卧槽,写着文档呢, win10 就自动装上 qq 浏览器了!
showgood163 · 2018-10-06 19:37:16 +08:00 via Android · 9035 次点击这是一个创建于 2222 天前的主题,其中的信息可能已经有所发展或是发生改变。
原因自己想不出来。这台机子是联想的台式机,原装 win10,一个星期只启动 win10 一次,并且没有装过任何腾讯百度阿里 360 系的任何软件。
现在想弄明白到底发生了什么,怎么阻止这样的事再次发生。求指教!
第 1 条附言 · 2018-10-06 21:14:19 +08:00
目前听了@orochix的,装了火绒,卸载浏览器了又重启
火绒还真拦住了
可是这有效信息有点少,实在读不出来
第 2 条附言 · 2018-10-06 21:33:14 +08:00
根据 @whwq2012 的想法,翻了以下日志,找到了一些登陆信息(?)其中用户名称我并不知晓
第 3 条附言 · 2018-10-07 12:16:47 +08:00
补充一些内容
关于系统,是原装的没动过.
关于系统里安装的软件,
关于OFFICE,本来机子上有预装的,只是手贱卸载metro(?)应用时,输错了指令,把OFFICE也卸载了.之后从msdnitellyou上下载office pp 2016并安装.
关于KMS,用的是kms vl all,我从V6.8用到现在没出过问题.有兴趣可以看一下
关于运行的程序,有点多,放图影响阅读,还是不放了,值得注意的是有一个syswow64文件夹下的lechost.exe,昨天重命名该exe,删除所有'lenovo'文件夹并重启后,它又出现了,然后它确实是联想的东西
 |
1
orochix 2018-10-06 19:46:28 +08:00 via Android  1
卧槽,打着游戏呢,win10 就自动装上了 QQ 管家全家桶!
。。。。。因为你装了 QQ。阻止他们就用火绒吧。 |
 |
2
proudofmyself911 2018-10-06 19:50:10 +08:00 via Android
有国产软件嘛。
|
 |
3
easylee 2018-10-06 19:50:14 +08:00 via Android
|
 |
4
showgood163 OP @orochix 国产根本没碰。。倒是有个 cent browser,也是从官网(英文页面)上下载的。
|
|
5
showgood163 OP @proudofmyself911 没有的
|
|
6
showgood163 OP @easylee ms office 2016,kms 激活,可以保证激活不会有广告。浏览器是 pc 版的。
|
 |
7
pityhero233 2018-10-06 20:23:22 +08:00 via Android 8
上 360、毒霸、金山、瑞星、电脑管家,互相设置黑名单、互相封锁进程,以毒攻毒
|
 |
8
andbutor 2018-10-06 20:23:40 +08:00 via Android
有些国产工具类软件也会捆绑大厂软件推广,比如压缩什么的
|
|
9
pityhero233 2018-10-06 20:23:47 +08:00 via Android 4
@pityhero233 或许最后会选出蛊王来(
|
 |
10
oppoic 2018-10-06 20:24:19 +08:00 via iPhone
win 10 系统默认会自动安装几次推荐软件,楼主搜索下关键词:win10 自动安装软件。
|
|
11
showgood163 OP 另外,之前是 19:26 装上的,卸载完重启。20:18 又装上了。真难受。
|
 |
12
Gua 2018-10-06 20:27:50 +08:00
是联系 OEM 系统不 有的系统会自带软件,即使你重装系统(除非抹掉重装) 也会自动安装
|
|
13
showgood163 OP 这次手快,看到任务栏上多东西了就找了下安装进程,发现软件安装包在 syswow64 里,60m 左右,手动结束后一会就没了。
|
|
14
showgood163 OP @Gua 确实是 oem。
|
 |
15
kokutou 2018-10-06 20:55:58 +08:00
联想的电脑管家是基于 qq 电脑管家做的。。。
看看联想电脑管家的文件夹就知道了。 |
 |
16
2Go 2018-10-06 20:58:55 +08:00 via Android 1
@pityhero233 操作猛如虎
|
 |
17
janus77 2018-10-06 21:02:46 +08:00 via Android
所以最后的原因是 oem 搞的事?
|
 |
18
whwq2012 2018-10-06 21:04:21 +08:00 via Android
看看日志,看看谁做的。另外把正在运行的程序打出来看看,没准有流氓在后台偷偷运行
|
 |
19
jasonyang9 2018-10-06 21:05:00 +08:00
这种 OEM 系统用火绒管不住么?换 Linux 吧(逃
|
|
20
showgood163 OP @kokutou emmm...用 everything 把带 lenovo 的字样的所有文件夹都干爆了..重启之后发现又出现了些 lenovo 文件夹,一看是 syswow64 目录下 lechost.exe 创建的.
|
|
21
showgood163 OP @jasonyang9 这机子一周里 6 天半都再跑 arch..windows 就用半天,写点文档啥的..
|
|
22
showgood163 OP @whwq2012 日志怎么看?是计算机管理里哪个吗?好像看到不认识的用户有登陆记录.
|
|
23
showgood163 OP @janus77 大概率吧.
|
|
24
kokutou 2018-10-06 21:27:30 +08:00 via Android
@showgood163 格掉重装不就行了。。。
|
|
25
showgood163 OP @kokutou 没当初那么积极了.现在只想找到根源,然后解决.
|
 |
26
wdy3334 2018-10-06 21:29:50 +08:00 via Android 3
卧槽,我昨天就梦见我电脑自动装了 qq 浏览器,360 还有金山毒霸,被吓醒了
|
|
27
pityhero233 2018-10-06 21:37:19 +08:00 via Android
@wdy3334 哈哈哈哈哈哈
|
 |
29
agdhole 2018-10-06 22:21:10 +08:00 via Android
oem 或者激活软件的问题
kms 可以直接命令行敲进去不用激活工具 |
|
30
showgood163 OP @wdy3334 emmm。。我三年前真实遇到过百度全家桶,也是不知道怎么回事,桌面上就咕噜咕噜冒出来一堆(10 个左右)。进安全模式,全卸载,删启动项,一小时之后又冒出来了。。来回了三次我就决心格盘了。。
|
|
31
showgood163 OP |
 |
32
ysc3839 2018-10-06 22:44:49 +08:00 via Android
先重装原版系统看看吧。
|
|
33
showgood163 OP @ysc3839 一周用一次,公家的机子,犯不着。。自己的机子早折腾十次八次了。。。
|
 |
34
wohenyingyu03 2018-10-06 23:24:18 +08:00 via iPhone
激活软件嫌疑最大……
|
 |
35
Myprincess 2018-10-06 23:42:01 +08:00
那是你可能是新装的系统,并且使用的是本地帐户所出现这种自动安装,一般系统安装后直接用帐号登陆,然后取消就可以了。
|
|
36
showgood163 OP @wohenyingyu03 真不是。。
|
|
37
showgood163 OP @showgood163 这台机子上的系统是九月十几号第一次开启并激活的,到现在已经三周左右了把并且有那么几天只用 windows,所以不像是这种问题。
|
 |
38
greed1is9good 2018-10-07 00:01:52 +08:00
盗版 ghost 系统吧,都是驱动注入的。。。
|
 |
39
SoraneKazehana 2018-10-07 00:18:27 +08:00 2
我觉得如果系统是 OEM 的
那应该是 OEM 的问题 你可以尝试联系联想售后,提供原版系统重装 看用户组并没有什么问题 |
 |
40
zhangkunkyle 2018-10-07 00:41:01 +08:00 via iPhone 2
process monitor 看日志吧,用户层找不到就用 pchunter 看有没有可疑驱动
|
 |
41
yingfengi 2018-10-07 00:46:01 +08:00 via Android
KMS 激活
查下你的激活软件 |
 |
42
geelaw 2018-10-07 04:29:31 +08:00 1
我从没听说 Microsoft 和腾讯有这种合作。
另外,dllhost.exe 是一个宿主进程,它本身没有什么“实质性”的业务逻辑,它的作用是把 COM object 放在单独的进程里。你可以把它理解为 svchost.exe 和 rundll32.exe 或者 Python interpreter 这样的东西。如果一个软件用 Python 脚本安装软件,说“ Python 安装了这个软件”不是很有意义。 隔离 COM object 的主要作用是安全和防止 COM object 的代码崩溃影响到访问 COM object 的进程,File Explorer 大量使用这类宿主方式。例如,防止缩略图提取器或者预览器让 File Explorer 崩溃。 |
 |
43
sdshdv 2018-10-07 04:35:29 +08:00 via Android
去微软下载原版 win10 重装就能解决了,你这个明显是 OEM 系统植入软件,不重装没解决办法
|
 |
44
redapple02041 2018-10-07 07:33:47 +08:00
杀下毒或者把 DLLhost.exe 用原版替换下?
|
 |
45
xyfan 2018-10-07 08:35:10 +08:00 via Android 1
我也是我也是,我还怀疑是 wegame 客户端安装的,看起来不是。另外我电脑 win10 和 office 都是出厂的原版( OEM 版),没有用过 KMS。
|
 |
46
passerbytiny 2018-10-07 08:46:07 +08:00
微软为了特意治那些手不干净的 OEM,特意提供了“全新安装”功能。
|
 |
47
wolfie 2018-10-07 09:00:45 +08:00 2
联想问题。
没事给你安装一个自己的管家。 火绒都不带阻止的。 前段时间安装 qq 浏览器,还好被火绒阻止了。 |
 |
48
WhatIf 2018-10-07 09:16:31 +08:00
你用的 kms 可能有问题
|
 |
49
Dk2014 2018-10-07 09:21:08 +08:00 via Android
下 vl 版重装,kms 直接用 ps 改成别人的域名
|
 |
50
ghhardy 2018-10-07 10:03:24 +08:00 via Android
看来联想连操作系统都有问题
|
 |
51
okjb 2018-10-07 10:09:59 +08:00
TIM 更新捆绑腾讯视频,幸亏有 360 流氓大师,每次阻止了他,然后退出 360。。
|
 |
52
ooooo 2018-10-07 10:52:05 +08:00
系统程序列表截个图
系统进程截个图放上来 大家好分析 |
 |
53
shijingshijing 2018-10-07 10:53:29 +08:00 1
搜一下 lenovo bloatware,国外版的也有,装一堆试用版的东西 Symantec 的一堆试用版啊,一堆看图软件的试用版啊。你这个不过是 OEM 预装国内加强版
|
|
54
showgood163 OP @greed1is9good 不是。这台机子是公家的,出厂有原装,自己再折腾没有意义
|
 |
55
acess 2018-10-07 11:27:00 +08:00
1.NTFS 支持审核:
https://blog.csdn.net/huashuolin001/article/details/73863324 (好像还要在 secpol.msc 里调高级审核策略,具体不太记得了) 2.Process Monitor 支持 boot logging,从下次重启后的系统引导开始就可以记录事件。 可以按 CTRL+T 显示进程树来辅助判断。 不过也难保搞流氓推广的人会针对性检测、规避。 |
|
56
passerbytiny 2018-10-07 11:44:41 +08:00 1
@showgood163 #53 你这个基本可以确定是 OEM 预装干的事,联想的 OEM 预装在国外都很流氓,就更别说国内了。
试试 win10 提供的“全新启动”吧,应该是除了激活码保留外,其他的全部是重新安装的。设置-更新和安全-恢复,在最下一行有个链接,点进去到达“ windows 安全中心”,就能找到入口了。 |
|
57
showgood163 OP @SoraneKazehana 关于 windows 事件日志这块我不是很懂,看到些可能相关的东西但是并不知道哪些信息真正有用
|
 |
58
C2G 2018-10-07 12:23:22 +08:00 via Android
UAC 调到最高试试
|
 |
59
georgetso 2018-10-07 12:25:54 +08:00 via iPhone
Surface 看戏
|
|
60
showgood163 OP @zhangkunkyle 请问 pc hunter 该如何使用?在驱动模块中重点看蓝色的是吗?
|
|
61
showgood163 OP @geelaw 是,所以说这东西没有啥实质性的信息..但同时也并不知道如何获取实质性的信息
|
|
62
showgood163 OP |
|
63
showgood163 OP @xyfan emm,如果情况属实,这就应该是系统问题了.昨天又一次把 syswow64 下的 lechost.exe 干掉了之后,就没出现这种情况了.这文件是用服务启动的,服务名也是 lechost,你可以看看..
|
|
64
showgood163 OP @wolfie 对,是同样的问题,同样的解决方法..
|
 |
65
SupperMary 2018-10-07 12:37:31 +08:00 via Android 1
@showgood163 手动删除 lechost.exe ,新建文本文件,改名为 lechost.exe ,设置文件属性只读。
|
|
66
showgood163 OP @shijingshijing 可以看下 append,目前留下的联想的东西只有一个键盘驱动,没这东西键盘上 fn 功能键就废掉了..
|
|
67
showgood163 OP @SupperMary 嗯.这是个不错的方法.关于这个文件,昨晚一开始是改了文件名,重启后再次出现,然后删的文件,再次重启,到现在也没出现这个文件.QQ 浏览器也没再自动安装了.我想再看看这东西还会不会出现.
|
 |
68
xxgirl2 2018-10-07 12:57:47 +08:00
不说别的,我 kms 用的是 vlmcsd。不过因为一周开不了一次机,每开一次 update 就占满 CPU,已经删了 windows 了。
顺便 oem 系统真的 hmmm。 |
|
69
showgood163 OP @C2G emm,又中招了,uac 到最高没有作用,火绒有提示。
|
 |
70
abmin521 2018-10-07 13:40:55 +08:00
我也用过联想 也有这个文件 但是没有这个问题
|
|
71
showgood163 OP @abmin521 所以这个文件可能只是 qq 浏览器的另一个副产品。
|
 |
72
relife 2018-10-07 15:52:45 +08:00 via Android
楼主是不是用 pe 装的系统
|
|
73
acess 2018-10-07 16:59:51 +08:00
Procmon 可以看到进程树和调用栈,这样的话应该就可以看到 dllhost 背后是啥了。
|
|
74
greed1is9good 2018-10-07 20:30:51 +08:00
试试 powershell,看看驱动进程钩子什么的。。。
|
 |
75
Sunnic 2018-10-07 20:50:08 +08:00 via Android
我的几台 tp 都没有这个问题,看来还跟电脑系列有关系?
|
 |
76
celeron533 2018-10-07 20:54:48 +08:00
联想预装的 windows10 是动过手脚的,你用它自带的恢复系统功能还是会带上一大堆合作软件,除非是格掉重做系统
|
 |
77
lengsir 2018-10-07 23:01:36 +08:00
你是不是在哪个下载站点了高速下载
|
|
78
showgood163 OP @relife 请看 append
|
|
79
showgood163 OP @Sunnic 应该是。我这边是采购的台式机。。。
|
|
80
showgood163 OP @celeron533 嗯。确实是。这次想揪出元凶来。。
|
|
81
showgood163 OP @lengsir 这种错误不会犯的。百度全家桶我真的吃过。全部卸载完,又出现,折腾了三次。全盘格了。
|
 |
82
luckykong 2018-10-08 02:36:28 +08:00 1
试试 ProcessMonitor ?
|
 |
83
Philippa 2018-10-08 04:01:13 +08:00 via iPhone 1
看标题还以为是 Windows,进来一看标题党。从官网工具做成的镜像非常干净,根本不会遇到这种问题。
|
 |
84
cnTangLang 2018-10-08 08:21:29 +08:00 via Android 1
做法有问题:应该重命名 lechost.exe 后,新建一个名为 lechost.exe 的文件夹,然后文件夹里面新建一个只读文件,一般可以阻止同名流氓文件再生。如果还不行(企鹅系软件就会干掉文件夹),就去掉新建的文件夹所有用户的读取权限。
|
|
85
zhangkunkyle 2018-10-08 16:23:13 +08:00 via iPhone
@showgood163 我也很久没用 windows 了,建议简单看下第三方驱动,再简单看看内核回调里面有没有 cmpcallbackshutdown 这种典型保护注册表和关机回写的,另外检测下 mbr 吧。驱动木马和引导区木马比较难搞,一些白利用的或者伪装的好的比较难看,之前搞双枪暗云这类木马就是搞了好久才发现,挺耽误时间的研究这些,不行的话就用节省时间的方法吧,用 360 系统急救箱: http://www.360.cn/superfirstaid/index.html 的强力模式二次扫描,内核层驱动木马以前几乎是通杀的,引导区木马理论上来说比较危险,有些针对性对抗急救箱的有蓝屏风险,建议准备好 pe 再搞
|
|
86
zhangkunkyle 2018-10-08 16:29:50 +08:00 via iPhone 1
@showgood163 自己搞费时费力,所以为了节省时间,这还有一招儿,扔到卡饭论坛上去,描述清楚问题,留好联系方式,分别在 360 腾讯金山火绒板块下标题写上他们家杀软杀不掉的新木马,马上就会有工作人员联系要远程查看了,杀软各家以前都安排人盯着卡饭的
|
Select Language