V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
showgood163
V2EX  ›  问与答

卧槽,写着文档呢, win10 就自动装上 qq 浏览器了!

  •  1
     
  •   showgood163 · 2018-10-06 19:37:16 +08:00 via Android · 9092 次点击
    这是一个创建于 2275 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原因自己想不出来。这台机子是联想的台式机,原装 win10,一个星期只启动 win10 一次,并且没有装过任何腾讯百度阿里 360 系的任何软件。

    现在想弄明白到底发生了什么,怎么阻止这样的事再次发生。求指教!

    第 1 条附言  ·  2018-10-06 21:14:19 +08:00

    目前听了@orochix的,装了火绒,卸载浏览器了又重启

    火绒还真拦住了 无标题.png

    可是这有效信息有点少,实在读不出来

    第 2 条附言  ·  2018-10-06 21:33:14 +08:00
    根据 @whwq2012 的想法,翻了以下日志,找到了一些登陆信息(?)其中用户名称我并不知晓

    ![无标题.png]( https://i.loli.net/2018/10/06/5bb8b85f4f13e.png)
    第 3 条附言  ·  2018-10-07 12:16:47 +08:00

    补充一些内容

    关于系统,是原装的没动过.

    关于系统里安装的软件,列表在这里

    关于OFFICE,本来机子上有预装的,只是手贱卸载metro(?)应用时,输错了指令,把OFFICE也卸载了.之后从msdnitellyou上下载office pp 2016并安装.

    关于KMS,用的是kms vl all,我从V6.8用到现在没出过问题.有兴趣可以看一下

    关于运行的程序,有点多,放图影响阅读,还是不放了,值得注意的是有一个syswow64文件夹下的lechost.exe,昨天重命名该exe,删除所有'lenovo'文件夹并重启后,它又出现了,然后它确实是联想的东西3.PNG

    86 条回复    2018-10-08 16:29:50 +08:00
    orochix
        1
    orochix  
       2018-10-06 19:46:28 +08:00 via Android   ❤️ 1
    卧槽,打着游戏呢,win10 就自动装上了 QQ 管家全家桶!


    。。。。。因为你装了 QQ。阻止他们就用火绒吧。
    proudofmyself911
        2
    proudofmyself911  
       2018-10-06 19:50:10 +08:00 via Android
    有国产软件嘛。
    easylee
        3
    easylee  
       2018-10-06 19:50:14 +08:00 via Android
    @orochix 楼主说明了没有装任何腾讯系软件哦。

    这个问题这么发就相当于是盲人摸象,用啥写文档的? office ?正版么? QQ 浏览器是 pc 版还是 uwp 版。
    showgood163
        4
    showgood163  
    OP
       2018-10-06 20:21:46 +08:00 via Android
    @orochix 国产根本没碰。。倒是有个 cent browser,也是从官网(英文页面)上下载的。
    showgood163
        5
    showgood163  
    OP
       2018-10-06 20:21:53 +08:00 via Android
    @proudofmyself911 没有的
    showgood163
        6
    showgood163  
    OP
       2018-10-06 20:23:14 +08:00 via Android
    @easylee ms office 2016,kms 激活,可以保证激活不会有广告。浏览器是 pc 版的。
    pityhero233
        7
    pityhero233  
       2018-10-06 20:23:22 +08:00 via Android   ❤️ 8
    上 360、毒霸、金山、瑞星、电脑管家,互相设置黑名单、互相封锁进程,以毒攻毒
    andbutor
        8
    andbutor  
       2018-10-06 20:23:40 +08:00 via Android
    有些国产工具类软件也会捆绑大厂软件推广,比如压缩什么的
    pityhero233
        9
    pityhero233  
       2018-10-06 20:23:47 +08:00 via Android   ❤️ 4
    @pityhero233 或许最后会选出蛊王来(
    oppoic
        10
    oppoic  
       2018-10-06 20:24:19 +08:00 via iPhone
    win 10 系统默认会自动安装几次推荐软件,楼主搜索下关键词:win10 自动安装软件。
    showgood163
        11
    showgood163  
    OP
       2018-10-06 20:25:07 +08:00 via Android
    另外,之前是 19:26 装上的,卸载完重启。20:18 又装上了。真难受。
    Gua
        12
    Gua  
       2018-10-06 20:27:50 +08:00
    是联系 OEM 系统不 有的系统会自带软件,即使你重装系统(除非抹掉重装) 也会自动安装
    showgood163
        13
    showgood163  
    OP
       2018-10-06 20:28:16 +08:00 via Android
    这次手快,看到任务栏上多东西了就找了下安装进程,发现软件安装包在 syswow64 里,60m 左右,手动结束后一会就没了。
    showgood163
        14
    showgood163  
    OP
       2018-10-06 20:28:35 +08:00 via Android
    @Gua 确实是 oem。
    kokutou
        15
    kokutou  
       2018-10-06 20:55:58 +08:00
    联想的电脑管家是基于 qq 电脑管家做的。。。
    看看联想电脑管家的文件夹就知道了。
    2Go
        16
    2Go  
       2018-10-06 20:58:55 +08:00 via Android   ❤️ 1
    @pityhero233 操作猛如虎
    janus77
        17
    janus77  
       2018-10-06 21:02:46 +08:00 via Android
    所以最后的原因是 oem 搞的事?
    whwq2012
        18
    whwq2012  
       2018-10-06 21:04:21 +08:00 via Android
    看看日志,看看谁做的。另外把正在运行的程序打出来看看,没准有流氓在后台偷偷运行
    jasonyang9
        19
    jasonyang9  
       2018-10-06 21:05:00 +08:00
    这种 OEM 系统用火绒管不住么?换 Linux 吧(逃
    showgood163
        20
    showgood163  
    OP
       2018-10-06 21:19:15 +08:00
    @kokutou emmm...用 everything 把带 lenovo 的字样的所有文件夹都干爆了..重启之后发现又出现了些 lenovo 文件夹,一看是 syswow64 目录下 lechost.exe 创建的.
    showgood163
        21
    showgood163  
    OP
       2018-10-06 21:20:18 +08:00
    @jasonyang9 这机子一周里 6 天半都再跑 arch..windows 就用半天,写点文档啥的..
    showgood163
        22
    showgood163  
    OP
       2018-10-06 21:25:13 +08:00
    @whwq2012 日志怎么看?是计算机管理里哪个吗?好像看到不认识的用户有登陆记录.
    showgood163
        23
    showgood163  
    OP
       2018-10-06 21:25:55 +08:00
    @janus77 大概率吧.
    kokutou
        24
    kokutou  
       2018-10-06 21:27:30 +08:00 via Android
    @showgood163 格掉重装不就行了。。。
    showgood163
        25
    showgood163  
    OP
       2018-10-06 21:29:41 +08:00
    @kokutou 没当初那么积极了.现在只想找到根源,然后解决.
    wdy3334
        26
    wdy3334  
       2018-10-06 21:29:50 +08:00 via Android   ❤️ 3
    卧槽,我昨天就梦见我电脑自动装了 qq 浏览器,360 还有金山毒霸,被吓醒了
    pityhero233
        27
    pityhero233  
       2018-10-06 21:37:19 +08:00 via Android
    @wdy3334 哈哈哈哈哈哈
    flynaj
        28
    flynaj  
       2018-10-06 22:14:22 +08:00 via Android
    @Gua 估计就是那个激活软件搞得鬼
    agdhole
        29
    agdhole  
       2018-10-06 22:21:10 +08:00 via Android
    oem 或者激活软件的问题
    kms 可以直接命令行敲进去不用激活工具
    showgood163
        30
    showgood163  
    OP
       2018-10-06 22:28:55 +08:00 via Android
    @wdy3334 emmm。。我三年前真实遇到过百度全家桶,也是不知道怎么回事,桌面上就咕噜咕噜冒出来一堆(10 个左右)。进安全模式,全卸载,删启动项,一小时之后又冒出来了。。来回了三次我就决心格盘了。。
    showgood163
        31
    showgood163  
    OP
       2018-10-06 22:31:35 +08:00 via Android
    @agdhole @flynaj 并不是。用了 n 次了,激活的其它机子一点问题也没有。可以直说用的是 kms vl all,从某国外论坛(mydigitallife ?)直接下的。一直都很棒。
    ysc3839
        32
    ysc3839  
       2018-10-06 22:44:49 +08:00 via Android
    先重装原版系统看看吧。
    showgood163
        33
    showgood163  
    OP
       2018-10-06 23:05:49 +08:00
    @ysc3839 一周用一次,公家的机子,犯不着。。自己的机子早折腾十次八次了。。。
    wohenyingyu03
        34
    wohenyingyu03  
       2018-10-06 23:24:18 +08:00 via iPhone
    激活软件嫌疑最大……
    Myprincess
        35
    Myprincess  
       2018-10-06 23:42:01 +08:00
    那是你可能是新装的系统,并且使用的是本地帐户所出现这种自动安装,一般系统安装后直接用帐号登陆,然后取消就可以了。
    showgood163
        36
    showgood163  
    OP
       2018-10-06 23:52:15 +08:00
    @wohenyingyu03 真不是。。
    showgood163
        37
    showgood163  
    OP
       2018-10-06 23:55:12 +08:00
    @showgood163 这台机子上的系统是九月十几号第一次开启并激活的,到现在已经三周左右了把并且有那么几天只用 windows,所以不像是这种问题。
    greed1is9good
        38
    greed1is9good  
       2018-10-07 00:01:52 +08:00
    盗版 ghost 系统吧,都是驱动注入的。。。
    SoraneKazehana
        39
    SoraneKazehana  
       2018-10-07 00:18:27 +08:00   ❤️ 2
    我觉得如果系统是 OEM 的
    那应该是 OEM 的问题
    你可以尝试联系联想售后,提供原版系统重装
    看用户组并没有什么问题
    zhangkunkyle
        40
    zhangkunkyle  
       2018-10-07 00:41:01 +08:00 via iPhone   ❤️ 2
    process monitor 看日志吧,用户层找不到就用 pchunter 看有没有可疑驱动
    yingfengi
        41
    yingfengi  
       2018-10-07 00:46:01 +08:00 via Android
    KMS 激活
    查下你的激活软件
    geelaw
        42
    geelaw  
       2018-10-07 04:29:31 +08:00   ❤️ 1
    我从没听说 Microsoft 和腾讯有这种合作。

    另外,dllhost.exe 是一个宿主进程,它本身没有什么“实质性”的业务逻辑,它的作用是把 COM object 放在单独的进程里。你可以把它理解为 svchost.exe 和 rundll32.exe 或者 Python interpreter 这样的东西。如果一个软件用 Python 脚本安装软件,说“ Python 安装了这个软件”不是很有意义。


    隔离 COM object 的主要作用是安全和防止 COM object 的代码崩溃影响到访问 COM object 的进程,File Explorer 大量使用这类宿主方式。例如,防止缩略图提取器或者预览器让 File Explorer 崩溃。
    sdshdv
        43
    sdshdv  
       2018-10-07 04:35:29 +08:00 via Android
    去微软下载原版 win10 重装就能解决了,你这个明显是 OEM 系统植入软件,不重装没解决办法
    redapple02041
        44
    redapple02041  
       2018-10-07 07:33:47 +08:00
    杀下毒或者把 DLLhost.exe 用原版替换下?
    xyfan
        45
    xyfan  
       2018-10-07 08:35:10 +08:00 via Android   ❤️ 1
    我也是我也是,我还怀疑是 wegame 客户端安装的,看起来不是。另外我电脑 win10 和 office 都是出厂的原版( OEM 版),没有用过 KMS。
    passerbytiny
        46
    passerbytiny  
       2018-10-07 08:46:07 +08:00
    微软为了特意治那些手不干净的 OEM,特意提供了“全新安装”功能。
    wolfie
        47
    wolfie  
       2018-10-07 09:00:45 +08:00   ❤️ 2
    联想问题。

    没事给你安装一个自己的管家。
    火绒都不带阻止的。

    前段时间安装 qq 浏览器,还好被火绒阻止了。
    WhatIf
        48
    WhatIf  
       2018-10-07 09:16:31 +08:00
    你用的 kms 可能有问题
    Dk2014
        49
    Dk2014  
       2018-10-07 09:21:08 +08:00 via Android
    下 vl 版重装,kms 直接用 ps 改成别人的域名
    ghhardy
        50
    ghhardy  
       2018-10-07 10:03:24 +08:00 via Android
    看来联想连操作系统都有问题
    okjb
        51
    okjb  
       2018-10-07 10:09:59 +08:00
    TIM 更新捆绑腾讯视频,幸亏有 360 流氓大师,每次阻止了他,然后退出 360。。
    ooooo
        52
    ooooo  
       2018-10-07 10:52:05 +08:00
    系统程序列表截个图
    系统进程截个图放上来
    大家好分析
    shijingshijing
        53
    shijingshijing  
       2018-10-07 10:53:29 +08:00   ❤️ 1
    搜一下 lenovo bloatware,国外版的也有,装一堆试用版的东西 Symantec 的一堆试用版啊,一堆看图软件的试用版啊。你这个不过是 OEM 预装国内加强版
    showgood163
        54
    showgood163  
    OP
       2018-10-07 11:15:08 +08:00 via Android
    @greed1is9good 不是。这台机子是公家的,出厂有原装,自己再折腾没有意义
    acess
        55
    acess  
       2018-10-07 11:27:00 +08:00
    1.NTFS 支持审核:
    https://blog.csdn.net/huashuolin001/article/details/73863324
    (好像还要在 secpol.msc 里调高级审核策略,具体不太记得了)

    2.Process Monitor 支持 boot logging,从下次重启后的系统引导开始就可以记录事件。
    可以按 CTRL+T 显示进程树来辅助判断。

    不过也难保搞流氓推广的人会针对性检测、规避。
    passerbytiny
        56
    passerbytiny  
       2018-10-07 11:44:41 +08:00   ❤️ 1
    @showgood163 #53 你这个基本可以确定是 OEM 预装干的事,联想的 OEM 预装在国外都很流氓,就更别说国内了。
    试试 win10 提供的“全新启动”吧,应该是除了激活码保留外,其他的全部是重新安装的。设置-更新和安全-恢复,在最下一行有个链接,点进去到达“ windows 安全中心”,就能找到入口了。
    showgood163
        57
    showgood163  
    OP
       2018-10-07 12:20:08 +08:00
    @SoraneKazehana 关于 windows 事件日志这块我不是很懂,看到些可能相关的东西但是并不知道哪些信息真正有用
    C2G
        58
    C2G  
       2018-10-07 12:23:22 +08:00 via Android
    UAC 调到最高试试
    georgetso
        59
    georgetso  
       2018-10-07 12:25:54 +08:00 via iPhone
    Surface 看戏
    showgood163
        60
    showgood163  
    OP
       2018-10-07 12:28:30 +08:00
    @zhangkunkyle 请问 pc hunter 该如何使用?在驱动模块中重点看蓝色的是吗?
    showgood163
        61
    showgood163  
    OP
       2018-10-07 12:29:48 +08:00
    @geelaw 是,所以说这东西没有啥实质性的信息..但同时也并不知道如何获取实质性的信息
    showgood163
        62
    showgood163  
    OP
       2018-10-07 12:33:50 +08:00
    @sdshdv
    @Dk2014
    @passerbytiny
    重装应该可行.不过我现在只想解决这个问题...
    showgood163
        63
    showgood163  
    OP
       2018-10-07 12:36:23 +08:00
    @xyfan emm,如果情况属实,这就应该是系统问题了.昨天又一次把 syswow64 下的 lechost.exe 干掉了之后,就没出现这种情况了.这文件是用服务启动的,服务名也是 lechost,你可以看看..
    showgood163
        64
    showgood163  
    OP
       2018-10-07 12:37:26 +08:00
    @wolfie 对,是同样的问题,同样的解决方法..
    SupperMary
        65
    SupperMary  
       2018-10-07 12:37:31 +08:00 via Android   ❤️ 1
    @showgood163 手动删除 lechost.exe ,新建文本文件,改名为 lechost.exe ,设置文件属性只读。
    showgood163
        66
    showgood163  
    OP
       2018-10-07 12:39:00 +08:00
    @shijingshijing 可以看下 append,目前留下的联想的东西只有一个键盘驱动,没这东西键盘上 fn 功能键就废掉了..
    showgood163
        67
    showgood163  
    OP
       2018-10-07 12:44:55 +08:00
    @SupperMary 嗯.这是个不错的方法.关于这个文件,昨晚一开始是改了文件名,重启后再次出现,然后删的文件,再次重启,到现在也没出现这个文件.QQ 浏览器也没再自动安装了.我想再看看这东西还会不会出现.
    xxgirl2
        68
    xxgirl2  
       2018-10-07 12:57:47 +08:00
    不说别的,我 kms 用的是 vlmcsd。不过因为一周开不了一次机,每开一次 update 就占满 CPU,已经删了 windows 了。
    顺便 oem 系统真的 hmmm。
    showgood163
        69
    showgood163  
    OP
       2018-10-07 13:39:24 +08:00 via Android
    @C2G emm,又中招了,uac 到最高没有作用,火绒有提示。
    abmin521
        70
    abmin521  
       2018-10-07 13:40:55 +08:00
    我也用过联想 也有这个文件 但是没有这个问题
    showgood163
        71
    showgood163  
    OP
       2018-10-07 14:46:03 +08:00 via Android
    @abmin521 所以这个文件可能只是 qq 浏览器的另一个副产品。
    relife
        72
    relife  
       2018-10-07 15:52:45 +08:00 via Android
    楼主是不是用 pe 装的系统
    acess
        73
    acess  
       2018-10-07 16:59:51 +08:00
    Procmon 可以看到进程树和调用栈,这样的话应该就可以看到 dllhost 背后是啥了。
    greed1is9good
        74
    greed1is9good  
       2018-10-07 20:30:51 +08:00
    试试 powershell,看看驱动进程钩子什么的。。。
    Sunnic
        75
    Sunnic  
       2018-10-07 20:50:08 +08:00 via Android
    我的几台 tp 都没有这个问题,看来还跟电脑系列有关系?
    celeron533
        76
    celeron533  
       2018-10-07 20:54:48 +08:00
    联想预装的 windows10 是动过手脚的,你用它自带的恢复系统功能还是会带上一大堆合作软件,除非是格掉重做系统
    lengsir
        77
    lengsir  
       2018-10-07 23:01:36 +08:00
    你是不是在哪个下载站点了高速下载
    showgood163
        78
    showgood163  
    OP
       2018-10-08 01:02:37 +08:00 via Android
    @relife 请看 append
    showgood163
        79
    showgood163  
    OP
       2018-10-08 01:02:52 +08:00 via Android
    @Sunnic 应该是。我这边是采购的台式机。。。
    showgood163
        80
    showgood163  
    OP
       2018-10-08 01:03:33 +08:00 via Android
    @celeron533 嗯。确实是。这次想揪出元凶来。。
    showgood163
        81
    showgood163  
    OP
       2018-10-08 01:04:39 +08:00 via Android
    @lengsir 这种错误不会犯的。百度全家桶我真的吃过。全部卸载完,又出现,折腾了三次。全盘格了。
    luckykong
        82
    luckykong  
       2018-10-08 02:36:28 +08:00   ❤️ 1
    试试 ProcessMonitor ?
    Philippa
        83
    Philippa  
       2018-10-08 04:01:13 +08:00 via iPhone   ❤️ 1
    看标题还以为是 Windows,进来一看标题党。从官网工具做成的镜像非常干净,根本不会遇到这种问题。
    cnTangLang
        84
    cnTangLang  
       2018-10-08 08:21:29 +08:00 via Android   ❤️ 1
    做法有问题:应该重命名 lechost.exe 后,新建一个名为 lechost.exe 的文件夹,然后文件夹里面新建一个只读文件,一般可以阻止同名流氓文件再生。如果还不行(企鹅系软件就会干掉文件夹),就去掉新建的文件夹所有用户的读取权限。
    zhangkunkyle
        85
    zhangkunkyle  
       2018-10-08 16:23:13 +08:00 via iPhone
    @showgood163 我也很久没用 windows 了,建议简单看下第三方驱动,再简单看看内核回调里面有没有 cmpcallbackshutdown 这种典型保护注册表和关机回写的,另外检测下 mbr 吧。驱动木马和引导区木马比较难搞,一些白利用的或者伪装的好的比较难看,之前搞双枪暗云这类木马就是搞了好久才发现,挺耽误时间的研究这些,不行的话就用节省时间的方法吧,用 360 系统急救箱: http://www.360.cn/superfirstaid/index.html 的强力模式二次扫描,内核层驱动木马以前几乎是通杀的,引导区木马理论上来说比较危险,有些针对性对抗急救箱的有蓝屏风险,建议准备好 pe 再搞
    zhangkunkyle
        86
    zhangkunkyle  
       2018-10-08 16:29:50 +08:00 via iPhone   ❤️ 1
    @showgood163 自己搞费时费力,所以为了节省时间,这还有一招儿,扔到卡饭论坛上去,描述清楚问题,留好联系方式,分别在 360 腾讯金山火绒板块下标题写上他们家杀软杀不掉的新木马,马上就会有工作人员联系要远程查看了,杀软各家以前都安排人盯着卡饭的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1524 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:03 · PVG 01:03 · LAX 09:03 · JFK 12:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.