腾讯电脑管家发现一款名为Playbox的流氓软件频繁在用户电脑弹出广告，在安装卸载程序上动手脚，安装时会把软件分别写入两个目录。卸载时，会检测用户IP，如果不在北上广深这4个一线城市，Playbox就会卸载一份保留另一份，然后在用户电脑继续弹广告刷流量创建某网址导航站的快捷方式。据腾讯电脑管家的监测数据，该流氓软件大约影响了超过4万台电脑。 

Playbox流氓软件的签名信息（疑似来自昆山创酷某科技公司） 

该软件的安装目录为Playbox，释放桌面快捷方式显示为“大小游戏”，进程窗口显示为“玩玩游戏”，该流氓软件的主要传播渠道为多个软件下载站的下载器。

而该程序安装时会释放出两份，分别位于两个目录：“AppData\Local\PlayBox”目录和“AppData\Roaming\PlayBox”目录。在目录“AppData\Local\PlayBox”中有卸载程序Uninstall.exe，另一个目录中没有。

安装释放文件目录1（有卸载程序）

同时释放文件目录2（无卸载程序）

 Playbox的卸载程序运行时，会通过上传IP查询用户的城市信息。

如果在北上广深一线城市则可以正常卸载，若在其他城市则保留第2份目录中的文件，同时卸载程序Uninstall.exe启用目录2中的程序xiaoda.exe、xiaodahp.exe自动加载，使得该软件在被卸载后依然完好无损，只是启动的进程更换到另一个目录。 

卸载程序删除目录1

卸载程序启动目录2中进程xiaoda.exe

最后，该软件看似已经卸载，实际文件还在，软件的后台进程依然在运行中。

xiaoda.exe和xiaodahp.exe还会隐藏进程窗口，从而在后台访问广告链接（后台广告刷量骗钱）

（xiaodahp.exe隐藏的富媒体窗口）

（xiaoda.exe隐藏的IE窗口）

（进程模拟点击代码）

 该软件安装时还会静默释放桌面快捷导航，指向地址：hxxp://sdfasf.210996.com/

Playbox在运行过程中还会弹出广告，广告框并不标识来源，让用户无法发现广告是哪个软件弹出的。同时，还将广告窗口的关闭按钮减淡显示，使肉眼难以发现,也就无法快速关闭广告框。

同时在升级提示过程中，显示推装勾选项同样减淡显示，使用户无法注意到而错误进行下一步安装。

推荐使用腾讯电脑管家中的权限雷达（官网下载地址：http://guanjian.qq.com/），权限雷达支持用户自主掌控和管理所安装软件的各项权限，帮助拦截任意软件的广告弹窗行为及开机自启行为，让用户摆脱违规软件的各种骚扰。