求教 V2EXer 一个问题，我的 XP 老是在后台自动安装一些流氓软件

少装点什么卫士什么助手什么的就能避免这个问题

你可以自己用 PC Hunter 分析一下后台进程 和 服务，或者发个体检报告让大家来帮你分析。

你好 xp

下个360吧，然后扫描下，该删除删除，该优化优化，弄完后，卸载360。

重装

我安装了驱动人生然后就一大堆百度的软件了什么PPS,iQiyi之类的了.

XP是不是用Ghost装的？ 那些所谓的YLMF啊深度啊都带有推广安装
你这个就比较狠了 一般都是新装好安装一次就自动删除了
把那些安装上的软件都删掉 然后看看有什么可疑的进程 另外其实自动安装正常软件应该还没法触发杀毒软件的防御 所以你装的毒霸没用。。。估计只有360那样的敏感程度会提醒你
另外 你什么都不贴 怎么解决问题

干净的软件源、相对干净的软件养成习惯可破
现在检查一下你电脑上安装的东西吧，顺便用360的急救箱/金山的顽固木马专杀/诺顿的NPE扫描一下（虽然360和诺顿容易“修复”一些不必要的东西）

顺便一提XX杀毒和卫士对此都无能为力，如果你想要比较好的监控这些请安装HIPS……但是规则调试的时间成本会很高

首先你确定你的xp本身没问题么，ghost藏毒已经不是什么稀奇的事了。。

@dangge 也有不少ghost没问题的，现在号称ylmf和深度的都是冒牌货…… 哦对了 有个简单直观的检测办法(无需全面扫描+SFC /SCANNOW )360系统急救箱的系统文件修复对这类修改货几乎是百发百中……

@momo5269 印象中我给别人装机 08年之前的XP都没事 新下载的那些都捆绑一堆

@dangge 那时候还是原来的雨林深度，撑死带着主页捆绑之类或者几个常用软件，不会像现在这样丧心病狂的一堆被修改的系统文件……

[PC Hunter Standard][Port]: 60
协议 本地地址 远程地址 连接状态 进程Id 进程路径
Tcp 127.0.0.1 : 1366 127.0.0.1 : 1367 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 127.0.0.1 : 1367 127.0.0.1 : 1366 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1651 61.147.113.26 : 8000 CLOSE_WAIT 3540 C:\Program Files\goodPic\goodPicAp.exe
Tcp 172.22.0.26 : 1782 223.202.6.26 : 80 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1791 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1792 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1772 173.194.127.98 : 443 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1793 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1766 203.208.46.161 : 443 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1525 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1510 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1511 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1512 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1513 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1514 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1763 173.194.127.98 : 443 FIN_WAIT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Tcp 172.22.0.26 : 1515 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Tcp 172.22.0.26 : 1759 203.208.46.209 : 443 TIME_WAIT 0
Tcp 172.22.0.26 : 1785 114.112.93.46 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1788 221.228.204.123 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1760 114.112.67.221 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1757 203.208.37.19 : 443 TIME_WAIT 0
Tcp 172.22.0.26 : 1761 114.112.67.221 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1754 203.208.46.212 : 443 TIME_WAIT 0
Tcp 172.22.0.26 : 1755 203.208.37.20 : 443 TIME_WAIT 0
Tcp 172.22.0.26 : 1768 119.147.146.206 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1642 218.76.78.18 : 80 TIME_WAIT 0
Tcp 172.22.0.26 : 1756 203.208.46.209 : 443 TIME_WAIT 0
Tcp 0.0.0.0 : 1026 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
Tcp 0.0.0.0 : 80 0.0.0.0 : 0 LISTENING 1704 D:\EmpireServer\php\apache2.2\bin\httpd.exe
Tcp 0.0.0.0 : 3306 0.0.0.0 : 0 LISTENING 2108 D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe
Tcp 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 System
Tcp 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 996 C:\WINDOWS\system32\svchost.exe
Tcp 0.0.0.0 : 8091 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
Tcp 0.0.0.0 : 1043 0.0.0.0 : 0 LISTENING 3540 C:\Program Files\goodPic\goodPicAp.exe
Tcp 192.168.88.254 : 139 0.0.0.0 : 0 LISTENING 4 System
Tcp 0.0.0.0 : 443 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
Tcp 127.0.0.1 : 8086 0.0.0.0 : 0 LISTENING 4856 C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe
Tcp 0.0.0.0 : 6631 0.0.0.0 : 0 LISTENING 3540 C:\Program Files\goodPic\goodPicAp.exe
Tcp 127.0.0.1 : 1027 0.0.0.0 : 0 LISTENING 2884 C:\WINDOWS\system32\alg.exe
Tcp 127.0.0.1 : 8087 0.0.0.0 : 0 LISTENING 4856 C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe
Udp 192.168.88.254 : 138 * : * 4 System
Udp 0.0.0.0 : 1047 * : * 1512 C:\WINDOWS\system32\spoolsv.exe
Udp 192.168.88.254 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
Udp 127.0.0.1 : 1394 * : * 5160 C:\Program Files\Mozilla Firefox\firefox.exe
Udp 127.0.0.1 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
Udp 172.22.0.26 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
Udp 192.168.88.254 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
Udp 0.0.0.0 : 6631 * : * 3540 C:\Program Files\goodPic\goodPicAp.exe
Udp 127.0.0.1 : 1050 * : * 2808 C:\Documents and Settings\audit\Application Data\dx\dxime\dximecikuUpdate.exe
Udp 0.0.0.0 : 3456 * : * 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
Udp 127.0.0.1 : 1054 * : * 2828 C:\WINDOWS\explorer.exe
Udp 127.0.0.1 : 1729 * : * 3796 C:\Documents and Settings\audit\桌面\PCHunter_PortableSoft\PCHunter32.exe
Udp 192.168.88.254 : 137 * : * 4 System
Udp 127.0.0.1 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
Udp 127.0.0.1 : 1524 * : * 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
Udp 172.22.0.26 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
Udp 0.0.0.0 : 1325 * : * 5912 C:\Program Files\Tencent\QQ\QQProtect\Bin\QQProtect.exe
Udp 0.0.0.0 : 445 * : * 4 System
Raw --- --- --- 4 System

我怀疑是Goodpic这个进程有问题

我一直认为360是垃圾软件，所以也一直没有敢用它
@momo5269 谢谢您的分析

进程

System - System -
httpd.exe - D:\EmpireServer\php\apache2.2\bin\httpd.exe - Apache Software Foundation
kxetray.exe - C:\Program Files\kingsoft\kingsoft antivirus\kxetray.exe - Kingsoft Corporation
Univers.exe - C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe -
smss.exe - C:\WINDOWS\system32\smss.exe - Microsoft Corporation
csrss.exe - C:\WINDOWS\system32\csrss.exe - Microsoft Corporation
winlogon.exe - C:\WINDOWS\system32\winlogon.exe - Microsoft Corporation
LiveUpdate360.exe - C:\Program Files\360\360safe\LiveUpdate360.exe - 360.cn
360Tray.exe - C:\Program Files\360\360safe\safemon\360Tray.exe - 360.cn
services.exe - C:\WINDOWS\system32\services.exe - Microsoft Corporation
dximecikuUpdate.exe - C:\Documents and Settings\audit\Application Data\dx\dxime\dximecikuUpdate.exe -
lsass.exe - C:\WINDOWS\system32\lsass.exe - Microsoft Corporation
kxescore.exe - C:\Program Files\kingsoft\kingsoft antivirus\kxescore.exe - Kingsoft Corporation
QQ.exe - C:\Program Files\Tencent\QQ\Bin\QQ.exe - Tencent
conime.exe - C:\WINDOWS\system32\conime.exe - Microsoft Corporation
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
QQ.exe - C:\Program Files\Tencent\QQ\Bin\QQ.exe - Tencent
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
360Safe.exe - C:\Program Files\360\360safe\360Safe.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe - Microsoft Corporation
firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe - Mozilla Corporation
explorer.exe - C:\WINDOWS\explorer.exe - Microsoft Corporation
httpd.exe - D:\EmpireServer\php\apache2.2\bin\httpd.exe - Apache Software Foundation
DhMachineSvc.exe - C:\Program Files\Microsoft Device Health\DhMachineSvc.exe -
inetinfo.exe - C:\WINDOWS\system32\inetsrv\inetinfo.exe - Microsoft Corporation
sqlservr.exe - C:\Program Files\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\sqlservr.exe - Microsoft Corporation
QQProtect.exe - C:\Program Files\Tencent\QQ\QQProtect\Bin\QQProtect.exe - Tencent
mysqld-nt.exe - D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe -
RaRegistry.exe - C:\Program Files\baidu\小度WiFi\RaRegistry.exe - Ralink Technology, Corp.
sqlwriter.exe - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe - Microsoft Corporation
svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
goagent.exe - C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\goagent.exe - goagent.org
PinyinUp.exe - C:\Program Files\SogouInput\6.2.0.7270\PinyinUp.exe - Sogou.com Inc.
AlipaySecSvc.exe - C:\Program Files\alipay\alieditplus\AlipaySecSvc.exe - Alipay Inc.
SoftMgrLite.exe - C:\Program Files\360\360safe\SoftMgr\SML\SoftMgrLite.exe - 360.cn
alg.exe - C:\WINDOWS\system32\alg.exe - Microsoft Corporation
ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe - Microsoft Corporation
BwifiWinManager.exe - C:\Program Files\baidu\小度WiFi\BwifiWinManager.exe - 百度在线网络技术（北京）有限公司
PCHunter32.exe - C:\Documents and Settings\audit\桌面\PCHunter_PortableSoft\PCHunter32.exe - 一普明为（北京）信息技术有限公司
python33.exe - C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe -
WindowsXP-KB939373-x86-CHS.exe - C:\Program Files\360\360safe\hotfix\WindowsXP-KB939373-x86-CHS.exe - Microsoft Corporation
ZhuDongFangYu.exe - C:\Program Files\360\360safe\deepscan\ZhuDongFangYu.exe - 360.cn
update.exe - D:\33a65a06e375fcbabbc04d61\update\update.exe - Microsoft Corporation
SogouCloud.exe - C:\Program Files\SogouInput\6.2.0.7270\SogouCloud.exe - Sogou.com Inc.
Idle - Idle -

@yache 国内厂商的软件本体多半都是垃圾 但是提供的工具都挺好用的 本体查不出来的都查得出来
两小时前还遇到一个组策略阻止这些工具启动但是不阻止卫士和杀毒的（百度卫士百度杀毒金山毒霸）
…………


那啥，使用PowerTool或者查看XueTr进程吧