设置正确
• 刷新 DNS 缓存
• Hosts 文件没有问题
• 无需额外的 IE 插件
• 重置 IE（Internet 选项 -> 高级 -> 重置 IE）
• HiJackThis 没有捕获与此相关的任何内容
• Malwarebytes 发现了几个注册表项，这些项似乎是意外安装的工具栏遗留的，但隔离它们却没有任何作用
• 新书签没有这个问题
• 删除旧书签并导航至该 URL 后问题仍然出现
• 没有运行任何可疑进程或安装任何新服务
• Program Files 文件夹中没有 Baidu 文件夹
• 百度工具栏从未安装过
• 检查没有设置代理服务器
• 检查了 MSconfig，没有意外启动程序或服务
• 运行了 Sysinternals 的 Autoruns，但没有发现任何可疑内容

用户没有管理员权限，因此他们无法自行安装任何东西。有其他人遇到过类似的问题吗？

---

我卸载了 IE11，但问题仍然存在。奇怪的是，它现在只发生在一个特定的 URL 上，它是我们与之建立双向信任的单独域中的服务器的单个标签名称。我们使用 GPO 中定义的客户端 DNS 后缀来解决这些问题。与以往一样，问题仍然只发生在 IE 上（尽管现在是 IE10），并且只发生在这个用户的帐户上。我可能会将它们迁移到另一台机器上，但最好先解决这个谜团。