新开了一帖:
https://www.v2ex.com/t/411473

我的系统一直没重装过。那个 ctfmon 自启项也有可能是几年前我自己加进去的，我现在也记不清了……

微软论坛里描述的可神奇了——任务管理器里居然查不到有进程内存占用异常。
有空也许可以再装个虚拟机试试，也许还可以结合一下 AHK ……

挖个坟。
顾名思义，ctfmon.exe 和 msctfmonitor 计划任务(进程是 taskhostw.exe)干的可能是一样的事情。
名字缩写展开大概是 Chinese Text Framework Monitor，中文框架监视器？
ctfmon 的历史好像挺久了，结合这个帖子看，很可能是 msctfmonitor 太坑，所以微软又把老将 ctfmon.exe 重新请出山了:
https://social.technet.microsoft.com/Forums/officeocs/zh-CN/3e35f8d4-c0c0-4ede-bcbe-332f2a37efd4?forum=win10itprogeneralCN
(还有人在知乎引用这帖: https://www.zhihu.com/question/41453570/answer/91318668 )

连 /r/Bitcoin 版主 Theymos 都发布风险提示了(而且是重复发布)

BOOTICE 应该是个不错的工具，安利一下。
不过友情提醒，谨慎操作，别玩脱。

@gamelyking 选中 System 进程，打错了

@gamelyking Procexp 选中 System 驱动按 CTRL+D 可以看到已加载的驱动，可以 UC 的驱动还在不在（文件厂商应该是火绒吧）。

@gamelyking
是 UC 的锅么？

没碰到过，不太清楚……
系统还能启动，那说明还是只有部分 exe 不能运行。
也许是某个运行库的 dll 出问题了，导致所有要用这个 dll 的 exe 都崩，版本不对、中毒、硬盘损坏，等等。
还有可能是木马病毒，dll 被劫持（比如 IFEO 什么的），或者被篡改。

@lynn19920229
推个电脑管家本身我觉得都不算啥了，弹窗也就是有点烦人。
就是不知道他们对隐私会做什么……

@lynn19920229
虽然 UAC 能绕过，但微软设计这玩意也不是完全放着它被绕过的，各种公开的绕过手段还是在修补，只是不当做安全漏洞来推补丁，是大版本更新时附带着修。
微软还把 UAC 和 IE 和 Office 的保护模式沙箱绑定了(Win10 1703 好像不是这样了)，这个可能要注意一下。
很多软件都会注册计划任务或服务，可以一直拿着管理员权限。
还有，就算程序没管理员权限，也可以给当前用户注册自启的，还能干很多事情，可以说限制还是很少。

@lynn19920229 我就是 UAC 开到顶的啊，UAC 管不着这个的，腾讯安装服务了，你已经给它管理员权限了。
UAC 这玩意……微软早就说了，绕过也不是安全漏洞。对管理员来说，它只是个防手贱的功能。

QQProtect.exe 和 XFIXER.exe 都加载了 gjdatareport.dll ，两个进程加载的是不同位置下内容一样的两个文件。

gjdatareport.dll 已传 VirusTotal:
https://www.virustotal.com/#/file/0cb32302dd006cd923839584396cf392a502769c9374556c2e88ab2b926740bc

XFIXER.exe 加载的是%appdata%\Tencent\Common\下的；
QQProtect.exe 加载的是%windir%\SysWOW64\config\systemprofile\AppData\Roaming\Tencent\Common\下的。

看了时间顺序（不一定代表逻辑关联），大概是这样的：
1.systemprofile 下的 gjdatareport.dll 被创建
2.QQProtect.exe 加载 gjdatareport.dll
3.XFIXER.exe 启动
4.%appdata%下的 gjdatareport.dll （很长一段时间前，这个文件就被创建了）被更新
这前后也就几分钟吧……

gjdatareport.dll 这个文件还被加壳了……

@lynn19920229
媒体报道找到了：
http://www.freebuf.com/articles/system/130226.html

@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
@shendaowu Windows 有审核功能的，可以组策略开启，配置监视哪些地方，然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……

@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。

这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ，应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t
%temp%里除了 PZYTOOLS 这个目录，还出现有别的几个文件：QXREPAIR1.DLL 、ramax.exe （这俩都是腾讯的有效数字签名）

PS：几天前还出现过 QQ 浏览器的推送，数字签名是腾讯，父进程是 explorer.exe：
https://www.v2ex.com/t/408406

我也碰到了。
VirusTotal：
https://www.virustotal.com/#/file/4008b9d26798b9ae65970a095f351aa89d6276feb213eb7215e715ee2be73cd9