Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

@jerrytom0007 这个我也遇到了，但奇怪的是，ie 或 edge 跳转的初始链接是在 go.microsoft.com 下，网上搜了下跳转后的小尾巴，发现很久以前就有了，有人说是百度给了微软钱？真是没能理解，微软要跳也应该是自家的必应啊。
有种可能性是 go.microsoft.com 被外部利用了

已经切到 Windows 的安全模式下调试了，有进展马上更新到帖子里

@hhacker

从你的描述来看，估计是 dll 注入啊。你用 Process Explorer 看看是不是外挂了什么奇怪的 dll 到 chrome.exe 进程里去。。

@hhacker 我的卸载后已经彻底解决。至于原理，我是外行，真的不懂。

装个 cFosSpeed 监控下连接试试？他能看到当前活动的 TCP 和 UDP 连接以及对应的程序和端口。

@est 应该不是注入到 chrome.exe 了，而是其它什么进程
安全模式无法重现这些奇怪的 DNS 请求，确认是中招了

赶上了直播查问题

@fonlan 我试试这个，排除法太难做了

可以用 glasswire 来分析以下到底是哪个进程。

是不是 win10 自带的那些小程序……

Wireshark 抓包，看 DNS 请求源端口。
然后在命令行运行 netstat -anop udp 看本地监听 UDP 端口的进程列表，对比确定发送 DNS 请求的进程。

跟进。

我的 chrome 也有一些奇怪的请求...看描述跟我原来挺相似的，后来直接重装好了

@V4Exp 用 procmon 能看到 dns 请求，但是是 windows 服务 dnscache 发出的。。。。

要是系统组件的 dll 被挂了钩子了这种情况太难找了.
先检查检查进程命令行和服务吧,看看有没有什么可疑的.

微软的 Background Intelligent Transfer Service 被利用？

怀疑是 bootkit，现在的广告投放技术越来越先进了。
如果没有特殊需求，不要关闭安全启动，一定要用微软官方的工具装，不要用 PE 安系统。
在 OS 的 bootloader 之前加载了 bootkit 的话，系统里面是看不出来的。不清楚是不是 bootkit 导致的系统启动出现问题。

等真相

对不住支招的各位，目前的这个异常访问的情况超出我的处理能力了，无力反抗

最后补充一个信息
在网关层面监控了流量，也没有访问到 2345 等网站
真真正正只是 DNS 请求而已，绕过 hosts 向系统设置的主 DNS/副 DNS 发起的请求，我只能以阿 Q 精神结束此事:
这是 ThinkPad OEM win10 的附带隐藏“福利”
(没错!我一台新机器，这锅你就得背!)