遇到个不知道是哪个程序放的广告，谁知道吗？

我的两台电脑都先后遇到相同的情况。问题是其中一台都没装什么国产软件，最大的可能就是金山卫士或者福昕阅读器。其余的百度网盘和阿里巴巴都和腾讯死对头，应该不会帮打广告吧？

...就是这个……这两天疯狂地弹啊……并没有安装腾讯电脑管家……

@lynn19920229
@morethansean
好像有能记录哪个软件运行了哪个软件和创建了哪个文件的软件。用 Bing 能搜到，用谷歌应该能搜到更多。但是安装这种软件之前运行的软件和创建的文件应该是没法知道，好像只能安装之后等待广告下次弹出。微软好像提供了这种工具，官网能下载。不过我在安全方面有洁癖，能不安装的软件我就不安装。另外那个软件可能不是微软官方开发的，我不能确定。你俩要不要试试？

@shendaowu 搜了一下，感觉你说得太模糊真没搜出来，求个关键词。我用 software record creating files microsoft 啥都没有。。

昨晚毛豆弹窗提示 XFIXER.exe 尝试联网并修改文件，连接 ip 是 113.105.95.120 我也好奇这个文件到底是什么鬼，网上的信息挺少的。

dll 的签名是腾讯的，估计就是常年驻留的 QQprotect 搞的鬼吧。。

另外说个相关的，我电脑的 ie 总有推荐使用 qq 浏览器的插件植入到网页，我到现在都没查出到底怎么插的。。

所以，有钱就可以为所欲为吗？！

毛豆提示：

文件目录

然后把 XFIXER.exe 传 viruscan，只有 F-port 检出

谷歌了下毛豆拦截的 ip，有个结果是 viruscan 的，看上去 ip 就是腾讯安全管家的，但是我电脑腾讯系的就 qq

http://a.virscan.org/0e76e2951200e77557935d49df8f73f7
怕是 QQ 又暗地里做见不得人的事了。
附上 virscan 检测页面：
http://r.virscan.org/report/7a39940fab74608f68c1d627d656381a

@lynn19920229 find which software create this file 我是用 bing 国际版搜的。就是上面那个国内版和国际版的标签。搜英文会提示切换到国际版。国内版也能搜到一个。

@lynn19920229 也许应该把那些文件彻底删掉。没准那个程序会自己启动不需要其他软件。

@lynn19920229
@morethansean
忘了说了，这种记录软件好像很消耗存储空间。应该也会影响 CPU 和读写效率吧？

搜到了一个 Process Monitor，不知道是不是你说的？我把文件夹删了，看看他还会不会自动生成，有的话就再删掉专门监视 qqproject

我也碰到了。
VirusTotal：
https://www.virustotal.com/#/file/4008b9d26798b9ae65970a095f351aa89d6276feb213eb7215e715ee2be73cd9

这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ，应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t
%temp%里除了 PZYTOOLS 这个目录，还出现有别的几个文件：QXREPAIR1.DLL 、ramax.exe （这俩都是腾讯的有效数字签名）

PS：几天前还出现过 QQ 浏览器的推送，数字签名是腾讯，父进程是 explorer.exe：
https://www.v2ex.com/t/408406

@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。

@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
@shendaowu Windows 有审核功能的，可以组策略开启，配置监视哪些地方，然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……

@lynn19920229
媒体报道找到了：
http://www.freebuf.com/articles/system/130226.html

QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ，两个进程加载的是不同位置下内容一样的两个文件。

gjdatareport.dll 已传 VirusTotal:
https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc

XFIXER.exe 加载的是%appdata%\Tencent\Common\下的；
QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。

看了时间顺序（不一定代表逻辑关联），大概是这样的：
1.systemprofile 下的 gjdatareport.dll 被创建
2.QQProtect.exe 加载 gjdatareport.dll
3.XFIXER.exe 启动
4.%appdata%下的 gjdatareport.dll （很长一段时间前，这个文件就被创建了）被更新
这前后也就几分钟吧……

gjdatareport.dll 这个文件还被加壳了……

@acess 从你发的网页里面的图片来看，是腾讯自己下手的没错了。。一直嫌烦而关掉 UAC 的我现在正在反思是不是要开着比较好。。

@lynn19920229 我就是 UAC 开到顶的啊，UAC 管不着这个的，腾讯安装服务了，你已经给它管理员权限了。
UAC 这玩意……微软早就说了，绕过也不是安全漏洞。对管理员来说，它只是个防手贱的功能。

@acess 好绝望啊（允悲脸） 360 和百度系软件我还说可以一个不用，但是在中国就不可能完全不用腾讯系啊。。

@lynn19920229
虽然 UAC 能绕过，但微软设计这玩意也不是完全放着它被绕过的，各种公开的绕过手段还是在修补，只是不当做安全漏洞来推补丁，是大版本更新时附带着修。
微软还把 UAC 和 IE 和 Office 的保护模式沙箱绑定了(Win10 1703 好像不是这样了)，这个可能要注意一下。
很多软件都会注册计划任务或服务，可以一直拿着管理员权限。
还有，就算程序没管理员权限，也可以给当前用户注册自启的，还能干很多事情，可以说限制还是很少。

@lynn19920229
推个电脑管家本身我觉得都不算啥了，弹窗也就是有点烦人。
就是不知道他们对隐私会做什么……

@acess 跟腾讯说隐私就算了吧。。所有的聊天记录都在他们那，隐私保护是没什么可能了，我就只是想少点弹窗，以及不要给我安装莫名其妙的东西，强烈地没有安全感，鬼知道会不会哪天一个后门就神不知鬼不觉地进来了。。

用火绒全盘扫了一下，在 win 的 TEMP 目录下发现了另一个文件 MOXD.EXE ，看了下数字签名，也是腾讯，感觉似乎有关联，病毒名称和那个是一致的

病毒库：2017/11/28 16:05
开始时间：2017/11/29 14:54
总计用时：00:52:30
扫描对象：457638 个
扫描文件：414100 个
发现风险：1 个
已处理风险：1 个
发现系统修复项：0 个
处理系统修复项：0 个

病毒详情

风险路径：C:\Windows\Temp\MOXD.EXE, 病毒名：Trojan/Generic!791C905454B4D37B, 病毒 ID：[791c905454b4d37b], 处理结果：已处理


病毒库：2017/11/28 16:05
开始时间：2017/11/29 14:38
总计用时：00:00:00
扫描对象：1 个
扫描文件：1 个
发现风险：1 个
已处理风险：1 个
发现系统修复项：0 个
处理系统修复项：0 个

病毒详情

风险路径：C:\Users\**\AppData\Local\Temp\PZYTOOLS\XFIXER.exe, 病毒名：Trojan/Generic!791C905454B4D37B, 病毒 ID：[791c905454b4d37b], 处理结果：已处理


http://r.virscan.org/report/41035c5ec36dbe25c3a9fec5f5f7e36a

一场大戏又要开演了么……
https://zhuanlan.zhihu.com/p/32336018