🎶 Sym - 一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)平台

📕 思源笔记 - 一款桌面端笔记应用,支持 Windows、Mac 和 Linux

🎸 Solo - B3log 分布式社区的博客端节点,欢迎加入下一代社区网络

♏ Vditor - 一款浏览器端的 Markdown 编辑器

W32/Patched.UA 病毒

这个周末就在杀毒的过程中泡汤了。

 

一开始的症状是只要我一连网,LOL 的 ping  就会到 200 左右。也就是说明有进程在不断的占用我的带宽。

随机马上用 QQ 管家的网络监控查看情况。发现一个叫 lsass.exe 和 services.exe 的进程会不断的上传和下载,占用了我的大量带宽。

于是上网查了下这两个进程,据说都不会使用网络。

接着就开始找各种解决方式,都不靠谱。然后就下金山毒霸、瑞星,都没有检测出来。

接着就先限制住这个进程的流量,哪知 QQ 管家不靠谱,完全没作用,最后还是用金山卫士搞定。

 

但这总不是办法,最后下了小红帽。病毒是扫描出来了

C:\Windows\SysWOW64\YXFileTransfer.dll
  [检测]        包含 ADSPY/AdSpy.Gen2 广告软件或间谍软件的识别模式
  [注意]        文件已被移到隔离目录中,文件名为“4e01a7e1.qua”。
C:\Windows\System32\services.exe
  [检测]        包含 W32/Patched.UA Windows 病毒的代码
  [注意]        一个备份被创建为“1c72f515.qua”(隔离区)
C:\Windows\Installer\{a58dcac7-71a0-c557-30b0-bcd106a05200}\U\800000cb.@
  [检测]        是 TR/ATRAPS.Gen2 特洛伊木马
  [注意]        文件已被移到隔离目录中,文件名为“7a03baa2.qua”。
C:\Windows\Installer\{a58dcac7-71a0-c557-30b0-bcd106a05200}\U\80000000.@
  [检测]        是 TR/ATRAPS.Gen 特洛伊木马
  [注意]        文件已被移到隔离目录中,文件名为“3f87979c.qua”。
C:\Users\Vanessa\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\3bd8a0ac-4e98df8e
  [检测]        包含 JAVA/Dldr.Lamar.BD Java 病毒的识别模式
  [注意]        文件已被移到隔离目录中,文件名为“40e8a5af.qua”。
C:\Program Files (x86)\trayshell\TrayBackup\509_(YXFileTransfer.dll)YXFileTransfer.dll
  [检测]        包含 ADSPY/AdSpy.Gen2 广告软件或间谍软件的识别模式
  [注意]        文件已被移到隔离目录中,文件名为“7025c1d2.qua”。
C:\$Recycle.Bin\S-1-5-21-327106379-3272982564-2196942416-1000\$RR8SZTP.EXE
  [检测]        是 TR/Dldr.Agent.19 特洛伊木马
  [注意]        文件已被移到隔离目录中,文件名为“5d00e6fa.qua”。
C:\$Recycle.Bin\S-1-5-21-327106379-3272982564-2196942416-1000\$RKGJ3JI.zip
  [检测]        是 TR/Dldr.Agent.19 特洛伊木马
  [注意]        文件已被移到隔离目录中,文件名为“4461dd60.qua”。


可是只是被复制隔离,完全没修复。接着又开始 Google,没找到解决方案。

最后自己上,重命名 C:\Windows\System32\services.exe 文件为 C:\Windows\System32\services.exe1,从别人电脑里拷贝一个再复制进去。重启,删除 C:\Windows\System32\services.exe1, 貌似搞定了。哇咔咔。


欢迎注册黑客派社区,开启你的博客之旅。让学习和分享成为一种习惯!

推荐阅读
留下你的脚步