工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2539 天前的主题,其中的信息可能已经有所发展或是发生改变。
用 Windows spy 获取程序名后在任务管理器里找,然后打开所在文件夹。不是任何一个软件所在的文件夹。看路径是临时文件夹。这个:C:\Users\<user name>\AppData\Local\Temp\PZYTOOLS。程序名是 XFIXER.exe 。广告应该是腾讯电脑管家。广告里只说电脑管家。百度搜索电脑管家结果全是腾讯电脑管家。过了一会这个广告居然自己消失了,也没法继续研究了。某个文件里有两个 IP,我用百度没搜到什么信息。
[SERVERIP]
MainServer=123.151.71.34
BackServer=219.133.60.246
截图和文件: https://pan.baidu.com/s/1o8dxvuU
[SERVERIP]
MainServer=123.151.71.34
BackServer=219.133.60.246
截图和文件: https://pan.baidu.com/s/1o8dxvuU
 |
1
lynn19920229 2017-11-26 23:03:13 +08:00
我的两台电脑都先后遇到相同的情况。问题是其中一台都没装什么国产软件,最大的可能就是金山卫士或者福昕阅读器。其余的百度网盘和阿里巴巴都和腾讯死对头,应该不会帮打广告吧?
|
 |
2
morethansean 2017-11-26 23:58:35 +08:00
...就是这个……这两天疯狂地弹啊……并没有安装腾讯电脑管家……
|
 |
3
shendaowu OP @lynn19920229
@morethansean 好像有能记录哪个软件运行了哪个软件和创建了哪个文件的软件。用 Bing 能搜到,用谷歌应该能搜到更多。但是安装这种软件之前运行的软件和创建的文件应该是没法知道,好像只能安装之后等待广告下次弹出。微软好像提供了这种工具,官网能下载。不过我在安全方面有洁癖,能不安装的软件我就不安装。另外那个软件可能不是微软官方开发的,我不能确定。你俩要不要试试? |
|
4
lynn19920229 2017-11-27 09:11:20 +08:00
@shendaowu 搜了一下,感觉你说得太模糊真没搜出来,求个关键词。我用 software record creating files microsoft 啥都没有。。
|
 |
5
chocolatesir 2017-11-27 09:50:44 +08:00
昨晚毛豆弹窗提示 XFIXER.exe 尝试联网并修改文件,连接 ip 是 113.105.95.120 我也好奇这个文件到底是什么鬼,网上的信息挺少的。
|
|
6
lynn19920229 2017-11-27 09:58:00 +08:00
dll 的签名是腾讯的,估计就是常年驻留的 QQprotect 搞的鬼吧。。
另外说个相关的,我电脑的 ie 总有推荐使用 qq 浏览器的插件植入到网页,我到现在都没查出到底怎么插的。。 所以,有钱就可以为所欲为吗?! |
|
7
chocolatesir 2017-11-27 10:23:44 +08:00  1
毛豆提示:
 文件目录  然后把 XFIXER.exe 传 viruscan,只有 F-port 检出  谷歌了下毛豆拦截的 ip,有个结果是 viruscan 的,看上去 ip 就是腾讯安全管家的,但是我电脑腾讯系的就 qq  http://a.virscan.org/0e76e2951200e77557935d49df8f73f7 怕是 QQ 又暗地里做见不得人的事了。 附上 virscan 检测页面: http://r.virscan.org/report/7a39940fab74608f68c1d627d656381a |
|
8
shendaowu OP @lynn19920229 find which software create this file 我是用 bing 国际版搜的。就是上面那个国内版和国际版的标签。搜英文会提示切换到国际版。国内版也能搜到一个。
|
|
9
shendaowu OP @lynn19920229 也许应该把那些文件彻底删掉。没准那个程序会自己启动不需要其他软件。
|
|
10
shendaowu OP |
|
11
lynn19920229 2017-11-27 15:08:45 +08:00
搜到了一个 Process Monitor,不知道是不是你说的?我把文件夹删了,看看他还会不会自动生成,有的话就再删掉专门监视 qqproject
|
 |
12
acess 2017-11-27 17:20:50 +08:00
|
|
13
acess 2017-11-27 17:28:27 +08:00
这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ,应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t %temp%里除了 PZYTOOLS 这个目录,还出现有别的几个文件:QXREPAIR1.DLL 、ramax.exe (这俩都是腾讯的有效数字签名) PS:几天前还出现过 QQ 浏览器的推送,数字签名是腾讯,父进程是 explorer.exe: https://www.v2ex.com/t/408406 |
|
14
acess 2017-11-27 17:36:57 +08:00
@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。 |
|
15
acess 2017-11-27 17:40:43 +08:00
@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。 @shendaowu Windows 有审核功能的,可以组策略开启,配置监视哪些地方,然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖…… |
|
16
acess 2017-11-27 17:43:55 +08:00
|
|
17
acess 2017-11-27 18:42:59 +08:00
QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ,两个进程加载的是不同位置下内容一样的两个文件。
gjdatareport.dll 已传 VirusTotal: https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc XFIXER.exe 加载的是%appdata%\Tencent\Common\下的; QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。 看了时间顺序(不一定代表逻辑关联),大概是这样的: 1.systemprofile 下的 gjdatareport.dll 被创建 2.QQProtect.exe 加载 gjdatareport.dll 3.XFIXER.exe 启动 4.%appdata%下的 gjdatareport.dll (很长一段时间前,这个文件就被创建了)被更新 这前后也就几分钟吧…… gjdatareport.dll 这个文件还被加壳了…… |
|
18
lynn19920229 2017-11-27 20:45:07 +08:00
@acess 从你发的网页里面的图片来看,是腾讯自己下手的没错了。。一直嫌烦而关掉 UAC 的我现在正在反思是不是要开着比较好。。
|
|
19
acess 2017-11-27 21:12:41 +08:00 via Android
@lynn19920229 我就是 UAC 开到顶的啊,UAC 管不着这个的,腾讯安装服务了,你已经给它管理员权限了。
UAC 这玩意……微软早就说了,绕过也不是安全漏洞。对管理员来说,它只是个防手贱的功能。 |
|
20
lynn19920229 2017-11-27 21:17:27 +08:00
@acess 好绝望啊(允悲脸) 360 和百度系软件我还说可以一个不用,但是在中国就不可能完全不用腾讯系啊。。
|
|
21
acess 2017-11-27 21:20:35 +08:00 via Android
@lynn19920229
虽然 UAC 能绕过,但微软设计这玩意也不是完全放着它被绕过的,各种公开的绕过手段还是在修补,只是不当做安全漏洞来推补丁,是大版本更新时附带着修。 微软还把 UAC 和 IE 和 Office 的保护模式沙箱绑定了(Win10 1703 好像不是这样了),这个可能要注意一下。 很多软件都会注册计划任务或服务,可以一直拿着管理员权限。 还有,就算程序没管理员权限,也可以给当前用户注册自启的,还能干很多事情,可以说限制还是很少。 |
|
22
acess 2017-11-27 21:31:25 +08:00 via Android
|
|
23
lynn19920229 2017-11-27 21:41:37 +08:00
@acess 跟腾讯说隐私就算了吧。。所有的聊天记录都在他们那,隐私保护是没什么可能了,我就只是想少点弹窗,以及不要给我安装莫名其妙的东西,强烈地没有安全感,鬼知道会不会哪天一个后门就神不知鬼不觉地进来了。。
|
 |
24
cyp777777 2017-11-29 16:46:33 +08:00
用火绒全盘扫了一下,在 win 的 TEMP 目录下发现了另一个文件 MOXD.EXE ,看了下数字签名,也是腾讯,感觉似乎有关联,病毒名称和那个是一致的
病毒库:2017/11/28 16:05 开始时间:2017/11/29 14:54 总计用时:00:52:30 扫描对象:457638 个 扫描文件:414100 个 发现风险:1 个 已处理风险:1 个 发现系统修复项:0 个 处理系统修复项:0 个 病毒详情 风险路径:C:\Windows\Temp\MOXD.EXE, 病毒名:Trojan/Generic!791C905454B4D37B, 病毒 ID:[791c905454b4d37b], 处理结果:已处理 病毒库:2017/11/28 16:05 开始时间:2017/11/29 14:38 总计用时:00:00:00 扫描对象:1 个 扫描文件:1 个 发现风险:1 个 已处理风险:1 个 发现系统修复项:0 个 处理系统修复项:0 个 病毒详情 风险路径:C:\Users\**\AppData\Local\Temp\PZYTOOLS\XFIXER.exe, 病毒名:Trojan/Generic!791C905454B4D37B, 病毒 ID:[791c905454b4d37b], 处理结果:已处理 http://r.virscan.org/report/41035c5ec36dbe25c3a9fec5f5f7e36a |
|
25
acess 2017-12-25 20:32:43 +08:00 1
一场大戏又要开演了么……
https://zhuanlan.zhihu.com/p/32336018 |
Select Language