游戏弹窗程序卸载完重启又出现，探究解决办法中发现与360浏览器有关

前几天我写了篇博文《流氓软件卸载了又偷偷冒出来，dllhost.exe暗藏安装玄机》，有朋友留言求助，反映游戏弹窗程序卸载之后重启系统又出现，按照我那片博文的方法在注册表、系统服务、计划任务里也查找不出与游戏相关的蛛丝马迹，屡禁不绝。不久连我自己台电脑也不幸中招了！卸载完游戏软件，下次重启电脑，用了一段时间桌面会出现“白蛇传奇”、“原始传奇”等游戏图标（如下图）。

网上的一些解决办法往往是拦截弹窗，但这只是换汤不换药，不能斩草除根。要么就是安装防毒软件查杀。我没有尝试防毒软件查杀，只是觉得正规的游戏程序会被当做病毒根治吗？我个人喜欢手动查找根源，在不断探究过程中，我尝试用everything全盘搜索关键词：game，我台电脑没有什么游戏，但竟然搜索出不少game的文件和文件夹，有GameCenter、GameMode、LiveGame、MiniGamePopup、NetGameMode等，如下图：

路径是c:\Users\Administrator\AppData\Roaming\360se6\User Data\Default\Apps\ExtYouxi。里面的*.xml、*.ini文件只要打开来看就可以看到有游戏名称和下载链接，这些游戏名称正是那些老是卸载了又出现的游戏。这些文件夹全部属于——360浏览器！原来又是360携带私货！

其上一级文件夹名称是ExtYouxi，一个半英文半拼音的名字，还有其他以Ext开头的文件夹如ExtBank、ExtKantu等，都是360浏览器的扩展程序。

打开360浏览器，点击右上方的“田”字格图标（管理扩展），可见“游戏”赫然位于其中，点击“停用”。

 

回到刚才的ExtYouxi文件夹，彻底删除所有文件和子文件夹。

接着回到everything搜索结果里看，还有以下的文件夹残留与游戏相关：

c:\Users\Administrator\AppData\Roaming\360se6\Application\components\gameplugin\
c:\Users\Administrator\AppData\Roaming\360se6\Application\components\ExtYouxi\

 

果断删除这些文件夹。

然后重启系统，打开任务管理器，观察几分钟还有没有可疑的进程。再打开360浏览器继续观察任务管理器。

发现有一个可疑的进程：prUpdate.exe，位于系统的临时目录（c:\Users\Administrator\AppData\Local\Temp），打开该目录，这里面已经有几个下载好的游戏安装程序，初步判定这个prUpdate.exe是打着升级的旗号在偷偷下载游戏安装程序。

 

我电脑没有安装防毒软件，为了测试这个文件是否有毒，我在浏览器打开VirScan - 多引擎文件在线检测平台，上传这个prUpdate.exe扫毒，结果显示有大约三分之一的查毒软件评定为病毒，果然不是好东西。

 

这个的Temp文件夹也要果断清空。

 2022年11月17日更新： 

最后一步：运行regedit，分别搜索ExtYouxi和prUpdate.exe，把搜索出来的所有结果都删除。

上述的PrUpdate.exe即使删除了，下次重启系统不久后仍会卷土重来，故删除它也治标不治本，流氓程序的根源还需要继续挖掘。我尝试在系统防火墙里设置该进程的入站规则和出站规则，设为“阻止连接”，禁止它自动下载游戏安装程序。

360有几个顽固的进程死守后台：sesvc.exe、sesvr.exe、SeAppService.exe，我曾怀疑是360的这几个“保镖”进程作怪。尝试过杀进程、删除这几个.exe文件、用空白的同名文件代替之。可是经过多次观察发现，每次重启系统之后过一段时间，游戏依然会自动安装！种种迹象表明电脑已中毒。可惜仔细查看注册表的各种自启动项都找不出病毒的根源。

 2022年11月18日更新： 

今天参考了其他网站，某篇文章提到木马病毒可能冒充驱动程序进行劫持，使得系统每次启动至桌面都能神不知鬼不觉地执行神马操作。

通常驱动程序文件位于C:\Windows\System32\Drivers目录下。打开该目录进去，按日期排序查看最近是否有新的文件，果然发现有两个是最近几天创建的.sys文件：

mspnp.sys

gbProtect64.sys

分别上传这两个文件到virscan.org网站检查，果然是木马病毒，因文件被占用，只好重启系统到WinPE环境删除之。木马文件被我快刀斩乱麻删除掉，忘了做截图，我就不上图了。

重启系统，游戏没有再出现了。如果日后还有什么幺蛾子，我再更新。

再次苦口婆心地劝告各位，请远离以数字命名的国产软件。