V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yache
V2EX  ›  Windows

求教 V2EXer 一个问题,我的 XP 老是在后台自动安装一些流氓软件

  •  
  •   yache · 2014-06-30 16:40:54 +08:00 · 6342 次点击
    这是一个创建于 3784 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我的XP在运行的时候,莫名其妙在后台安装一些软件,比如:xx输入法、xx天气、游戏平台等一些垃圾软件,在我毫不知情的情况下,我估计我中了什么木马软件了。我估计是用易语言写的什么垃圾代码。

    我的机器安装了金山毒霸免费版,安装一个金山卫士也不行。

    请教各位V2EXer,有没有好的杀毒软件,或者方法帮我解决这个犯人的问题,因为我不想重新安装系统,又得折腾!
    18 条回复    2014-07-01 22:53:50 +08:00
    tonghuashuai
        1
    tonghuashuai  
       2014-06-30 16:43:34 +08:00
    少装点什么卫士什么助手什么的就能避免这个问题
    lovesky
        2
    lovesky  
       2014-06-30 16:44:29 +08:00
    你可以自己用 PC Hunter 分析一下后台进程 和 服务,或者发个体检报告让大家来帮你分析。
    XXOO
        3
    XXOO  
       2014-06-30 16:46:24 +08:00
    你好 xp
    crab
        4
    crab  
       2014-06-30 16:52:59 +08:00
    下个360吧,然后扫描下,该删除删除,该优化优化,弄完后,卸载360。
    ChiangDi
        5
    ChiangDi  
       2014-06-30 16:55:55 +08:00
    重装
    mkeith
        6
    mkeith  
       2014-06-30 19:55:49 +08:00
    我安装了驱动人生然后就一大堆百度的软件了什么PPS,iQiyi之类的了.
    dangge
        7
    dangge  
       2014-06-30 20:22:32 +08:00
    XP是不是用Ghost装的? 那些所谓的YLMF啊深度啊都带有推广安装
    你这个就比较狠了 一般都是新装好安装一次就自动删除了
    把那些安装上的软件都删掉 然后看看有什么可疑的进程 另外其实自动安装正常软件应该还没法触发杀毒软件的防御 所以你装的毒霸没用。。。估计只有360那样的敏感程度会提醒你
    另外 你什么都不贴 怎么解决问题
    momo5269
        8
    momo5269  
       2014-06-30 20:46:26 +08:00
    干净的软件源、相对干净的软件养成习惯可破
    现在检查一下你电脑上安装的东西吧,顺便用360的急救箱/金山的顽固木马专杀/诺顿的NPE扫描一下(虽然360和诺顿容易“修复”一些不必要的东西)
    momo5269
        9
    momo5269  
       2014-06-30 20:47:26 +08:00
    顺便一提XX杀毒和卫士对此都无能为力,如果你想要比较好的监控这些请安装HIPS……但是规则调试的时间成本会很高
    Love4Taylor
        10
    Love4Taylor  
       2014-06-30 20:48:41 +08:00
    首先你确定你的xp本身没问题么,ghost藏毒已经不是什么稀奇的事了。。
    momo5269
        11
    momo5269  
       2014-06-30 20:48:59 +08:00   ❤️ 1
    @dangge 也有不少ghost没问题的,现在号称ylmf和深度的都是冒牌货…… 哦对了 有个简单直观的检测办法(无需全面扫描+SFC /SCANNOW )360系统急救箱的系统文件修复对这类修改货几乎是百发百中……
    dangge
        12
    dangge  
       2014-06-30 20:50:42 +08:00
    @momo5269 印象中我给别人装机 08年之前的XP都没事 新下载的那些都捆绑一堆
    momo5269
        13
    momo5269  
       2014-06-30 20:54:00 +08:00   ❤️ 1
    @dangge 那时候还是原来的雨林深度,撑死带着主页捆绑之类或者几个常用软件,不会像现在这样丧心病狂的一堆被修改的系统文件……
    yache
        14
    yache  
    OP
       2014-07-01 08:34:27 +08:00
    [PC Hunter Standard][Port]: 60
    协议 本地地址 远程地址 连接状态 进程Id 进程路径
    Tcp 127.0.0.1 : 1366 127.0.0.1 : 1367 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 127.0.0.1 : 1367 127.0.0.1 : 1366 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1651 61.147.113.26 : 8000 CLOSE_WAIT 3540 C:\Program Files\goodPic\goodPicAp.exe
    Tcp 172.22.0.26 : 1782 223.202.6.26 : 80 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1791 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1792 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1772 173.194.127.98 : 443 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1793 74.125.203.82 : 80 SYN_SENT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1766 203.208.46.161 : 443 ESTABLISHED 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1525 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1510 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1511 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1512 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1513 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1514 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1763 173.194.127.98 : 443 FIN_WAIT 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Tcp 172.22.0.26 : 1515 222.186.60.27 : 80 CLOSE_WAIT 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Tcp 172.22.0.26 : 1759 203.208.46.209 : 443 TIME_WAIT 0
    Tcp 172.22.0.26 : 1785 114.112.93.46 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1788 221.228.204.123 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1760 114.112.67.221 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1757 203.208.37.19 : 443 TIME_WAIT 0
    Tcp 172.22.0.26 : 1761 114.112.67.221 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1754 203.208.46.212 : 443 TIME_WAIT 0
    Tcp 172.22.0.26 : 1755 203.208.37.20 : 443 TIME_WAIT 0
    Tcp 172.22.0.26 : 1768 119.147.146.206 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1642 218.76.78.18 : 80 TIME_WAIT 0
    Tcp 172.22.0.26 : 1756 203.208.46.209 : 443 TIME_WAIT 0
    Tcp 0.0.0.0 : 1026 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
    Tcp 0.0.0.0 : 80 0.0.0.0 : 0 LISTENING 1704 D:\EmpireServer\php\apache2.2\bin\httpd.exe
    Tcp 0.0.0.0 : 3306 0.0.0.0 : 0 LISTENING 2108 D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe
    Tcp 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 System
    Tcp 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 996 C:\WINDOWS\system32\svchost.exe
    Tcp 0.0.0.0 : 8091 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
    Tcp 0.0.0.0 : 1043 0.0.0.0 : 0 LISTENING 3540 C:\Program Files\goodPic\goodPicAp.exe
    Tcp 192.168.88.254 : 139 0.0.0.0 : 0 LISTENING 4 System
    Tcp 0.0.0.0 : 443 0.0.0.0 : 0 LISTENING 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
    Tcp 127.0.0.1 : 8086 0.0.0.0 : 0 LISTENING 4856 C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe
    Tcp 0.0.0.0 : 6631 0.0.0.0 : 0 LISTENING 3540 C:\Program Files\goodPic\goodPicAp.exe
    Tcp 127.0.0.1 : 1027 0.0.0.0 : 0 LISTENING 2884 C:\WINDOWS\system32\alg.exe
    Tcp 127.0.0.1 : 8087 0.0.0.0 : 0 LISTENING 4856 C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe
    Udp 192.168.88.254 : 138 * : * 4 System
    Udp 0.0.0.0 : 1047 * : * 1512 C:\WINDOWS\system32\spoolsv.exe
    Udp 192.168.88.254 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
    Udp 127.0.0.1 : 1394 * : * 5160 C:\Program Files\Mozilla Firefox\firefox.exe
    Udp 127.0.0.1 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
    Udp 172.22.0.26 : 123 * : * 1104 C:\WINDOWS\system32\svchost.exe
    Udp 192.168.88.254 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
    Udp 0.0.0.0 : 6631 * : * 3540 C:\Program Files\goodPic\goodPicAp.exe
    Udp 127.0.0.1 : 1050 * : * 2808 C:\Documents and Settings\audit\Application Data\dx\dxime\dximecikuUpdate.exe
    Udp 0.0.0.0 : 3456 * : * 1780 C:\WINDOWS\system32\inetsrv\inetinfo.exe
    Udp 127.0.0.1 : 1054 * : * 2828 C:\WINDOWS\explorer.exe
    Udp 127.0.0.1 : 1729 * : * 3796 C:\Documents and Settings\audit\桌面\PCHunter_PortableSoft\PCHunter32.exe
    Udp 192.168.88.254 : 137 * : * 4 System
    Udp 127.0.0.1 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
    Udp 127.0.0.1 : 1524 * : * 3556 C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe
    Udp 172.22.0.26 : 1900 * : * 1308 C:\WINDOWS\system32\svchost.exe
    Udp 0.0.0.0 : 1325 * : * 5912 C:\Program Files\Tencent\QQ\QQProtect\Bin\QQProtect.exe
    Udp 0.0.0.0 : 445 * : * 4 System
    Raw --- --- --- 4 System
    yache
        15
    yache  
    OP
       2014-07-01 08:35:17 +08:00
    我怀疑是Goodpic这个进程有问题
    yache
        16
    yache  
    OP
       2014-07-01 08:38:52 +08:00
    我一直认为360是垃圾软件,所以也一直没有敢用它
    @momo5269 谢谢您的分析
    yache
        17
    yache  
    OP
       2014-07-01 08:47:25 +08:00
    进程

    System - System -
    httpd.exe - D:\EmpireServer\php\apache2.2\bin\httpd.exe - Apache Software Foundation
    kxetray.exe - C:\Program Files\kingsoft\kingsoft antivirus\kxetray.exe - Kingsoft Corporation
    Univers.exe - C:\Documents and Settings\audit\Application Data\dx\dxime\Univers.exe -
    smss.exe - C:\WINDOWS\system32\smss.exe - Microsoft Corporation
    csrss.exe - C:\WINDOWS\system32\csrss.exe - Microsoft Corporation
    winlogon.exe - C:\WINDOWS\system32\winlogon.exe - Microsoft Corporation
    LiveUpdate360.exe - C:\Program Files\360\360safe\LiveUpdate360.exe - 360.cn
    360Tray.exe - C:\Program Files\360\360safe\safemon\360Tray.exe - 360.cn
    services.exe - C:\WINDOWS\system32\services.exe - Microsoft Corporation
    dximecikuUpdate.exe - C:\Documents and Settings\audit\Application Data\dx\dxime\dximecikuUpdate.exe -
    lsass.exe - C:\WINDOWS\system32\lsass.exe - Microsoft Corporation
    kxescore.exe - C:\Program Files\kingsoft\kingsoft antivirus\kxescore.exe - Kingsoft Corporation
    QQ.exe - C:\Program Files\Tencent\QQ\Bin\QQ.exe - Tencent
    conime.exe - C:\WINDOWS\system32\conime.exe - Microsoft Corporation
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    QQ.exe - C:\Program Files\Tencent\QQ\Bin\QQ.exe - Tencent
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    360Safe.exe - C:\Program Files\360\360safe\360Safe.exe -
    spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe - Microsoft Corporation
    firefox.exe - C:\Program Files\Mozilla Firefox\firefox.exe - Mozilla Corporation
    explorer.exe - C:\WINDOWS\explorer.exe - Microsoft Corporation
    httpd.exe - D:\EmpireServer\php\apache2.2\bin\httpd.exe - Apache Software Foundation
    DhMachineSvc.exe - C:\Program Files\Microsoft Device Health\DhMachineSvc.exe -
    inetinfo.exe - C:\WINDOWS\system32\inetsrv\inetinfo.exe - Microsoft Corporation
    sqlservr.exe - C:\Program Files\Microsoft SQL Server\MSSQL10_50.SQLEXPRESS\MSSQL\Binn\sqlservr.exe - Microsoft Corporation
    QQProtect.exe - C:\Program Files\Tencent\QQ\QQProtect\Bin\QQProtect.exe - Tencent
    mysqld-nt.exe - D:\EmpireServer\php\mysql5\bin\mysqld-nt.exe -
    RaRegistry.exe - C:\Program Files\baidu\小度WiFi\RaRegistry.exe - Ralink Technology, Corp.
    sqlwriter.exe - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe - Microsoft Corporation
    svchost.exe - C:\WINDOWS\system32\svchost.exe - Microsoft Corporation
    goagent.exe - C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\goagent.exe - goagent.org
    PinyinUp.exe - C:\Program Files\SogouInput\6.2.0.7270\PinyinUp.exe - Sogou.com Inc.
    AlipaySecSvc.exe - C:\Program Files\alipay\alieditplus\AlipaySecSvc.exe - Alipay Inc.
    SoftMgrLite.exe - C:\Program Files\360\360safe\SoftMgr\SML\SoftMgrLite.exe - 360.cn
    alg.exe - C:\WINDOWS\system32\alg.exe - Microsoft Corporation
    ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe - Microsoft Corporation
    BwifiWinManager.exe - C:\Program Files\baidu\小度WiFi\BwifiWinManager.exe - 百度在线网络技术(北京)有限公司
    PCHunter32.exe - C:\Documents and Settings\audit\桌面\PCHunter_PortableSoft\PCHunter32.exe - 一普明为(北京)信息技术有限公司
    python33.exe - C:\Documents and Settings\audit\Application Data\Mozilla\Firefox\Profiles\bjntaobm.default\GoAgent\python33.exe -
    WindowsXP-KB939373-x86-CHS.exe - C:\Program Files\360\360safe\hotfix\WindowsXP-KB939373-x86-CHS.exe - Microsoft Corporation
    ZhuDongFangYu.exe - C:\Program Files\360\360safe\deepscan\ZhuDongFangYu.exe - 360.cn
    update.exe - D:\33a65a06e375fcbabbc04d61\update\update.exe - Microsoft Corporation
    SogouCloud.exe - C:\Program Files\SogouInput\6.2.0.7270\SogouCloud.exe - Sogou.com Inc.
    Idle - Idle -
    momo5269
        18
    momo5269  
       2014-07-01 22:53:50 +08:00
    @yache 国内厂商的软件本体多半都是垃圾 但是提供的工具都挺好用的 本体查不出来的都查得出来
    两小时前还遇到一个组策略阻止这些工具启动但是不阻止卫士和杀毒的(百度卫士百度杀毒金山毒霸)
    …………


    那啥,使用PowerTool或者查看XueTr进程吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   970 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:00 · PVG 04:00 · LAX 12:00 · JFK 15:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.