这个周末就在杀毒的过程中泡汤了。
一开始的症状是只要我一连网,LOL 的 ping 就会到 200 左右。也就是说明有进程在不断的占用我的带宽。
随机马上用 QQ 管家的网络监控查看情况。发现一个叫 lsass.exe 和 services.exe 的进程会不断的上传和下载,占用了我的大量带宽。
于是上网查了下这两个进程,据说都不会使用网络。
接着就开始找各种解决方式,都不靠谱。然后就下金山毒霸、瑞星,都没有检测出来。
接着就先限制住这个进程的流量,哪知 QQ 管家不靠谱,完全没作用,最后还是用金山卫士搞定。
但这总不是办法,最后下了小红帽。病毒是扫描出来了
C:\Windows\SysWOW64\YXFileTransfer.dll [检测] 包含 ADSPY/AdSpy.Gen2 广告软件或间谍软件的识别模式 [注意] 文件已被移到隔离目录中,文件名为“4e01a7e1.qua”。 C:\Windows\System32\services.exe [检测] 包含 W32/Patched.UA Windows 病毒的代码 [注意] 一个备份被创建为“1c72f515.qua”(隔离区) C:\Windows\Installer\{a58dcac7-71a0-c557-30b0-bcd106a05200}\U\800000cb.@ [检测] 是 TR/ATRAPS.Gen2 特洛伊木马 [注意] 文件已被移到隔离目录中,文件名为“7a03baa2.qua”。 C:\Windows\Installer\{a58dcac7-71a0-c557-30b0-bcd106a05200}\U\80000000.@ [检测] 是 TR/ATRAPS.Gen 特洛伊木马 [注意] 文件已被移到隔离目录中,文件名为“3f87979c.qua”。 C:\Users\Vanessa\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\3bd8a0ac-4e98df8e [检测] 包含 JAVA/Dldr.Lamar.BD Java 病毒的识别模式 [注意] 文件已被移到隔离目录中,文件名为“40e8a5af.qua”。 C:\Program Files (x86)\trayshell\TrayBackup\509_(YXFileTransfer.dll)YXFileTransfer.dll [检测] 包含 ADSPY/AdSpy.Gen2 广告软件或间谍软件的识别模式 [注意] 文件已被移到隔离目录中,文件名为“7025c1d2.qua”。 C:\$Recycle.Bin\S-1-5-21-327106379-3272982564-2196942416-1000\$RR8SZTP.EXE [检测] 是 TR/Dldr.Agent.19 特洛伊木马 [注意] 文件已被移到隔离目录中,文件名为“5d00e6fa.qua”。 C:\$Recycle.Bin\S-1-5-21-327106379-3272982564-2196942416-1000\$RKGJ3JI.zip [检测] 是 TR/Dldr.Agent.19 特洛伊木马 [注意] 文件已被移到隔离目录中,文件名为“4461dd60.qua”。
可是只是被复制隔离,完全没修复。接着又开始 Google,没找到解决方案。
最后自己上,重命名 C:\Windows\System32\services.exe 文件为 C:\Windows\System32\services.exe1,从别人电脑里拷贝一个再复制进去。重启,删除 C:\Windows\System32\services.exe1, 貌似搞定了。哇咔咔。