腾讯电脑管家，驱动级弹广告软件 - V2EX

Home Sign Up Sign In

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

Sign Up Now

For Existing Member Sign In

This topic created in 3518 days ago, the information mentioned may be changed or developed.

以前因为要使用自动查找软件新版本升级的功能，又不信任 360 ，所以装了腾讯电脑管家。当然腾讯也不怎么要脸，但我想它好歹是 3 巨头之一的大企业，不要脸也应该有个底线吧。事实证明我还是太天真了。从前几天起，我电脑启动之后，右下角就会弹窗出一个游戏广告。我发现中招之后就去看启动项，结果竟然找不到可疑程序。好在这个弹窗不会自己消失，于是我用软件找到了它的 exe 。发现竟然是在 windows/temp/里，文件名是 QMExpandTips1996.exe ，上网搜 QMExpandTips 结果也搜不到结果。懒得深究，于是删除了事。结果第二天开电脑，发现又弹了。一看是在开机时候又生成了新的 exe ，只是四个数字换了下，一共生成了 6 个文件： 23C5.tmp 23C4.tmp QMEXPANDHELPER0156.EXE QMExpandTips1996.exe 609F.tmp 60A0.tmp

这完全是木马的套路吧，我到这时候才想到有可能是腾讯电脑管家的驱动去生成的这些 exe ，所以启动项里才找不到痕迹（我电脑管家这个软件本身不是自启动的，只有可能是它附带的驱动干的）。一个反流氓软件自己去耍流氓，真是厉害，不知道是腾讯哪位领导做出的这个决策。

26 replies • 2016-09-15 09:04:51 +08:00

1

paradoxs

Sep 13, 2016

在 osx 下面截图.app 还联网呢

2

ayconanw

OP

Sep 13, 2016

另外我试了一下点那个弹窗，会自动安装 qq 游戏大厅并启动，中间无任何提示，也没有要求管理员权限。说明这 exe 本来就是以管理员权限启动的。

3

Quaintjade

Sep 13, 2016

qq 游戏有个服务禁用之后，每次重启都会重新改成自动，不知道是哪种方式干的，反正用 Windows 自带的任务管理器(看启动项)、设备管理器(看虚拟驱动)都找不到启动项。最后直接把服务和 exe 文件删了，倒是没再出现。

4

ayconanw

OP

Sep 13, 2016

[IMG]http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210615022.png?602x765_130[/IMG]

[IMG]http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210556091.png?602x765_130[/IMG]

两个弹广告的 exe 都有腾讯的数字签名

5

ayconanw

OP

Sep 13, 2016

@Quaintjade 腾讯所有游戏都会装个驱动， TenProtect ，估计是这个搞的鬼

6

ayconanw

OP

Sep 13, 2016

![]( http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210615022.png?602x765_130)

![]( http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210556091.png?602x765_130)

7

v1024

Sep 13, 2016 via iPhone

最新的 1607win10 默认禁止未经微软认证的驱动，不知道能不能治这些流氓。

8

pmpio

Sep 13, 2016

越是大厂商，搞流氓的资源就越多。技术力量就不说了，人家还有合法的数字证书，所以才在 Windows 里畅通无阻。。。

9

nfroot

Sep 13, 2016

QQ 管家在浏览器各种插广告，还搞居中的那种小网页弹窗（就是什么新闻资讯窗口，里面很多资讯）。

只能说你不懂 360 也不懂 QQ 管家，所以不会选。

10

dzxx36gyy

Sep 13, 2016

腾讯的推广弹窗简直是后门级的……我已经干掉过四五次了，每次重启都会死灰复燃，名字还一直是带随机数字的，也不好处理，因为有数字签名所以还特么会被我的诺顿自动加白名单……真是日了狗

11

ayconanw

OP

Sep 13, 2016

@v1024 问题电脑管家这个驱动是经过认证的

12

ptsa

Sep 13, 2016

有没有管理软件更新的光这个功能的其他不要的软件

13

zhs227

Sep 13, 2016

国内包括某教主等，以前都收揽了大量的微软员工，专门分析系统的弱点。
最初的目标可能是为了防止自己被别人干掉。在稳定立足以后，就开始弹窗不务正业

某些软件各种提醒明目张胆，类似于“我是你爹，不要卸载我，否则你麻烦大了”

14

singser123

Sep 13, 2016

用 xuetr 强制删除驱动，删除文件，建立同名空文件，然后用 windows 文件属性的权限管理禁止读取写入执行，搞定
已经用这个方法搞定猎豹浏览器。。。 md 一个浏览器也敢加载驱动

15

singser123

Sep 13, 2016

对了，还要删除服务项

16

xmi

Sep 13, 2016

YY 客户端的一切浏览器操作都会自动安装 YY 浏览器，完全没有任何提示，证书禁止后终于 YY 也用不了了。。。 hhh

17

zrj766

Sep 13, 2016 via Android

记得以前下了个 QQ 电管家，后来删了，但是留了一个 PCMar 文件夹，貌似是这个，然后动用了 360 强制删除都不行，删了再开机又出来了，蛋疼的不行。

18

irainsoft

Sep 14, 2016

一直在用略旧版的程序然后禁止升级...

19

shiji

Sep 14, 2016

我记得 XP 年代有一套工具能完整分析一个程序会创建那些服务，注册表，以及读取写入修改了硬盘的哪个地方。

20

dahuaer

Sep 14, 2016

@shiji 不晓得你说的是不是 filemon 和 regmon

21

macroideal

Sep 14, 2016 via iPhone

所以，我裸奔

22

shiji

Sep 14, 2016

@dahuaer 对的对的

23

mN71eOOprFyMsnPx

Sep 14, 2016

多年来如果要用 windows ，都会一直裸奔。

说实话，找软件的时候自己手动做，不要偷懒。

24

dahuaer

Sep 14, 2016

我的 Windows 没装管家，不过倒也到没有裸奔，买了个 3 年的 NOD EAV 的 key 。

@shiji 感觉一下子暴露了年龄。哈哈哈

25

Athrob

Sep 15, 2016

今天刚弹出来, 谷歌一搜就来到这里了.
![](

)
![](

)

26

Athrob

Sep 15, 2016

其实之前还好好的, 刚才不知道怎么的管家 CPU 一直 35%左右(4 核处理器), 风扇呜呜的. 然后我就重启了, 就出来了个这个.

About · Help · Advertise · Blog · API · FAQ · Solana · 805 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 72ms · UTC 20:11 · PVG 04:11 · LAX 13:11 · JFK 16:11
♥ Do have faith in what you're doing.