微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 求助:哪个大神帮忙看下,哪出问题了?
昭闻天下
注册用户





积分 50
发帖 50
注册 2008-2-21
#1  求助:哪个大神帮忙看下,哪出问题了?

微点+百度卫士

2015-4-25日20:25,全屏玩游戏时(红警2.共和国之辉,呵呵),自动最小化,原来是微点防火墙报有程序通过80端口连接XX,似乎是北京还是哪的服务器,我一看进程,很陌生,就禁止了。
发现多了个程序,是“菠萝影音”,我不知道是怎么来到我电脑上的。
以前用金山卫士,也有类似情况,因为金山卫士常推广垃圾软件,并且特点容易误点,所以卸载换百度卫士2个月不到。
调出微点的程序运行记录,

BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:21        进程退出        5932        1088
BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:21        进程退出        7036        1088
BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:21        进程启动        2260        1088
BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:20        进程启动        2296        1088
BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:20        进程启动        7036        1088
BDABROWSERPROTECT.EXE        C:\PROGRAM FILES (X86)\BAIDU\BROWSERPROTECT\3.7\BDABROWSERPROTECT.EXE        2015-04-25 20:27:19        进程启动        5932        1088
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:27:17        进程退出        2800        5376
FIREFOX.EXE        C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE        2015-04-25 20:27:15        进程启动        5776        5376
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:27:14        进程启动        2800        5376
BDSOFTMGRUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUSOFTMGR\5.0.0.550\BDSOFTMGRUPDATE.EXE        2015-04-25 20:26:15        进程退出        4264        3460
BAIDUAN.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUAN.EXE        2015-04-25 20:26:14        进程退出        7088        4476
BAIDUAN.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUAN.EXE        2015-04-25 20:26:13        进程启动        7088        4476
BAIDUAN.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUAN.EXE        2015-04-25 20:26:13        进程退出        6528        4476
BAIDUAN.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUAN.EXE        2015-04-25 20:26:13        进程启动        6528        4476
BDALEAKFIXER.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BDALEAKFIXER.EXE        2015-04-25 20:26:13        进程启动        3600        5376
BDUSERCENTER.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BDUSERCENTER.EXE        2015-04-25 20:26:12        进程启动        3972        5376
BAIDUAN.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUAN.EXE        2015-04-25 20:26:11        进程启动        5376        4476
BDSOFTMGRUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUSOFTMGR\5.0.0.550\BDSOFTMGRUPDATE.EXE        2015-04-25 20:26:11        进程启动        4264        3460
DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:26:08        进程退出        7152        904
TASKENG.EXE        C:\WINDOWS\SYSTEM32\TASKENG.EXE        2015-04-25 20:26:01        进程退出        4148        2112
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:25:59        进程退出        4320        712
ACTIVITYASSISTANT.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\ACTIVITYASSISTANT.EXE        2015-04-25 20:25:58        进程退出        6248        992
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:25:56        进程退出        344        992
ACTIVITYASSISTANT.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\ACTIVITYASSISTANT.EXE        2015-04-25 20:25:56        进程启动        6248        992
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:25:56        进程启动        4320        712
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:25:56        进程启动        344        992
DEL4D56.TMP        D:\TEMP\DEL4D56.TMP        2015-04-25 20:25:50        进程退出        5584        4716
DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:25:50        进程启动        7152        904
UNINS.EXE        C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\UNINS.EXE        2015-04-25 20:25:39        进程退出        4716        2304
DEL4D56.TMP        D:\TEMP\DEL4D56.TMP        2015-04-25 20:25:38        进程启动        5584        4716
UNINS.EXE        C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\UNINS.EXE        2015-04-25 20:25:38        进程启动        4716        2304

BLYY.EXE        C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\BLYY.EXE        2015-04-25 20:25:35        进程退出        5936        6492

DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:25:31        进程退出        2932        904
DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:25:23        进程启动        2932        904
DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:24:49        进程退出        4304        904
ㄟ3508.EXE        D:\TEMP\ㄟ3508.EXE        2015-04-25 20:24:44        进程退出        6492        2304
DLLHOST.EXE        C:\WINDOWS\SYSTEM32\DLLHOST.EXE        2015-04-25 20:24:44        进程启动        4304        904
BLYY.EXE        C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\BLYY.EXE        2015-04-25 20:24:43        进程启动        5936        6492
ㄟ3508.EXE        D:\TEMP\ㄟ3508.EXE        2015-04-25 20:24:34        进程启动        6492        2304
CONHOST.EXE        C:\WINDOWS\SYSTEM32\CONHOST.EXE        2015-04-25 20:22:32        进程退出        6920        592
BDPREL.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BDPREL.EXE        2015-04-25 20:22:32        进程退出        3880        712
CONHOST.EXE        C:\WINDOWS\SYSTEM32\CONHOST.EXE        2015-04-25 20:22:32        进程启动        6920        592
BDPREL.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BDPREL.EXE        2015-04-25 20:22:32        进程启动        3880        712
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:21:17        进程退出        2500        4476
BAIDUANUPDATE.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.1.0.6328\BAIDUANUPDATE.EXE        2015-04-25 20:21:14        进程启动        2500        4476
BDSOFTMGR.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUSOFTMGR\5.0.0.550\BDSOFTMGR.EXE        2015-04-25 20:21:12        进程退出        2564        3460
BDSOFTMGR.EXE        C:\PROGRAM FILES (X86)\BAIDU\BAIDUSOFTMGR\5.0.0.550\BDSOFTMGR.EXE        2015-04-25 20:21:11        进程启动        2564        3460
WPSNOTIFY.EXE        C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\9.1.0.4994\WTOOLEX\WPSNOTIFY.EXE        2015-04-25 20:21:01        进程退出        232        4148
WPSNOTIFY.EXE        C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\9.1.0.4994\WTOOLEX\WPSNOTIFY.EXE        2015-04-25 20:21:00        进程启动        232        4148
TASKENG.EXE        C:\WINDOWS\SYSTEM32\TASKENG.EXE        2015-04-25 20:21:00        进程启动        4148        2112
APPUPDATER.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\APPUPDATER.EXE        2015-04-25 20:20:58        进程退出        4500        992
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:20:56        进程退出        7004        992
APPUPDATER.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\APPUPDATER.EXE        2015-04-25 20:20:56        进程启动        4500        992
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:20:56        进程启动        7004        992
TASKENG.EXE        C:\WINDOWS\SYSTEM32\TASKENG.EXE        2015-04-25 20:20:01        进程退出        4520        2112
ACTIVITYASSISTANT.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\ACTIVITYASSISTANT.EXE        2015-04-25 20:15:58        进程退出        5668        992
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:15:56        进程退出        2516        992
ACTIVITYASSISTANT.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\ACTIVITYASSISTANT.EXE        2015-04-25 20:15:56        进程启动        5668        992
BDRCDL.EXE        C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\BAIDU\BAIDURJDOWNLOADER\1.6.0.67\BDRCDL.EXE        2015-04-25 20:15:56        进程启动        2516        992
WPSUPDATE.EXE        C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\9.1.0.4994\WTOOLEX\WPSUPDATE.EXE        2015-04-25 20:15:01        进程退出        344        4520
WPSUPDATE.EXE        C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\9.1.0.4994\WTOOLEX\WPSUPDATE.EXE        2015-04-25 20:15:00        进程启动        344        4520
ALIIM.EXE        D:\PROGRAM FILES (X86)\ALIWANGWANG\ALIIM.EXE        2015-04-25 20:13:32        进程退出        6148        5820
ALITASK.EXE        D:\PROGRAM FILES (X86)\ALIWANGWANG\ALITASK.EXE        2015-04-25 20:13:00        进程退出        5820        4520
ALIIM.EXE        D:\PROGRAM FILES (X86)\ALIWANGWANG\ALIIM.EXE        2015-04-25 20:13:00        进程启动        6148        5820
ALITASK.EXE        D:\PROGRAM FILES (X86)\ALIWANGWANG\ALITASK.EXE        2015-04-25 20:13:00        进程启动        5820        4520

在20:22分,缓存区D:\TEMP\ㄟ3508.EXE 这个程序运行了,然后C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\BLYY.EXE  菠萝影音就安装运行并退出了。


哪位大神能帮忙看下,从记录能发现是哪个进程下载安装的这个菠萝影音软件吗?
我讨厌“自来熟”的流氓。

谢谢了。

图片见下。




Sample Texthttp://mpicture.micropoint.com.cn/getpic.asp?sid=17cc07e7fcc9c4332e190122d6769210BLYY.EXE        C:\PROGRAM FILES (X86)\BLYY_201504252024\201504252024\BLYY.EXE        2015-04-25 20:25:35        进程退出        5936        6492

※ ※ ※ 本文纯属【昭闻天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2015-4-27 18:25
查看资料  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

结合【程序生成日志】的“创建者”字段,可以找到是哪个程序下载下来并安装

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2015-4-28 10:58
查看资料  发短消息   编辑帖子
昭闻天下
注册用户





积分 50
发帖 50
注册 2008-2-21
#3  补充一张程序生成日志

按版主说的,查看了下,想不到啊:EXPLORER.EXE!

这个是资源管理器进程吧?怎么会下载东西?被注了什么?



※ ※ ※ 本文纯属【昭闻天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2015-4-28 21:48
查看资料  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

1、根据进程启动日志,查查2304的进程号是哪个进程,就知道是哪个程序把那个安装程序启动起来;
2、查查explorer的插件和动态库,插件在系统自启动信息里面查,动态库的查看方法:主界面-监控和分析正在运行的软件-详细-windows系统,找到explorer.exe,然后鼠标点击explorer.exe,下面的窗口就是explorer.exe所调用的所有动态库,看看有没有特殊的动态库

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2015-4-30 08:54
查看资料  发短消息   编辑帖子
昭闻天下
注册用户





积分 50
发帖 50
注册 2008-2-21
#5  

谢谢版主了,

1、根据进程启动日志,查查2304的进程号是哪个进程,就知道是哪个程序把那个安装程序启动起来;

我在PID里面找不到2304的项,2304的父进程不知道是谁。

2、查查explorer的插件和动态库,插件在系统自启动信息里面查,动态库的查看方法:主界面-监控和分析正在运行的软件-详细-windows系统,找到explorer.exe,然后鼠标点击explorer.exe,下面的窗口就是explorer.exe所调用的所有动态库,看看有没有特殊的动态库

现在查看explorer.exe所调用的动态库都正常。当时,2015-04-25 发现问题后还不知道查看......

目前还是弄不清这个流氓软件是怎么来到我电脑上的了。

再次感谢版主!

※ ※ ※ 本文纯属【昭闻天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2015-5-6 21:16
查看资料  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号