@lynn19920229
媒体报道找到了：
http://www.freebuf.com/articles/system/130226.html

@lynn19920229 这回 XFIXER.exe 还没数字签名呢……
记得以前就有报道过腾讯干这种事情……文章在哪想不起来了。
@shendaowu Windows 有审核功能的，可以组策略开启，配置监视哪些地方，然后会记录日志。我总觉得开了这玩意日志会膨胀得很恐怖……

@acess 我去…… DcomLaunch、Power、SystemEventsBroker 都是一个进程
可能还是通过 DcomLaunch 启动的吧。

这次%temp%\PZYTOOLS\XFIXER.exe 的父进程是 svchost.exe ，应该是 System Events Broker 服务。
https://imgur.com/a/hsn5t
%temp%里除了 PZYTOOLS 这个目录，还出现有别的几个文件：QXREPAIR1.DLL 、ramax.exe （这俩都是腾讯的有效数字签名）

PS：几天前还出现过 QQ 浏览器的推送，数字签名是腾讯，父进程是 explorer.exe：
https://www.v2ex.com/t/408406

我也碰到了。
VirusTotal：
https://www.virustotal.com/#/file/4008b9d26798b9ae65970a095f351aa89d6276feb213eb7215e715ee2be73cd9

@flynaj
还真没注意权限……
不过，随便找了一个服务，和一个 HKCU 里注册自启的进程，没特权的 procexp 都能正确显示自启。

现在看比较像是 QQ 推的。因为文件名虽然是 5 位随机字母，但是也不复杂，如果不是腾讯而是其他人搞的流氓推广，好像没包含渠道（不过也有可能是存在一个配置文件里，我没看见）

@EXChen 参考贴吧那个帖子，下次也许可以试试干掉 taskhostw.exe

@gamelyking 就算你不点开它，系统启动时也是会加载它的保护驱动的（貌似是火绒提供的）。

@gamelyking
UC 电脑版么？那嫌疑好像挺大啊……这玩意是加驱的，比较流氓，而且有搞崩 explorer 的黑历史。
他们的客服也说过这事儿： https://bbs.uc.cn/thread-5458163-1-1.html
也许你还可以试试 UC 官方驻 V2EX 人士 TAREZ 提到的方法：
“= =按照描述，应该是 UC 浏览器的安全模块功能的问题。可以尝试在点击 UC 的头像--设置--“防止默认浏览器被劫持” 关闭，看是否解决。”

@gamelyking 说实话……折腾这些也纯粹是出于好奇心，并不是高效解决问题的办法😂
尤其是 UC、电脑管家、暴风影音那种事情，就算我通过折腾知道了这么一点点“幕后”也是没 X 用的，背后的斗争还在继续啊

https://msdn.microsoft.com/en-us/library/windows/desktop/bb787181(v=vs.85).aspx
参照这里改一下注册表 LocalDumps 键值，加一项 Explorer.exe ，就可以在 explorer 崩掉时留下一个 dump 文件了，这样可以留下更多的信息。
然后，可以用 WinDbg 打开 dump 进行分析，最不济也可以看看调用栈里有啥……

对了，说到 Explorer 插件，不得不提 Intel 核显驱动搞的毒瘤 igfxDTCM，好像 A/N 家的显卡驱动也喜欢搞这个……这个插件的作用大概是让右键菜单里出现显卡的设置选项，但以前出现过右键弹出被卡几秒的 bug。

现在回想暴风影音的情况，当时的情况是用 Procmon 监视 Explorer.exe ，发现它在读注册表 HKCU 里.mp4 的文件关联键值时挂了，而且 explorer.exe 正在运行时，注册表编辑器也不能修改那个.mp4 键值。
可能还是暴风影音这个流氓做了奇怪的 Hook 吧，也许不是内核驱动，而是用户态的 COM 组件之类的……额，微软也未必不会耍流氓，不过我当时好像也没动用 PCHunter 去查 Hook，到底是咋回事已经不得而知了。

还有，用 Autoruns、ShellExView 禁用掉扩展后需要重启一下才能生效。

如果是 Shell 扩展（或者叫 Explorer 插件，实际上就是某个 dll ）的锅，事件查看器里有记录，可以看到 dll 的名字。Autoruns、ShellExView 都可以禁用掉各种 Explorer 扩展。

如果是应用在争夺默认设置，也就是 UC 那种情况，看 dll 名字是没用的（我就看到了 ntdll.dll ），如果不会折腾 WinDbg 和 dump，那就只能把各种加驱流氓 /管家卫士卸掉试试。

好像暴风影音也搞出过这种事情……具体机理不太明白，好像没搞驱动，貌似是 Explorer 读到被暴风影音改掉的关联时自己挂了……

https://www.zhihu.com/question/51354111
https://www.zhihu.com/question/19989554/answer/52000725
https://www.v2ex.com/t/305320
也许还可以看看这个：
http://www.freebuf.com/articles/system/130288.html

还有一个老梗：
http://tieba.baidu.com/p/4387641601
过去一年多了，不知道修了没。

@acess 泄露是程序申请资源后忘了释放……打错

多废话一句，我有个类似阴谋论的想法：
“我啥也没开，为什么内存占那么高”是个常见的问题，但真要排查的话，处理各种情况的知识大概也够写一本书，所以没人愿意教一个外行怎么排查😂

很多东西都会占内存的，比如 socket 缓存，可以参考一下这个：
https://github.com/shadowsocks/shadowsocks/wiki/Optimizing-Shadowsocks
记得迅雷就是有 XLServicePlatform 服务占内存的问题，可能是连接开的太多了，各种缓存就占了一堆内存吧。

除了 socket buffer，还有别的东西会占内存吧，比如 GDI 对象之类的。

迅雷那大概也算是正常使用，只是胃口太大了而已？

泄露就是另一回事了——程序申请后忘了分配，然后就一直霸占着不放了……如果发生泄露问题，也以看到内存占用一直涨涨涨。