客户机浏览器网址被劫持怎么回事？

问题现象：
客户突然联系过来，问我是不是做了什么，网吧客户机网址被劫持了，打开就会跳转。



排查过程：
用基础包-默认配置启动测试也是这样，怀疑和易乐游有关，就联系易乐游客服。
检查客户机发现有两个异常进程在，一个是系统随机目录下的svchost.exe和一个属性名360杀毒安全接口的随机进程。（忘了 截图了）
尝试结束进程，无法结束。检查启动项也只有我设置的一个占位一卡通桌面的，修改客户机的dns也无效。

服务器上打开网页正常，检查路由器策略设置等也没有问题。
系统包用的是网吧三国包，技术对比后发现客户机的浏览器属性和桌面显示和包里面默认的不一样，系统包被修改了，就把镜像重新解压在添加一次，启动测试也是一样。
尝试把开机启动项停止，客户机重启就正常了，不会生成那两个异常进程，浏览器也不会跳转。
启动项是自己设置的，检查过是没有问题的，把命令删除后，保存启动项，还是依旧。
把启动项拉到最后面发现问题，在启动项最下面，被添加了个批处理。


处理办法：
删除启动项里面的这行批处理就可以了。

ps:感谢易乐游的客服帮忙，这个批处理不是我自己添加，应该是被人远程添加的，修改服务器密码，修改远程端口和密码。在观察看下吧。