首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
华为云
V2EX  ›  问与答

卧槽,写着文档呢, win10 就自动装上 qq 浏览器了!

  •  1
     
  •   showgood163 · 39 天前用 Android 发布 · 5060 次点击
    这是一个创建于 39 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原因自己想不出来。这台机子是联想的台式机,原装 win10,一个星期只启动 win10 一次,并且没有装过任何腾讯百度阿里 360 系的任何软件。

    现在想弄明白到底发生了什么,怎么阻止这样的事再次发生。求指教!

    第 1 条附言  ·  39 天前

    目前听了@orochix的,装了火绒,卸载浏览器了又重启

    火绒还真拦住了 无标题.png

    可是这有效信息有点少,实在读不出来

    第 2 条附言  ·  39 天前
    根据 @whwq2012 的想法,翻了以下日志,找到了一些登陆信息(?)其中用户名称我并不知晓

    ![无标题.png]( https://i.loli.net/2018/10/06/5bb8b85f4f13e.png)
    第 3 条附言  ·  38 天前

    补充一些内容

    关于系统,是原装的没动过.

    关于系统里安装的软件,列表在这里

    关于OFFICE,本来机子上有预装的,只是手贱卸载metro(?)应用时,输错了指令,把OFFICE也卸载了.之后从msdnitellyou上下载office pp 2016并安装.

    关于KMS,用的是kms vl all,我从V6.8用到现在没出过问题.有兴趣可以看一下

    关于运行的程序,有点多,放图影响阅读,还是不放了,值得注意的是有一个syswow64文件夹下的lechost.exe,昨天重命名该exe,删除所有'lenovo'文件夹并重启后,它又出现了,然后它确实是联想的东西3.PNG

    86 回复  |  直到 2018-10-08 16:29:50 +08:00
        1
    orochix   39 天前 via Android   ♥ 1
    卧槽,打着游戏呢,win10 就自动装上了 QQ 管家全家桶!


    。。。。。因为你装了 QQ。阻止他们就用火绒吧。
        2
    proudofmyself911   39 天前 via Android
    有国产软件嘛。
        3
    easylee   39 天前 via Android
    @orochix 楼主说明了没有装任何腾讯系软件哦。

    这个问题这么发就相当于是盲人摸象,用啥写文档的? office ?正版么? QQ 浏览器是 pc 版还是 uwp 版。
        4
    showgood163   39 天前 via Android
    @orochix 国产根本没碰。。倒是有个 cent browser,也是从官网(英文页面)上下载的。
        5
    showgood163   39 天前 via Android
    @proudofmyself911 没有的
        6
    showgood163   39 天前 via Android
    @easylee ms office 2016,kms 激活,可以保证激活不会有广告。浏览器是 pc 版的。
        7
    pityhero233   39 天前 via Android   ♥ 8
    上 360、毒霸、金山、瑞星、电脑管家,互相设置黑名单、互相封锁进程,以毒攻毒
        8
    andbutor   39 天前 via Android
    有些国产工具类软件也会捆绑大厂软件推广,比如压缩什么的
        9
    pityhero233   39 天前 via Android   ♥ 4
    @pityhero233 或许最后会选出蛊王来(
        10
    oppoic   39 天前 via iPhone
    win 10 系统默认会自动安装几次推荐软件,楼主搜索下关键词:win10 自动安装软件。
        11
    showgood163   39 天前 via Android
    另外,之前是 19:26 装上的,卸载完重启。20:18 又装上了。真难受。
        12
    Gua   39 天前
    是联系 OEM 系统不 有的系统会自带软件,即使你重装系统(除非抹掉重装) 也会自动安装
        13
    showgood163   39 天前 via Android
    这次手快,看到任务栏上多东西了就找了下安装进程,发现软件安装包在 syswow64 里,60m 左右,手动结束后一会就没了。
        14
    showgood163   39 天前 via Android
    @Gua 确实是 oem。
        15
    kokutou   39 天前
    联想的电脑管家是基于 qq 电脑管家做的。。。
    看看联想电脑管家的文件夹就知道了。
        16
    2Go   39 天前 via Android   ♥ 1
    @pityhero233 操作猛如虎
        17
    janus77   39 天前 via Android
    所以最后的原因是 oem 搞的事?
        18
    whwq2012   39 天前 via Android
    看看日志,看看谁做的。另外把正在运行的程序打出来看看,没准有流氓在后台偷偷运行
        19
    jasonyang9   39 天前
    这种 OEM 系统用火绒管不住么?换 Linux 吧(逃
        20
    showgood163   39 天前
    @kokutou emmm...用 everything 把带 lenovo 的字样的所有文件夹都干爆了..重启之后发现又出现了些 lenovo 文件夹,一看是 syswow64 目录下 lechost.exe 创建的.
        21
    showgood163   39 天前
    @jasonyang9 这机子一周里 6 天半都再跑 arch..windows 就用半天,写点文档啥的..
        22
    showgood163   39 天前
    @whwq2012 日志怎么看?是计算机管理里哪个吗?好像看到不认识的用户有登陆记录.
        23
    showgood163   39 天前
    @janus77 大概率吧.
        24
    kokutou   39 天前 via Android
    @showgood163 格掉重装不就行了。。。
        25
    showgood163   39 天前
    @kokutou 没当初那么积极了.现在只想找到根源,然后解决.
        26
    wdy3334   39 天前 via Android   ♥ 3
    卧槽,我昨天就梦见我电脑自动装了 qq 浏览器,360 还有金山毒霸,被吓醒了
        27
    pityhero233   39 天前 via Android
    @wdy3334 哈哈哈哈哈哈
        28
    flynaj   39 天前 via Android
    @Gua 估计就是那个激活软件搞得鬼
        29
    agdhole   39 天前 via Android
    oem 或者激活软件的问题
    kms 可以直接命令行敲进去不用激活工具
        30
    showgood163   39 天前 via Android
    @wdy3334 emmm。。我三年前真实遇到过百度全家桶,也是不知道怎么回事,桌面上就咕噜咕噜冒出来一堆(10 个左右)。进安全模式,全卸载,删启动项,一小时之后又冒出来了。。来回了三次我就决心格盘了。。
        31
    showgood163   39 天前 via Android
    @agdhole @flynaj 并不是。用了 n 次了,激活的其它机子一点问题也没有。可以直说用的是 kms vl all,从某国外论坛(mydigitallife ?)直接下的。一直都很棒。
        32
    ysc3839   39 天前 via Android
    先重装原版系统看看吧。
        33
    showgood163   39 天前
    @ysc3839 一周用一次,公家的机子,犯不着。。自己的机子早折腾十次八次了。。。
        34
    wohenyingyu03   39 天前 via iPhone
    激活软件嫌疑最大……
        35
    Myprincess   39 天前
    那是你可能是新装的系统,并且使用的是本地帐户所出现这种自动安装,一般系统安装后直接用帐号登陆,然后取消就可以了。
        36
    showgood163   39 天前
    @wohenyingyu03 真不是。。
        37
    showgood163   39 天前
    @showgood163 这台机子上的系统是九月十几号第一次开启并激活的,到现在已经三周左右了把并且有那么几天只用 windows,所以不像是这种问题。
        38
    greed1is9good   39 天前
    盗版 ghost 系统吧,都是驱动注入的。。。
        39
    SoraneKazehana   39 天前   ♥ 2
    我觉得如果系统是 OEM 的
    那应该是 OEM 的问题
    你可以尝试联系联想售后,提供原版系统重装
    看用户组并没有什么问题
        40
    zhangkunkyle   39 天前 via iPhone   ♥ 2
    process monitor 看日志吧,用户层找不到就用 pchunter 看有没有可疑驱动
        41
    yingfengi   39 天前 via Android
    KMS 激活
    查下你的激活软件
        42
    geelaw   39 天前   ♥ 1
    我从没听说 Microsoft 和腾讯有这种合作。

    另外,dllhost.exe 是一个宿主进程,它本身没有什么“实质性”的业务逻辑,它的作用是把 COM object 放在单独的进程里。你可以把它理解为 svchost.exe 和 rundll32.exe 或者 Python interpreter 这样的东西。如果一个软件用 Python 脚本安装软件,说“ Python 安装了这个软件”不是很有意义。


    隔离 COM object 的主要作用是安全和防止 COM object 的代码崩溃影响到访问 COM object 的进程,File Explorer 大量使用这类宿主方式。例如,防止缩略图提取器或者预览器让 File Explorer 崩溃。
        43
    sdshdv   39 天前 via Android
    去微软下载原版 win10 重装就能解决了,你这个明显是 OEM 系统植入软件,不重装没解决办法
        44
    redapple02041   38 天前
    杀下毒或者把 DLLhost.exe 用原版替换下?
        45
    xyfan   38 天前 via Android   ♥ 1
    我也是我也是,我还怀疑是 wegame 客户端安装的,看起来不是。另外我电脑 win10 和 office 都是出厂的原版( OEM 版),没有用过 KMS。
        46
    passerbytiny   38 天前
    微软为了特意治那些手不干净的 OEM,特意提供了“全新安装”功能。
        47
    wolfie   38 天前   ♥ 2
    联想问题。

    没事给你安装一个自己的管家。
    火绒都不带阻止的。

    前段时间安装 qq 浏览器,还好被火绒阻止了。
        48
    WhatIf   38 天前
    你用的 kms 可能有问题
        49
    Dk2014   38 天前 via Android
    下 vl 版重装,kms 直接用 ps 改成别人的域名
        50
    ghhardy   38 天前 via Android
    看来联想连操作系统都有问题
        51
    okjb   38 天前
    TIM 更新捆绑腾讯视频,幸亏有 360 流氓大师,每次阻止了他,然后退出 360。。
        52
    ooooo   38 天前
    系统程序列表截个图
    系统进程截个图放上来
    大家好分析
        53
    shijingshijing   38 天前   ♥ 1
    搜一下 lenovo bloatware,国外版的也有,装一堆试用版的东西 Symantec 的一堆试用版啊,一堆看图软件的试用版啊。你这个不过是 OEM 预装国内加强版
        54
    showgood163   38 天前 via Android
    @greed1is9good 不是。这台机子是公家的,出厂有原装,自己再折腾没有意义
        55
    acess   38 天前
    1.NTFS 支持审核:
    https://blog.csdn.net/huashuolin001/article/details/73863324
    (好像还要在 secpol.msc 里调高级审核策略,具体不太记得了)

    2.Process Monitor 支持 boot logging,从下次重启后的系统引导开始就可以记录事件。
    可以按 CTRL+T 显示进程树来辅助判断。

    不过也难保搞流氓推广的人会针对性检测、规避。
        56
    passerbytiny   38 天前   ♥ 1
    @showgood163 #53 你这个基本可以确定是 OEM 预装干的事,联想的 OEM 预装在国外都很流氓,就更别说国内了。
    试试 win10 提供的“全新启动”吧,应该是除了激活码保留外,其他的全部是重新安装的。设置-更新和安全-恢复,在最下一行有个链接,点进去到达“ windows 安全中心”,就能找到入口了。
        57
    showgood163   38 天前
    @SoraneKazehana 关于 windows 事件日志这块我不是很懂,看到些可能相关的东西但是并不知道哪些信息真正有用
        58
    C2G   38 天前 via Android
    UAC 调到最高试试
        59
    georgetso   38 天前 via iPhone
    Surface 看戏
        60
    showgood163   38 天前
    @zhangkunkyle 请问 pc hunter 该如何使用?在驱动模块中重点看蓝色的是吗?
        61
    showgood163   38 天前
    @geelaw 是,所以说这东西没有啥实质性的信息..但同时也并不知道如何获取实质性的信息
        62
    showgood163   38 天前
    @sdshdv
    @Dk2014
    @passerbytiny
    重装应该可行.不过我现在只想解决这个问题...
        63
    showgood163   38 天前
    @xyfan emm,如果情况属实,这就应该是系统问题了.昨天又一次把 syswow64 下的 lechost.exe 干掉了之后,就没出现这种情况了.这文件是用服务启动的,服务名也是 lechost,你可以看看..
        64
    showgood163   38 天前
    @wolfie 对,是同样的问题,同样的解决方法..
        65
    SupperMary   38 天前 via Android   ♥ 1
    @showgood163 手动删除 lechost.exe ,新建文本文件,改名为 lechost.exe ,设置文件属性只读。
        66
    showgood163   38 天前
    @shijingshijing 可以看下 append,目前留下的联想的东西只有一个键盘驱动,没这东西键盘上 fn 功能键就废掉了..
        67
    showgood163   38 天前
    @SupperMary 嗯.这是个不错的方法.关于这个文件,昨晚一开始是改了文件名,重启后再次出现,然后删的文件,再次重启,到现在也没出现这个文件.QQ 浏览器也没再自动安装了.我想再看看这东西还会不会出现.
        68
    xxgirl2   38 天前
    不说别的,我 kms 用的是 vlmcsd。不过因为一周开不了一次机,每开一次 update 就占满 CPU,已经删了 windows 了。
    顺便 oem 系统真的 hmmm。
        69
    showgood163   38 天前 via Android
    @C2G emm,又中招了,uac 到最高没有作用,火绒有提示。
        70
    abmin521   38 天前
    我也用过联想 也有这个文件 但是没有这个问题
        71
    showgood163   38 天前 via Android
    @abmin521 所以这个文件可能只是 qq 浏览器的另一个副产品。
        72
    relife   38 天前 via Android
    楼主是不是用 pe 装的系统
        73
    acess   38 天前
    Procmon 可以看到进程树和调用栈,这样的话应该就可以看到 dllhost 背后是啥了。
        74
    greed1is9good   38 天前
    试试 powershell,看看驱动进程钩子什么的。。。
        75
    Sunnic   38 天前 via Android
    我的几台 tp 都没有这个问题,看来还跟电脑系列有关系?
        76
    celeron533   38 天前
    联想预装的 windows10 是动过手脚的,你用它自带的恢复系统功能还是会带上一大堆合作软件,除非是格掉重做系统
        77
    lengsir   38 天前
    你是不是在哪个下载站点了高速下载
        78
    showgood163   38 天前 via Android
    @relife 请看 append
        79
    showgood163   38 天前 via Android
    @Sunnic 应该是。我这边是采购的台式机。。。
        80
    showgood163   38 天前 via Android
    @celeron533 嗯。确实是。这次想揪出元凶来。。
        81
    showgood163   38 天前 via Android
    @lengsir 这种错误不会犯的。百度全家桶我真的吃过。全部卸载完,又出现,折腾了三次。全盘格了。
        82
    luckykong   38 天前   ♥ 1
    试试 ProcessMonitor ?
        83
    Philippa   38 天前 via iPhone   ♥ 1
    看标题还以为是 Windows,进来一看标题党。从官网工具做成的镜像非常干净,根本不会遇到这种问题。
        84
    cnTangLang   37 天前 via Android   ♥ 1
    做法有问题:应该重命名 lechost.exe 后,新建一个名为 lechost.exe 的文件夹,然后文件夹里面新建一个只读文件,一般可以阻止同名流氓文件再生。如果还不行(企鹅系软件就会干掉文件夹),就去掉新建的文件夹所有用户的读取权限。
        85
    zhangkunkyle   37 天前 via iPhone
    @showgood163 我也很久没用 windows 了,建议简单看下第三方驱动,再简单看看内核回调里面有没有 cmpcallbackshutdown 这种典型保护注册表和关机回写的,另外检测下 mbr 吧。驱动木马和引导区木马比较难搞,一些白利用的或者伪装的好的比较难看,之前搞双枪暗云这类木马就是搞了好久才发现,挺耽误时间的研究这些,不行的话就用节省时间的方法吧,用 360 系统急救箱: http://www.360.cn/superfirstaid/index.html 的强力模式二次扫描,内核层驱动木马以前几乎是通杀的,引导区木马理论上来说比较危险,有些针对性对抗急救箱的有蓝屏风险,建议准备好 pe 再搞
        86
    zhangkunkyle   37 天前 via iPhone   ♥ 1
    @showgood163 自己搞费时费力,所以为了节省时间,这还有一招儿,扔到卡饭论坛上去,描述清楚问题,留好联系方式,分别在 360 腾讯金山火绒板块下标题写上他们家杀软杀不掉的新木马,马上就会有工作人员联系要远程查看了,杀软各家以前都安排人盯着卡饭的
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1029 人在线   最高记录 3821   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 25ms · UTC 23:32 · PVG 07:32 · LAX 15:32 · JFK 18:32
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1