没碰到过，不太清楚……
系统还能启动，那说明还是只有部分 exe 不能运行。
也许是某个运行库的 dll 出问题了，导致所有要用这个 dll 的 exe 都崩，版本不对、中毒、硬盘损坏，等等。
还有可能是木马病毒，dll 被劫持（比如 IFEO 什么的），或者被篡改。

@lynn19920229
推个电脑管家本身我觉得都不算啥了，弹窗也就是有点烦人。
就是不知道他们对隐私会做什么……

@lynn19920229
虽然 UAC 能绕过，但微软设计这玩意也不是完全放着它被绕过的，各种公开的绕过手段还是在修补，只是不当做安全漏洞来推补丁，是大版本更新时附带着修。
微软还把 UAC 和 IE 和 Office 的保护模式沙箱绑定了(Win10 1703 好像不是这样了)，这个可能要注意一下。
很多软件都会注册计划任务或服务，可以一直拿着管理员权限。
还有，就算程序没管理员权限，也可以给当前用户注册自启的，还能干很多事情，可以说限制还是很少。

@lynn19920229 我就是 UAC 开到顶的啊，UAC 管不着这个的，腾讯安装服务了，你已经给它管理员权限了。
UAC 这玩意……微软早就说了，绕过也不是安全漏洞。对管理员来说，它只是个防手贱的功能。

QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ，两个进程加载的是不同位置下内容一样的两个文件。

gjdatareport.dll 已传 VirusTotal:
https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc

XFIXER.exe 加载的是%appdata%\Tencent\Common\下的；
QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。

看了时间顺序（不一定代表逻辑关联），大概是这样的：
1.systemprofile 下的 gjdatareport.dll 被创建
2.QQProtect.exe 加载 gjdatareport.dll
3.XFIXER.exe 启动
4.%appdata%下的 gjdatareport.dll （很长一段时间前，这个文件就被创建了）被更新
这前后也就几分钟吧……

gjdatareport.dll 这个文件还被加壳了……

@lynn19920229
媒体报道找到了：
http://www.freebuf.com/articles/system/130226.html

@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
@shendaowu Windows 有审核功能的，可以组策略开启，配置监视哪些地方，然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……

@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。

这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ，应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t
%temp%里除了 PZYTOOLS 这个目录，还出现有别的几个文件：QXREPAIR1.DLL 、ramax.exe （这俩都是腾讯的有效数字签名）

PS：几天前还出现过 QQ 浏览器的推送，数字签名是腾讯，父进程是 explorer.exe：
https://www.v2ex.com/t/408406

我也碰到了。
VirusTotal：
https://www.virustotal.com/#/file/4008b9d26798b9ae65970a095f351aa89d6276feb213eb7215e715ee2be73cd9

@flynaj
还真没注意权限……
不过，随便找了一个服务，和一个 HKCU 里注册自启的进程，没特权的 procexp 都能正确显示自启。

现在看比较像是 QQ 推的。因为文件名虽然是 5 位随机字母，但是也不复杂，如果不是腾讯而是其他人搞的流氓推广，好像没包含渠道（不过也有可能是存在一个配置文件里，我没看见）

@EXChen 参考贴吧那个帖子，下次也许可以试试干掉 taskhostw.exe

@gamelyking 就算你不点开它，系统启动时也是会加载它的保护驱动的（貌似是火绒提供的）。

@gamelyking
UC 电脑版么？那嫌疑好像挺大啊……这玩意是加驱的，比较流氓，而且有搞崩 explorer 的黑历史。
他们的客服也说过这事儿： https://bbs.uc.cn/thread-5458163-1-1.html
也许你还可以试试 UC 官方驻 V2EX 人士 TAREZ 提到的方法：
“= =按照描述，应该是 UC 浏览器的安全模块功能的问题。可以尝试在点击 UC 的头像--设置--“防止默认浏览器被劫持” 关闭，看是否解决。”

@gamelyking 说实话……折腾这些也纯粹是出于好奇心，并不是高效解决问题的办法😂
尤其是 UC、电脑管家、暴风影音那种事情，就算我通过折腾知道了这么一点点“幕后”也是没 X 用的，背后的斗争还在继续啊

https://msdn.microsoft.com/en-us/library/windows/desktop/bb787181(v=vs.85).aspx
参照这里改一下注册表 LocalDumps 键值，加一项 Explorer.exe ，就可以在 explorer 崩掉时留下一个 dump 文件了，这样可以留下更多的信息。
然后，可以用 WinDbg 打开 dump 进行分析，最不济也可以看看调用栈里有啥……

对了，说到 Explorer 插件，不得不提 Intel 核显驱动搞的毒瘤 igfxDTCM，好像 A/N 家的显卡驱动也喜欢搞这个……这个插件的作用大概是让右键菜单里出现显卡的设置选项，但以前出现过右键弹出被卡几秒的 bug。

现在回想暴风影音的情况，当时的情况是用 Procmon 监视 Explorer.exe ，发现它在读注册表 HKCU 里.mp4 的文件关联键值时挂了，而且 explorer.exe 正在运行时，注册表编辑器也不能修改那个.mp4 键值。
可能还是暴风影音这个流氓做了奇怪的 Hook 吧，也许不是内核驱动，而是用户态的 COM 组件之类的……额，微软也未必不会耍流氓，不过我当时好像也没动用 PCHunter 去查 Hook，到底是咋回事已经不得而知了。

还有，用 Autoruns、ShellExView 禁用掉扩展后需要重启一下才能生效。

如果是 Shell 扩展（或者叫 Explorer 插件，实际上就是某个 dll ）的锅，事件查看器里有记录，可以看到 dll 的名字。Autoruns、ShellExView 都可以禁用掉各种 Explorer 扩展。

如果是应用在争夺默认设置，也就是 UC 那种情况，看 dll 名字是没用的（我就看到了 ntdll.dll ），如果不会折腾 WinDbg 和 dump，那就只能把各种加驱流氓 /管家卫士卸掉试试。

好像暴风影音也搞出过这种事情……具体机理不太明白，好像没搞驱动，貌似是 Explorer 读到被暴风影音改掉的关联时自己挂了……