腾讯电脑管家，驱动级弹广告软件

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3318 天前的主题，其中的信息可能已经有所发展或是发生改变。

以前因为要使用自动查找软件新版本升级的功能，又不信任 360 ，所以装了腾讯电脑管家。当然腾讯也不怎么要脸，但我想它好歹是 3 巨头之一的大企业，不要脸也应该有个底线吧。事实证明我还是太天真了。从前几天起，我电脑启动之后，右下角就会弹窗出一个游戏广告。我发现中招之后就去看启动项，结果竟然找不到可疑程序。好在这个弹窗不会自己消失，于是我用软件找到了它的 exe 。发现竟然是在 windows/temp/里，文件名是 QMExpandTips1996.exe ，上网搜 QMExpandTips 结果也搜不到结果。懒得深究，于是删除了事。结果第二天开电脑，发现又弹了。一看是在开机时候又生成了新的 exe ，只是四个数字换了下，一共生成了 6 个文件： 23C5.tmp 23C4.tmp QMEXPANDHELPER0156.EXE QMExpandTips1996.exe 609F.tmp 60A0.tmp

这完全是木马的套路吧，我到这时候才想到有可能是腾讯电脑管家的驱动去生成的这些 exe ，所以启动项里才找不到痕迹（我电脑管家这个软件本身不是自启动的，只有可能是它附带的驱动干的）。一个反流氓软件自己去耍流氓，真是厉害，不知道是腾讯哪位领导做出的这个决策。

exe

管家

电脑

腾讯

26 条回复 2016-09-15 09:04:51 +08:00

paradoxs

2016-09-13 20:48:44 +08:00

在 osx 下面截图.app 还联网呢

ayconanw

2016-09-13 20:48:56 +08:00

另外我试了一下点那个弹窗，会自动安装 qq 游戏大厅并启动，中间无任何提示，也没有要求管理员权限。说明这 exe 本来就是以管理员权限启动的。

Quaintjade

2016-09-13 21:12:27 +08:00

qq 游戏有个服务禁用之后，每次重启都会重新改成自动，不知道是哪种方式干的，反正用 Windows 自带的任务管理器(看启动项)、设备管理器(看虚拟驱动)都找不到启动项。最后直接把服务和 exe 文件删了，倒是没再出现。

ayconanw

2016-09-13 21:13:52 +08:00

[IMG]http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210615022.png?602x765_130[/IMG]

[IMG]http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210556091.png?602x765_130[/IMG]

两个弹广告的 exe 都有腾讯的数字签名

ayconanw

2016-09-13 21:15:18 +08:00

@Quaintjade 腾讯所有游戏都会装个驱动， TenProtect ，估计是这个搞的鬼

ayconanw

2016-09-13 21:17:41 +08:00

![]( http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210615022.png?602x765_130)

![]( http://image18-c.poco.cn/mypoco/myphoto/20160913/21/17386936320160913210556091.png?602x765_130)

v1024

2016-09-13 21:19:51 +08:00 via iPhone

最新的 1607win10 默认禁止未经微软认证的驱动，不知道能不能治这些流氓。

pmpio

2016-09-13 21:23:01 +08:00

越是大厂商，搞流氓的资源就越多。技术力量就不说了，人家还有合法的数字证书，所以才在 Windows 里畅通无阻。。。

nfroot

2016-09-13 21:26:30 +08:00

QQ 管家在浏览器各种插广告，还搞居中的那种小网页弹窗（就是什么新闻资讯窗口，里面很多资讯）。

只能说你不懂 360 也不懂 QQ 管家，所以不会选。

dzxx36gyy

2016-09-13 21:28:46 +08:00

腾讯的推广弹窗简直是后门级的……我已经干掉过四五次了，每次重启都会死灰复燃，名字还一直是带随机数字的，也不好处理，因为有数字签名所以还特么会被我的诺顿自动加白名单……真是日了狗

ayconanw

2016-09-13 21:32:57 +08:00

@v1024 问题电脑管家这个驱动是经过认证的

ptsa

2016-09-13 21:36:50 +08:00

有没有管理软件更新的光这个功能的其他不要的软件

zhs227

2016-09-13 22:33:31 +08:00

国内包括某教主等，以前都收揽了大量的微软员工，专门分析系统的弱点。
最初的目标可能是为了防止自己被别人干掉。在稳定立足以后，就开始弹窗不务正业

某些软件各种提醒明目张胆，类似于“我是你爹，不要卸载我，否则你麻烦大了”

singser123

2016-09-13 23:05:50 +08:00

用 xuetr 强制删除驱动，删除文件，建立同名空文件，然后用 windows 文件属性的权限管理禁止读取写入执行，搞定
已经用这个方法搞定猎豹浏览器。。。 md 一个浏览器也敢加载驱动

singser123

2016-09-13 23:06:25 +08:00

对了，还要删除服务项

xmi

2016-09-13 23:11:08 +08:00

YY 客户端的一切浏览器操作都会自动安装 YY 浏览器，完全没有任何提示，证书禁止后终于 YY 也用不了了。。。 hhh

zrj766

2016-09-13 23:56:38 +08:00 via Android

记得以前下了个 QQ 电管家，后来删了，但是留了一个 PCMar 文件夹，貌似是这个，然后动用了 360 强制删除都不行，删了再开机又出来了，蛋疼的不行。

irainsoft

2016-09-14 00:05:48 +08:00

一直在用略旧版的程序然后禁止升级...

shiji

2016-09-14 00:08:56 +08:00

我记得 XP 年代有一套工具能完整分析一个程序会创建那些服务，注册表，以及读取写入修改了硬盘的哪个地方。

dahuaer

2016-09-14 08:28:32 +08:00

@shiji 不晓得你说的是不是 filemon 和 regmon

macroideal

2016-09-14 09:02:49 +08:00 via iPhone

所以，我裸奔

shiji

2016-09-14 09:05:07 +08:00

@dahuaer 对的对的

mN71eOOprFyMsnPx

2016-09-14 09:11:37 +08:00

多年来如果要用 windows ，都会一直裸奔。

说实话，找软件的时候自己手动做，不要偷懒。

dahuaer

2016-09-14 09:20:22 +08:00

我的 Windows 没装管家，不过倒也到没有裸奔，买了个 3 年的 NOD EAV 的 key 。

@shiji 感觉一下子暴露了年龄。哈哈哈

Athrob

2016-09-15 09:02:57 +08:00

今天刚弹出来, 谷歌一搜就来到这里了.
![](

)
![](

)

Athrob

2016-09-15 09:04:51 +08:00

其实之前还好好的, 刚才不知道怎么的管家 CPU 一直 35%左右(4 核处理器), 风扇呜呜的. 然后我就重启了, 就出来了个这个.