V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
2232588429
V2EX  ›  问与答

hjGameUpdate.exe 是个什么流氓程序?

  •  
  •   2232588429 · 2017-10-29 00:44:03 +08:00 · 13414 次点击
    这是一个创建于 2343 天前的主题,其中的信息可能已经有所发展或是发生改变。
    启动系统没多久就出现,弹窗内容为天猫狂欢,用 process 查询路径显示拒绝访问。想问问到底是啥流氓程序~
    23 条回复    2017-10-29 17:56:17 +08:00
    2232588429
        1
    2232588429  
    OP
       2017-10-29 00:44:45 +08:00
    2232588429
        2
    2232588429  
    OP
       2017-10-29 00:55:37 +08:00


    弹窗
    czc2004211
        3
    czc2004211  
       2017-10-29 01:00:03 +08:00 via Android
    我搜了一下就看到是 yy 了。。问之前好歹搜一下吧
    2232588429
        4
    2232588429  
    OP
       2017-10-29 01:03:34 +08:00
    @czc2004211 #3 但是我 YY 都卸载了哟。
    czc2004211
        5
    czc2004211  
       2017-10-29 01:37:32 +08:00 via Android
    @2232588429 这就是 yy 牛逼的地方了
    CEBBCAT
        6
    CEBBCAT  
       2017-10-29 01:51:53 +08:00 via Android
    哈希值不贴,对己对公都不好
    wevsty
        7
    wevsty  
       2017-10-29 02:11:28 +08:00
    管理员权限运行 process explorer 还查不到路径的话那肯定是有驱动保护了。
    oh
        8
    oh  
       2017-10-29 02:17:23 +08:00 via iPhone
    为啥觉得那句 拒绝访问。 是人工写的呢…
    ysc3839
        9
    ysc3839  
       2017-10-29 02:42:23 +08:00 via Android
    @oh 不可能。因为不存在这样的路径。
    rocai185
        10
    rocai185  
       2017-10-29 03:33:00 +08:00
    我今天也是这个弹窗,已经卸载了,是 YY 的
    2232588429
        11
    2232588429  
    OP
       2017-10-29 07:00:13 +08:00
    @rocai185 #10 好像这个计划任务是卸载不干净的,还留在里面。
    2232588429
        12
    2232588429  
    OP
       2017-10-29 07:01:58 +08:00
    quinoa42
        13
    quinoa42  
       2017-10-29 09:02:55 +08:00
    yy 卸载后留下的闲杂文件里有可执行文件,注册表里也写入了
    我上个月也遇到了,不过不是这个文件名
    zuoshoufantexi
        14
    zuoshoufantexi  
       2017-10-29 09:25:53 +08:00
    这都得是多无耻才能干出这样的事情呀?
    2232588429
        15
    2232588429  
    OP
       2017-10-29 09:44:07 +08:00
    @quinoa42 #13 后来是怎么删干净的呢?
    cchange
        16
    cchange  
       2017-10-29 10:01:23 +08:00 via iPhone
    @wevsty 驱动保护有解吗? pchunter 得要钱 ……
    Humorce
        17
    Humorce  
       2017-10-29 10:11:06 +08:00 via iPhone
    @cchange powertool
    Osk
        18
    Osk  
       2017-10-29 10:17:33 +08:00 via Android
    进入 pe,使用 autoruns 分析离线系统试试
    cchange
        19
    cchange  
       2017-10-29 10:57:46 +08:00 via iPhone
    @humorce powertools 在我电脑上无法加载驱动…… 无法显示进程
    不会已经中 rootkit 了吧……
    Izual_Yang
        20
    Izual_Yang  
       2017-10-29 12:33:03 +08:00 via Android
    @cchange 你怕是 64 位系统上运行了 32 位 powertools ?
    rocai185
        21
    rocai185  
       2017-10-29 12:44:36 +08:00
    @2232588429 我卸载后已经在 process explorer 里面查不到了,你的是在哪里查的
    wevsty
        22
    wevsty  
       2017-10-29 13:22:40 +08:00
    @cchange pchunter 有免费版的。实在不行就去安全模式或者 PE 下面分析一下。
    MinonHeart
        23
    MinonHeart  
       2017-10-29 17:56:17 +08:00   ❤️ 1
    Common places:
    %appdata%\duowan\yygame\popup\bin
    %appdata%\duowan\yygame\popup\package\0.0.7\popup
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2908 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:03 · PVG 08:03 · LAX 17:03 · JFK 20:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.