求助, 每次启动, 都会通过 explorer.exe 下载 3 个文件.

显示全部楼层 · 发表于 2016-2-3 12:09:52

每次启动, 都会通过 explorer.exe 下载如下 3 个文件, 保存在用户临时目录下, 无其它异常.

2016-02-03  00:16          55,271 Extension.crx
2016-02-03  00:16          184,832 plugin.exe
2016-02-03  00:16          1,947 prefConfig.txt

其中, Extension.crx 和 prefConfig.txt 内容可变, 前段时间是 "精品推荐", 网店相关, 现在是 "游戏助手",

"name":"游戏助手",
"permissions":["tabs","http://*/*","https://*/*"],
"update_url":"https://clients.browser.qq.com/extension_update",

若拦截 explorer.exe 则 explorer.exe 会无休止访问网络, 通过则下载那 3 个文件.
plugin.exe 在线检查, http://www.virscan.org/, 2/39 报毒, http://online.us.drweb.com/, 没报.
服务, 计划任务, 进程, 均无异常.
用微软/Comodo恶意软件清除工具检查, 无异常.
用自启动 autoruns.exe 检查, 也看不出异常.

显示全部楼层 · 发表于 2016-2-11 20:21:08

这样，同样的工具在不同的人手里作用不一样。
你最好让一个所谓高手远程协助你处理一下。

显示全部楼层 · 发表于 2016-2-11 20:27:26

用pchunter检查注入模块，和动态链接库是否正常

显示全部楼层 · 发表于 2016-2-15 12:23:10

vm001 发表于 2016-2-11 20:27
用pchunter检查注入模块，和动态链接库是否正常

看了下, 只有这个不知是什么.
"X:\Users\Xxxxxx\AppData\Roaming\OverlayIcon32.dll"

File information
File Name : OverlayIcon32.dll (File not down)
File Size :1894400 byte
File Type :application/x-dosexec
MD5:e1e61432e52abd42581ba53499b0af90
SHA1:fd72d9c23deccde07e5c4c883f7d823f441170d9

Scanner results
Scanner results:2%Scanner(s) (1/39)found malware! Behavior
Time: 2015-12-22 23:33:13 (CST)

显示全部楼层 · 发表于 2016-2-15 14:16:41

别求助了，重装吧，一了百了，而且速度快。

[其他] 求助, 每次启动, 都会通过 explorer.exe 下载 3 个文件.