1
2232588429 OP |
2
2232588429 OP 弹窗 |
3
czc2004211 2017-10-29 01:00:03 +08:00 via Android
我搜了一下就看到是 yy 了。。问之前好歹搜一下吧
|
4
2232588429 OP @czc2004211 #3 但是我 YY 都卸载了哟。
|
5
czc2004211 2017-10-29 01:37:32 +08:00 via Android
@2232588429 这就是 yy 牛逼的地方了
|
6
CEBBCAT 2017-10-29 01:51:53 +08:00 via Android
哈希值不贴,对己对公都不好
|
7
wevsty 2017-10-29 02:11:28 +08:00
管理员权限运行 process explorer 还查不到路径的话那肯定是有驱动保护了。
|
8
oh 2017-10-29 02:17:23 +08:00 via iPhone
为啥觉得那句 拒绝访问。 是人工写的呢…
|
10
rocai185 2017-10-29 03:33:00 +08:00
我今天也是这个弹窗,已经卸载了,是 YY 的
|
11
2232588429 OP @rocai185 #10 好像这个计划任务是卸载不干净的,还留在里面。
|
12
2232588429 OP |
13
quinoa42 2017-10-29 09:02:55 +08:00
yy 卸载后留下的闲杂文件里有可执行文件,注册表里也写入了
我上个月也遇到了,不过不是这个文件名 |
14
zuoshoufantexi 2017-10-29 09:25:53 +08:00
这都得是多无耻才能干出这样的事情呀?
|
15
2232588429 OP @quinoa42 #13 后来是怎么删干净的呢?
|
18
Osk 2017-10-29 10:17:33 +08:00 via Android
进入 pe,使用 autoruns 分析离线系统试试
|
19
cchange 2017-10-29 10:57:46 +08:00 via iPhone
@humorce powertools 在我电脑上无法加载驱动…… 无法显示进程
不会已经中 rootkit 了吧…… |
20
Izual_Yang 2017-10-29 12:33:03 +08:00 via Android
@cchange 你怕是 64 位系统上运行了 32 位 powertools ?
|
21
rocai185 2017-10-29 12:44:36 +08:00
@2232588429 我卸载后已经在 process explorer 里面查不到了,你的是在哪里查的
|
23
MinonHeart 2017-10-29 17:56:17 +08:00 1
Common places:
%appdata%\duowan\yygame\popup\bin %appdata%\duowan\yygame\popup\package\0.0.7\popup |