解决盗号问题分享--您需要用号码*******运行QQ才能继续

盗号----您需要用号码*******运行QQ才能继续

游戏菜单登陆QQ后，随机弹出如下界面



点击立即运行后，弹出QQ登陆窗口


如果这时候输入QQ密码，恭喜你，你的QQ被盗了。。。

排查过程：
开机运行processmonitor后，登陆QQ等待“您需要用号码*******运行QQ才能继续”窗口弹出

“您需要用号码*******运行QQ才能继续”窗口，为正常的timwp.exe,来自于腾讯qq软件。用于一键切换tm。临时对话kip支持。


用processmonitor查看：




有两个可疑的，一个svchost.exe，一个BidyT76.exe


一  先查找svchost.exe：


此svchost.exe为伪装进程，父进程是4428，查找父进程4428


4428父进程为5196，查找父进程5196，BidyT76.exe 父进程为6096


进程6096父进程为2168


2168父进程为PubwinClient.exe




二  查找BidyT76.exe：






最后BidyT76.exe和伪装的svchost.exe都指向PubwinClient.exe，正常的收费应该是不会做盗号的事情，
通过咨询网吧技术，发现网吧使用了Pubwin去广告程序


解决办法：通过特征码拦截，把BidyT76.exe和伪装的svchost.exe拦截，取消pubwin的去广告插件。