V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
shendaowu
V2EX  ›  全球工单系统

遇到个不知道是哪个程序放的广告,谁知道吗?

  •  1
     
  •   shendaowu · 2017-11-26 19:50:29 +08:00 · 5896 次点击
    这是一个创建于 2588 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用 Windows spy 获取程序名后在任务管理器里找,然后打开所在文件夹。不是任何一个软件所在的文件夹。看路径是临时文件夹。这个:C:\Users\<user name>\AppData\Local\Temp\PZYTOOLS。程序名是 XFIXER.exe 。广告应该是腾讯电脑管家。广告里只说电脑管家。百度搜索电脑管家结果全是腾讯电脑管家。过了一会这个广告居然自己消失了,也没法继续研究了。某个文件里有两个 IP,我用百度没搜到什么信息。
    [SERVERIP]
    MainServer=123.151.71.34
    BackServer=219.133.60.246
    截图和文件: https://pan.baidu.com/s/1o8dxvuU
    25 条回复    2017-12-25 20:32:43 +08:00
    lynn19920229
        1
    lynn19920229  
       2017-11-26 23:03:13 +08:00
    我的两台电脑都先后遇到相同的情况。问题是其中一台都没装什么国产软件,最大的可能就是金山卫士或者福昕阅读器。其余的百度网盘和阿里巴巴都和腾讯死对头,应该不会帮打广告吧?
    morethansean
        2
    morethansean  
       2017-11-26 23:58:35 +08:00
    ...就是这个……这两天疯狂地弹啊……并没有安装腾讯电脑管家……
    shendaowu
        3
    shendaowu  
    OP
       2017-11-27 07:33:49 +08:00
    @lynn19920229
    @morethansean
    好像有能记录哪个软件运行了哪个软件和创建了哪个文件的软件。用 Bing 能搜到,用谷歌应该能搜到更多。但是安装这种软件之前运行的软件和创建的文件应该是没法知道,好像只能安装之后等待广告下次弹出。微软好像提供了这种工具,官网能下载。不过我在安全方面有洁癖,能不安装的软件我就不安装。另外那个软件可能不是微软官方开发的,我不能确定。你俩要不要试试?
    lynn19920229
        4
    lynn19920229  
       2017-11-27 09:11:20 +08:00
    @shendaowu 搜了一下,感觉你说得太模糊真没搜出来,求个关键词。我用 software record creating files microsoft 啥都没有。。
    chocolatesir
        5
    chocolatesir  
       2017-11-27 09:50:44 +08:00
    昨晚毛豆弹窗提示 XFIXER.exe 尝试联网并修改文件,连接 ip 是 113.105.95.120 我也好奇这个文件到底是什么鬼,网上的信息挺少的。
    lynn19920229
        6
    lynn19920229  
       2017-11-27 09:58:00 +08:00
    dll 的签名是腾讯的,估计就是常年驻留的 QQprotect 搞的鬼吧。。

    另外说个相关的,我电脑的 ie 总有推荐使用 qq 浏览器的插件植入到网页,我到现在都没查出到底怎么插的。。

    所以,有钱就可以为所欲为吗?!
    chocolatesir
        7
    chocolatesir  
       2017-11-27 10:23:44 +08:00   ❤️ 1
    毛豆提示:

    文件目录

    然后把 XFIXER.exe 传 viruscan,只有 F-port 检出

    谷歌了下毛豆拦截的 ip,有个结果是 viruscan 的,看上去 ip 就是腾讯安全管家的,但是我电脑腾讯系的就 qq

    http://a.virscan.org/0e76e2951200e77557935d49df8f73f7
    怕是 QQ 又暗地里做见不得人的事了。
    附上 virscan 检测页面:
    http://r.virscan.org/report/7a39940fab74608f68c1d627d656381a
    shendaowu
        8
    shendaowu  
    OP
       2017-11-27 11:03:18 +08:00
    @lynn19920229 find which software create this file 我是用 bing 国际版搜的。就是上面那个国内版和国际版的标签。搜英文会提示切换到国际版。国内版也能搜到一个。
    shendaowu
        9
    shendaowu  
    OP
       2017-11-27 11:09:06 +08:00
    @lynn19920229 也许应该把那些文件彻底删掉。没准那个程序会自己启动不需要其他软件。
    shendaowu
        10
    shendaowu  
    OP
       2017-11-27 11:54:30 +08:00
    @lynn19920229
    @morethansean
    忘了说了,这种记录软件好像很消耗存储空间。应该也会影响 CPU 和读写效率吧?
    lynn19920229
        11
    lynn19920229  
       2017-11-27 15:08:45 +08:00
    搜到了一个 Process Monitor,不知道是不是你说的?我把文件夹删了,看看他还会不会自动生成,有的话就再删掉专门监视 qqproject
    acess
        12
    acess  
       2017-11-27 17:20:50 +08:00
    acess
        13
    acess  
       2017-11-27 17:28:27 +08:00
    这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ,应该是 System Events Broker 服务。
    https://imgur.com/a/hsn5t
    %temp%里除了 PZYTOOLS 这个目录,还出现有别的几个文件:QXREPAIR1.DLL 、ramax.exe (这俩都是腾讯的有效数字签名)

    PS:几天前还出现过 QQ 浏览器的推送,数字签名是腾讯,父进程是 explorer.exe:
    https://www.v2ex.com/t/408406
    acess
        14
    acess  
       2017-11-27 17:36:57 +08:00
    @acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
    可能还是通过 DcomLaunch 启动的吧。
    acess
        15
    acess  
       2017-11-27 17:40:43 +08:00
    @lynn19920229 这回 XFIXER.exe 还没数字签名呢……
    记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
    @shendaowu Windows 有审核功能的,可以组策略开启,配置监视哪些地方,然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……
    acess
        16
    acess  
       2017-11-27 17:43:55 +08:00
    acess
        17
    acess  
       2017-11-27 18:42:59 +08:00
    QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ,两个进程加载的是不同位置下内容一样的两个文件。

    gjdatareport.dll 已传 VirusTotal:
    https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc

    XFIXER.exe 加载的是%appdata%\Tencent\Common\下的;
    QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。

    看了时间顺序(不一定代表逻辑关联),大概是这样的:
    1.systemprofile 下的 gjdatareport.dll 被创建
    2.QQProtect.exe 加载 gjdatareport.dll
    3.XFIXER.exe 启动
    4.%appdata%下的 gjdatareport.dll (很长一段时间前,这个文件就被创建了)被更新
    这前后也就几分钟吧……

    gjdatareport.dll 这个文件还被加壳了……
    lynn19920229
        18
    lynn19920229  
       2017-11-27 20:45:07 +08:00
    @acess 从你发的网页里面的图片来看,是腾讯自己下手的没错了。。一直嫌烦而关掉 UAC 的我现在正在反思是不是要开着比较好。。
    acess
        19
    acess  
       2017-11-27 21:12:41 +08:00 via Android
    @lynn19920229 我就是 UAC 开到顶的啊,UAC 管不着这个的,腾讯安装服务了,你已经给它管理员权限了。
    UAC 这玩意……微软早就说了,绕过也不是安全漏洞。对管理员来说,它只是个防手贱的功能。
    lynn19920229
        20
    lynn19920229  
       2017-11-27 21:17:27 +08:00
    @acess 好绝望啊(允悲脸) 360 和百度系软件我还说可以一个不用,但是在中国就不可能完全不用腾讯系啊。。
    acess
        21
    acess  
       2017-11-27 21:20:35 +08:00 via Android
    @lynn19920229
    虽然 UAC 能绕过,但微软设计这玩意也不是完全放着它被绕过的,各种公开的绕过手段还是在修补,只是不当做安全漏洞来推补丁,是大版本更新时附带着修。
    微软还把 UAC 和 IE 和 Office 的保护模式沙箱绑定了(Win10 1703 好像不是这样了),这个可能要注意一下。
    很多软件都会注册计划任务或服务,可以一直拿着管理员权限。
    还有,就算程序没管理员权限,也可以给当前用户注册自启的,还能干很多事情,可以说限制还是很少。
    acess
        22
    acess  
       2017-11-27 21:31:25 +08:00 via Android
    @lynn19920229
    推个电脑管家本身我觉得都不算啥了,弹窗也就是有点烦人。
    就是不知道他们对隐私会做什么……
    lynn19920229
        23
    lynn19920229  
       2017-11-27 21:41:37 +08:00
    @acess 跟腾讯说隐私就算了吧。。所有的聊天记录都在他们那,隐私保护是没什么可能了,我就只是想少点弹窗,以及不要给我安装莫名其妙的东西,强烈地没有安全感,鬼知道会不会哪天一个后门就神不知鬼不觉地进来了。。
    cyp777777
        24
    cyp777777  
       2017-11-29 16:46:33 +08:00
    用火绒全盘扫了一下,在 win 的 TEMP 目录下发现了另一个文件 MOXD.EXE ,看了下数字签名,也是腾讯,感觉似乎有关联,病毒名称和那个是一致的

    病毒库:2017/11/28 16:05
    开始时间:2017/11/29 14:54
    总计用时:00:52:30
    扫描对象:457638 个
    扫描文件:414100 个
    发现风险:1 个
    已处理风险:1 个
    发现系统修复项:0 个
    处理系统修复项:0 个

    病毒详情

    风险路径:C:\Windows\Temp\MOXD.EXE, 病毒名:Trojan/Generic!791C905454B4D37B, 病毒 ID:[791c905454b4d37b], 处理结果:已处理


    病毒库:2017/11/28 16:05
    开始时间:2017/11/29 14:38
    总计用时:00:00:00
    扫描对象:1 个
    扫描文件:1 个
    发现风险:1 个
    已处理风险:1 个
    发现系统修复项:0 个
    处理系统修复项:0 个

    病毒详情

    风险路径:C:\Users\**\AppData\Local\Temp\PZYTOOLS\XFIXER.exe, 病毒名:Trojan/Generic!791C905454B4D37B, 病毒 ID:[791c905454b4d37b], 处理结果:已处理


    http://r.virscan.org/report/41035c5ec36dbe25c3a9fec5f5f7e36a
    acess
        25
    acess  
       2017-12-25 20:32:43 +08:00   ❤️ 1
    一场大戏又要开演了么……
    https://zhuanlan.zhihu.com/p/32336018
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   954 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 22:10 · PVG 06:10 · LAX 14:10 · JFK 17:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.