遇到个别网吧，在客人登入QQ和wegame后，会有概率性或者是100%的出现QQ登入安全提醒，XXXX登入了JD商城，如下图：

这个问题前段时间就遇到的了，当时没有查到来源，因为查着查着，突然正常了，因为现在外面好多不正当的软件都很狡猾，检测到某些工具在客户机上运行了，然后他就自动消失了，这样的现象遇到很多次了，包括昨天晚上，也是查着查着，突然就正常了，不过还好，昨天已经查到了可疑的文件了，所以今天遇到了，查起来就方便多了。

案例1：

可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件，如下图：

知道了这样的dll文件后，就在服务端上挂盘放工具抓这样的dll是谁生成的了，抓出来的结果如下，ERIJHIGGH.EXE释放38203.dll

然后看ERIJHIGGH.EXE是谁释放的，这样就清楚了，如下图：

案例2：
也是一样的5位随机名的dll的，先是XXEXE文件注入到explorer.exe里释放wfpu.exe



wfpu.exe释放Qawq.exe

然后Qawp.exe注入到PID10028的svchost.exe里

然后PID是10028的svchost.exe释放5位随机名的dll

虽然遇到的不是同一个软件的，估计应该是他们做的增值是出自同一家公司的。

另外再次感谢我们公司安全的同事！！

感谢{author}楼主

膜拜大神3秒钟

膜拜大神10秒钟