遇到个不知道是哪个程序放的广告,谁知道吗?

2017-11-26 19:50:29 +08:00
 shendaowu
用 Windows spy 获取程序名后在任务管理器里找,然后打开所在文件夹。不是任何一个软件所在的文件夹。看路径是临时文件夹。这个:C:\Users\<user name>\AppData\Local\Temp\PZYTOOLS。程序名是 XFIXER.exe 。广告应该是腾讯电脑管家。广告里只说电脑管家。百度搜索电脑管家结果全是腾讯电脑管家。过了一会这个广告居然自己消失了,也没法继续研究了。某个文件里有两个 IP,我用百度没搜到什么信息。
[SERVERIP]
MainServer=123.151.71.34
BackServer=219.133.60.246
截图和文件: https://pan.baidu.com/s/1o8dxvuU
5868 次点击
所在节点    全球工单系统
25 条回复
lynn19920229
2017-11-26 23:03:13 +08:00
我的两台电脑都先后遇到相同的情况。问题是其中一台都没装什么国产软件,最大的可能就是金山卫士或者福昕阅读器。其余的百度网盘和阿里巴巴都和腾讯死对头,应该不会帮打广告吧?
morethansean
2017-11-26 23:58:35 +08:00
...就是这个……这两天疯狂地弹啊……并没有安装腾讯电脑管家……
shendaowu
2017-11-27 07:33:49 +08:00
@lynn19920229
@morethansean
好像有能记录哪个软件运行了哪个软件和创建了哪个文件的软件。用 Bing 能搜到,用谷歌应该能搜到更多。但是安装这种软件之前运行的软件和创建的文件应该是没法知道,好像只能安装之后等待广告下次弹出。微软好像提供了这种工具,官网能下载。不过我在安全方面有洁癖,能不安装的软件我就不安装。另外那个软件可能不是微软官方开发的,我不能确定。你俩要不要试试?
lynn19920229
2017-11-27 09:11:20 +08:00
@shendaowu 搜了一下,感觉你说得太模糊真没搜出来,求个关键词。我用 software record creating files microsoft 啥都没有。。
chocolatesir
2017-11-27 09:50:44 +08:00
昨晚毛豆弹窗提示 XFIXER.exe 尝试联网并修改文件,连接 ip 是 113.105.95.120 我也好奇这个文件到底是什么鬼,网上的信息挺少的。
lynn19920229
2017-11-27 09:58:00 +08:00
dll 的签名是腾讯的,估计就是常年驻留的 QQprotect 搞的鬼吧。。

另外说个相关的,我电脑的 ie 总有推荐使用 qq 浏览器的插件植入到网页,我到现在都没查出到底怎么插的。。

所以,有钱就可以为所欲为吗?!
chocolatesir
2017-11-27 10:23:44 +08:00
毛豆提示:

文件目录

然后把 XFIXER.exe 传 viruscan,只有 F-port 检出

谷歌了下毛豆拦截的 ip,有个结果是 viruscan 的,看上去 ip 就是腾讯安全管家的,但是我电脑腾讯系的就 qq

http://a.virscan.org/0e76e2951200e77557935d49df8f73f7
怕是 QQ 又暗地里做见不得人的事了。
附上 virscan 检测页面:
http://r.virscan.org/report/7a39940fab74608f68c1d627d656381a
shendaowu
2017-11-27 11:03:18 +08:00
@lynn19920229 find which software create this file 我是用 bing 国际版搜的。就是上面那个国内版和国际版的标签。搜英文会提示切换到国际版。国内版也能搜到一个。
shendaowu
2017-11-27 11:09:06 +08:00
@lynn19920229 也许应该把那些文件彻底删掉。没准那个程序会自己启动不需要其他软件。
shendaowu
2017-11-27 11:54:30 +08:00
@lynn19920229
@morethansean
忘了说了,这种记录软件好像很消耗存储空间。应该也会影响 CPU 和读写效率吧?
lynn19920229
2017-11-27 15:08:45 +08:00
搜到了一个 Process Monitor,不知道是不是你说的?我把文件夹删了,看看他还会不会自动生成,有的话就再删掉专门监视 qqproject
acess
2017-11-27 17:20:50 +08:00
我也碰到了。
VirusTotal:
https://www.virustotal.com/#/file/4008b9d26798b9ae65970a095f351aa89d6276feb213eb7215e715ee2be73cd9
acess
2017-11-27 17:28:27 +08:00
这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ,应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t
%temp%里除了 PZYTOOLS 这个目录,还出现有别的几个文件:QXREPAIR1.DLL 、ramax.exe (这俩都是腾讯的有效数字签名)

PS:几天前还出现过 QQ 浏览器的推送,数字签名是腾讯,父进程是 explorer.exe:
https://www.v2ex.com/t/408406
acess
2017-11-27 17:36:57 +08:00
@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。
acess
2017-11-27 17:40:43 +08:00
@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
@shendaowu Windows 有审核功能的,可以组策略开启,配置监视哪些地方,然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……
acess
2017-11-27 17:43:55 +08:00
@lynn19920229
媒体报道找到了:
http://www.freebuf.com/articles/system/130226.html
acess
2017-11-27 18:42:59 +08:00
QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ,两个进程加载的是不同位置下内容一样的两个文件。

gjdatareport.dll 已传 VirusTotal:
https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc

XFIXER.exe 加载的是%appdata%\Tencent\Common\下的;
QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。

看了时间顺序(不一定代表逻辑关联),大概是这样的:
1.systemprofile 下的 gjdatareport.dll 被创建
2.QQProtect.exe 加载 gjdatareport.dll
3.XFIXER.exe 启动
4.%appdata%下的 gjdatareport.dll (很长一段时间前,这个文件就被创建了)被更新
这前后也就几分钟吧……

gjdatareport.dll 这个文件还被加壳了……
lynn19920229
2017-11-27 20:45:07 +08:00
@acess 从你发的网页里面的图片来看,是腾讯自己下手的没错了。。一直嫌烦而关掉 UAC 的我现在正在反思是不是要开着比较好。。
acess
2017-11-27 21:12:41 +08:00
@lynn19920229 我就是 UAC 开到顶的啊,UAC 管不着这个的,腾讯安装服务了,你已经给它管理员权限了。
UAC 这玩意……微软早就说了,绕过也不是安全漏洞。对管理员来说,它只是个防手贱的功能。
lynn19920229
2017-11-27 21:17:27 +08:00
@acess 好绝望啊(允悲脸) 360 和百度系软件我还说可以一个不用,但是在中国就不可能完全不用腾讯系啊。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/409697

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX