游戏弹窗程序卸载完重启又出现,探究解决办法中发现与360浏览器有关
前几天我写了篇博文《流氓软件卸载了又偷偷冒出来,dllhost.exe暗藏安装玄机》,有朋友留言求助,反映游戏弹窗程序卸载之后重启系统又出现,按照我那片博文的方法在注册表、系统服务、计划任务里也查找不出与游戏相关的蛛丝马迹,屡禁不绝。不久连我自己台电脑也不幸中招了!卸载完游戏软件,下次重启电脑,用了一段时间桌面会出现“白蛇传奇”、“原始传奇”等游戏图标(如下图)。
网上的一些解决办法往往是拦截弹窗,但这只是换汤不换药,不能斩草除根。要么就是安装防毒软件查杀。我没有尝试防毒软件查杀,只是觉得正规的游戏程序会被当做病毒根治吗?我个人喜欢手动查找根源,在不断探究过程中,我尝试用everything全盘搜索关键词:game,我台电脑没有什么游戏,但竟然搜索出不少game的文件和文件夹,有GameCenter、GameMode、LiveGame、MiniGamePopup、NetGameMode等,如下图:
路径是c:\Users\Administrator\AppData\Roaming\360se6\User Data\Default\Apps\ExtYouxi。里面的*.xml、*.ini文件只要打开来看就可以看到有游戏名称和下载链接,这些游戏名称正是那些老是卸载了又出现的游戏。这些文件夹全部属于——360浏览器!原来又是360携带私货!
其上一级文件夹名称是ExtYouxi,一个半英文半拼音的名字,还有其他以Ext开头的文件夹如ExtBank、ExtKantu等,都是360浏览器的扩展程序。
打开360浏览器,点击右上方的“田”字格图标(管理扩展),可见“游戏”赫然位于其中,点击“停用”。
回到刚才的ExtYouxi文件夹,彻底删除所有文件和子文件夹。
接着回到everything搜索结果里看,还有以下的文件夹残留与游戏相关:
c:\Users\Administrator\AppData\Roaming\360se6\Application\components\gameplugin\
c:\Users\Administrator\AppData\Roaming\360se6\Application\components\ExtYouxi\
果断删除这些文件夹。
然后重启系统,打开任务管理器,观察几分钟还有没有可疑的进程。再打开360浏览器继续观察任务管理器。
发现有一个可疑的进程:prUpdate.exe,位于系统的临时目录(c:\Users\Administrator\AppData\Local\Temp),打开该目录,这里面已经有几个下载好的游戏安装程序,初步判定这个prUpdate.exe是打着升级的旗号在偷偷下载游戏安装程序。
我电脑没有安装防毒软件,为了测试这个文件是否有毒,我在浏览器打开VirScan - 多引擎文件在线检测平台,上传这个prUpdate.exe扫毒,结果显示有大约三分之一的查毒软件评定为病毒,果然不是好东西。
这个的Temp文件夹也要果断清空。
2022年11月17日更新:
最后一步:运行regedit,分别搜索ExtYouxi和prUpdate.exe,把搜索出来的所有结果都删除。
上述的PrUpdate.exe即使删除了,下次重启系统不久后仍会卷土重来,故删除它也治标不治本,流氓程序的根源还需要继续挖掘。我尝试在系统防火墙里设置该进程的入站规则和出站规则,设为“阻止连接”,禁止它自动下载游戏安装程序。
360有几个顽固的进程死守后台:sesvc.exe、sesvr.exe、SeAppService.exe,我曾怀疑是360的这几个“保镖”进程作怪。尝试过杀进程、删除这几个.exe文件、用空白的同名文件代替之。可是经过多次观察发现,每次重启系统之后过一段时间,游戏依然会自动安装!种种迹象表明电脑已中毒。可惜仔细查看注册表的各种自启动项都找不出病毒的根源。
2022年11月18日更新:
今天参考了其他网站,某篇文章提到木马病毒可能冒充驱动程序进行劫持,使得系统每次启动至桌面都能神不知鬼不觉地执行神马操作。
通常驱动程序文件位于C:\Windows\System32\Drivers目录下。打开该目录进去,按日期排序查看最近是否有新的文件,果然发现有两个是最近几天创建的.sys文件:
mspnp.sys
gbProtect64.sys
分别上传这两个文件到virscan.org网站检查,果然是木马病毒,因文件被占用,只好重启系统到WinPE环境删除之。木马文件被我快刀斩乱麻删除掉,忘了做截图,我就不上图了。
重启系统,游戏没有再出现了。如果日后还有什么幺蛾子,我再更新。
再次苦口婆心地劝告各位,请远离以数字命名的国产软件。