电脑好像中了盗号木马，求助..

GCM

今天无意间看了一下火绒安全日志，发现好多条：

2019-07-26 08:47:34,网络防御,恶意网站拦截,尝试访问【www.taoquanquan.com/Public/Js/Jquery/jquery.url.a.json】类恶意网站，已阻止
操作进程：C:\Windows\system32\svchost.exe
风险分类：木马盗号
访问网址：www.taoquanquan.com/Public/Js/Jquery/jquery.url.a.json
操作结果：已阻止

每隔5分钟就会访问www.taoquanquan.com/Public/Js/Jquery/jquery.url.a.json

---

查询www.taoquanquan.com：

• 
  SEO信息
  百度权重：                        
  移动权重：                        
  360权重：                        
  360移动权重：                        
  神马权重：                        
  反链数：4                    
• 
  域名解析
  同IP网站：0个
  响应时间：28毫秒
  IP：222.186.161.85[江苏省镇江市 电信]
• 
  域名年龄
  6年6月29天（创建于2012年12月27日,过期时间为2019年12月27日)
• 
  域名备案
  备案号：苏ICP备13033610号-1
  性质：企业
  名称：徐州市俊羽网络科技有限公司
  审核时间：2016/6/30 0:00:00
  [更新]
• 
  安全认证
  创宇信用:
  SSL证书：
  

---

程序是注入到svchost的，个人能力不够，找不到病毒样本，论坛的SREngLdr无法使用

{:301_972:}求助{:301_972:}

cutthesoul

你最好想想下载什么软件了 看你发的像是火绒拦截了类似推广之类的下载，那个网址我打开看了下，
服务器的资源都被删除了  就算没拦截也下载不了东西 你要担心就去火绒论坛 让工程师看看

bhs

建议查看定时进程
http://www.xuetr.com/
                                      来自大佬kangkai帖子

declandragon

我来学习啦，围观大佬发言

testpassword

坐等大佬

Ares_Joke

试一下火绒看看，能不能找出来

52PJ_Hugo

这个为什么不去火绒论坛发呢

HiganYaka

这病毒看起来可能是作为系统服务运行的，或许打开Services.msc可能会找到可疑的服务

Fly365

能否使用火绒剑找到相应的进程给屏蔽掉呢

GCM

HiganYaka 发表于 2019-7-26 09:23
这病毒看起来可能是作为系统服务运行的，或许打开Services.msc可能会找到可疑的服务

头晕眼花...

阿晃

坐等大佬解释

GCM

Fly365 发表于 2019-7-26 09:29
能否使用火绒剑找到相应的进程给屏蔽掉呢

svchost那么多，很难找到啊..日志看不到PID。