c盘在腾讯系统下出现了个东西!
答案:3 悬赏:80
解决时间 2021-02-13 01:09
- 提问者网友:霸道又专情♚
- 2021-02-12 04:51
c盘在腾讯系统下出现了个东西!
最佳答案
- 二级知识专家网友:嗷呜我不好爱
- 2021-02-12 05:13
你最近升级了吧?呵呵你惨了.腾讯为推广其搜索引擎暗中在其QQ2006贺岁版(安装新版QQGame也会有)中增加了SOSO的插件!
安装其间没有任何明显提示!不经用户同意即暗中安装(通常默认路径是:C:\Program Files\TENCENT\AdPlus文件夹),就算你将QQ安装在其他文件夹,AdPlus文件夹仍然被安装在C:\Program Files\TENCENT下,让你无法察觉。其内含5个文件:主程序:Runner.exe,数据文件:Stdtbh.dat,相关dll:IEHelp.dll,TCtrl.dll,守护dll:SSAdr.dll)!同时在删除QQ后,该文件夹中的文件并不同步删除~!!
其特点是CPU占用率长期居高不下,IE浏览器打开网页速度超慢,游戏玩到一半经常提示内存不足,乃至当机…….
插件安装后,每次一旦运行腾迅相关软件,它就跟着偷偷在后台执行并在注册表中强行添加了开机自动运行的程序,没有任何提示!,其运行后的作用是:当用户有复制搜索关键字词欲进行搜索的行为时,自动连接到SOSO主页.
其一旦安装后用普通方式将无法删除!因为插件的运行包含了守护进程,守护进程的作用是监视主程序是否在运行,一旦主程序被意外结束守护进程会自动重新运行它! 因此除非把守护进程也结束。其智能程度绝对不亚于当前流行的木马病毒。
这几个文件被QQ主程序调用运行后,会同时释放出一个随机文件名的文件,这几个文件应该就是病毒(根据它的特征,请允许我这么称呼)的原体。
c:\Progrm Files\TENCENT\Adplus下多了一些文件
IEHelp1.dll
IEHelp2.dll
IEHelp.dll
QAHook1.dll
QAHook2.dll
QAHook3.dll
QAHook.dll
Runner.exe
Stdtbh.dat
TCtrl.dll
另外在C:\WINDOWS\system32下还会出现一个文件
Gtxvzb.dll
再进一步深入,发现这些病毒文件会采用多种方式保证自身的正常运行启动,很简单的例子:它会在注册表中增加名为“AddrPlus3”的启动项,路径指向相关文件,用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序,从而实现了一套只有病毒所使用的强大的自我保护机制,当一发现自身文件、注册表项,被破坏,会立即自动恢复,防止用户轻易手工删除。
当你运行QQ后,程序就在后台执行起来。就算你删除QQ,依然无法删除C:\Program Files\Tencent\AdPlus里面的全部文件。残留无法删除的文件如下:
TEHelp.dll
QAHook.dll
这还没有完,好戏还在后头,该病毒程序相对于其他病毒做的更为巧妙,在系统的最底层,家族了一个Debug钩子,这个钩子随着系统的启动而启动,无法通过正常途径停止、删除。此外,该病毒还另外挂了CBT和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建。这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
安装其间没有任何明显提示!不经用户同意即暗中安装(通常默认路径是:C:\Program Files\TENCENT\AdPlus文件夹),就算你将QQ安装在其他文件夹,AdPlus文件夹仍然被安装在C:\Program Files\TENCENT下,让你无法察觉。其内含5个文件:主程序:Runner.exe,数据文件:Stdtbh.dat,相关dll:IEHelp.dll,TCtrl.dll,守护dll:SSAdr.dll)!同时在删除QQ后,该文件夹中的文件并不同步删除~!!
其特点是CPU占用率长期居高不下,IE浏览器打开网页速度超慢,游戏玩到一半经常提示内存不足,乃至当机…….
插件安装后,每次一旦运行腾迅相关软件,它就跟着偷偷在后台执行并在注册表中强行添加了开机自动运行的程序,没有任何提示!,其运行后的作用是:当用户有复制搜索关键字词欲进行搜索的行为时,自动连接到SOSO主页.
其一旦安装后用普通方式将无法删除!因为插件的运行包含了守护进程,守护进程的作用是监视主程序是否在运行,一旦主程序被意外结束守护进程会自动重新运行它! 因此除非把守护进程也结束。其智能程度绝对不亚于当前流行的木马病毒。
这几个文件被QQ主程序调用运行后,会同时释放出一个随机文件名的文件,这几个文件应该就是病毒(根据它的特征,请允许我这么称呼)的原体。
c:\Progrm Files\TENCENT\Adplus下多了一些文件
IEHelp1.dll
IEHelp2.dll
IEHelp.dll
QAHook1.dll
QAHook2.dll
QAHook3.dll
QAHook.dll
Runner.exe
Stdtbh.dat
TCtrl.dll
另外在C:\WINDOWS\system32下还会出现一个文件
Gtxvzb.dll
再进一步深入,发现这些病毒文件会采用多种方式保证自身的正常运行启动,很简单的例子:它会在注册表中增加名为“AddrPlus3”的启动项,路径指向相关文件,用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序,从而实现了一套只有病毒所使用的强大的自我保护机制,当一发现自身文件、注册表项,被破坏,会立即自动恢复,防止用户轻易手工删除。
当你运行QQ后,程序就在后台执行起来。就算你删除QQ,依然无法删除C:\Program Files\Tencent\AdPlus里面的全部文件。残留无法删除的文件如下:
TEHelp.dll
QAHook.dll
这还没有完,好戏还在后头,该病毒程序相对于其他病毒做的更为巧妙,在系统的最底层,家族了一个Debug钩子,这个钩子随着系统的启动而启动,无法通过正常途径停止、删除。此外,该病毒还另外挂了CBT和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建。这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
全部回答
- 1楼网友:woshuo
- 2021-02-12 06:11
这是qq文件的根目录,他们肯定是放在系统盘的,如果想删除,是要重装系统哦
- 2楼网友:狠傷凤凰
- 2021-02-12 06:05
ADPlus 是基于控制台的 Microsoft Visual Basic 脚本。它使 Microsoft CDB 调试程序自动生成包含来自一个或多个进程的调试输出的内存转储和日志文件。每当 ADPlus 运行时,调试信息(包含调试信息的内存转储和文本文件)都将放置于本地文件系统或远程网络共享目录上的新的、唯一命名的文件夹(例如,C:\Temp\Crash_Mode__Date_01-22-2001__Time_09-41-08AM)中。此外,ADPlus 创建的每一文件均具有唯一的名称(例如 PID-1708__Inetinfo.exe__Date_01-22-2001__Time_09-41-08AM.log),以避免较新的文件改写较旧的文件。
ADPlus 可用于任何用户模式进程或服务,例如 Internet 信息服务 (IIS)、Microsoft Transaction Server (MTS) 或 Microsoft COM+ 应用程序。
下面列出了 ADPlus 的某些功能: • ADPlus 使用最新的 Microsoft 调试程序来改进功能、提高速度和增加可靠性。
• 当 ADPlus 为多个进程转储内存时,它异步进行转储,以便同时冻结和转储每一进程。此方法可以在 ADPlus 已运行时提供整个应用程序的有效“快照”。您必须同时捕获构成应用程序的所有进程,以及该应用程序使用的所有进程,以便您可以在发生问题时捕获该应用程序的状态。这对于使远程过程调用其他进程的应用程序尤其重要。
• ADPlus 具有命令行接口。因为 ADPlus 没有图形用户界面,所以它可以从远程命令外壳程序(通过使用 Remote.exe 远程输出的命令外壳程序)中在安静模式下运行(不显示对话框)。在安静模式下,错误显示在控制台中并被写入事件日志。有关如何从远程命令外壳程序运行 ADPlus 的更多信息,请参阅本文的“使用情况”一节。
• 当 ADPlus 监视崩溃时,如果您使用 -notify 开关,并且启动了 Windows Messenger 服务,ADPlus 可以通过 Windows Messenger 服务提醒用户或计算机发生了崩溃。
• 当 ADPlus 在崩溃模式下监视进程时,如果发生了崩溃,则 ADPlus 会将与该崩溃类型有关的重要信息发送到事件日志。
• ADPlus 支持 XCOPY 部署。如果您在测试计算机上安装随 ADPlus 一起提供的调试程序包,则可以将安装调试程序的文件夹复制到其他计算机。此外,ADPlus 不要求您在系统上注册任何自定义组件对象模型 (COM) 组件。因此,您可以在具有锁定软件配置的生产服务器上使用 ADPlus。要删除 ADPlus,只需删除它安装到或复制到的文件夹。
我要举报
如以上问答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯