昨天升级同花顺失败，然后出现，电脑打开网页卡顿，卸载了同花顺重新安装问题依旧，我以为是clash veger问题，关闭它，网站什么可以正常打开，后来发现thorium浏览器打开网页还是异常，卸载掉proxy插件，问题依旧。打开网页卡个一分钟，我以为暂时的，开始卸载插件，还有不用软件，效果不明显，重启后。感觉不妙。

这个问题出现在前天用360安全卫士清理电脑，我以为只是缓存问题。但是浏览器用了一个多小时，按理说都该正常了。开始木马病毒扫描。结果发现140个被感染的exe等文件，图吧工具箱，kaying里面各种小程序，估计得有一半以上，被感染，本来我还想先不处理，但是觉得可能这就是问题所在，问了豆包。豆包解释的还行。就是不知道删除那些exe，是不是的重装一些程序，最后大体看了140个感染的文件，还有一些主要有用的是一些游戏，重装就重装吧，也没咋玩。

用360查杀了140个感染的文件。然后电脑恢复了正常，本来我觉得thorium问题，现在也正常了。重要的账号都是二次验证，或者绑定手机验证了。问题不大。把家里的电脑都用360查杀了一遍，只有我这台有问题，还好。可能我安装乱七八糟的软件太多了。中着了，不知道潜伏了多久，也可能同花顺某个更新有问题，不得而知了。

Win32/Agent.P 木马（带 Rootkit 内核隐藏能力）

归类：32 位 Windows 内核级特洛伊木马 + Rootkit 驱动型恶意程序，高危盗号远控木马

一、基础定义

Agent不是单一病毒，是杀毒厂商通用命名：所有功能杂糅、后台潜伏的混合型木马统称，后缀.P特指搭载 Fu+JiurlPortHide 双开源 Rootkit 驱动变种，驱动常落地rdriv.sys系统驱动文件。

• 运行平台：WinXP~Win11 32/64 位 Windows，优先侵染 32 位程序
• 载体：exe、dll、sys 驱动，捆绑破解软件、外挂、绿色工具、盗版激活程序传播

二、核心恶意行为（P 变种独有 Rootkit 隐藏）

1. 内核隐身（关键特征）

   通过挂钩系统内核函数，隐藏自身进程、TCP 外联端口、驱动文件，任务管理器、普通进程查看工具看不到病毒运行；屏蔽 135/139/445 等高危端口联网记录，规避防火墙监控。

2. 自启驻留

   写入注册表HKLM\SYSTEM\CurrentControlSet\Services新建系统服务，开机静默加载驱动持久化留存。

3. 隐私窃取

   键盘记录、浏览器账号、网银 / 游戏账号、截图回传黑客远程服务器；部分变种内置下载器，后台捆绑勒索病毒、挖矿木马、广告劫持程序。

4. 破坏系统防御

   静默关闭 Windows 防火墙、篡改杀毒软件配置、拦截安全进程启动，弹窗劫持主页、偷偷安装捆绑流氓软件。

5. 肉鸡代理

   劫持本机带宽做黑客代理跳板，异常占用网速、CPU 资源。

三、常见中毒途径

1. 下载游戏外挂、单机破解、软件激活器、绿色版工具捆绑植入；
2. 不明邮件附件、网盘陌生压缩包、弹窗诱导下载；
3. U 盘交叉传染老旧 32 位系统电脑。

四、分步清除方案

1. 断网：立刻拔掉网线 / WiFi，阻止病毒外传隐私、下载新恶意程序；
2. 安全模式查杀：开机 F8 进入带网络安全模式，用火绒 / 360 全盘深度扫描，优先删除rdriv.sys可疑驱动；
3. 清理注册表：删除病毒自建的不明系统服务项；
4. 顽固 Rootkit 处理：用 Rootkit 专杀工具（ARK 工具）查看隐藏进程，强制删除隐身驱动；
5. 善后：修改所有账号密码（微信、网银、游戏），重装被篡改的浏览器。

五、预防要点

不使用非官网破解、外挂、激活工具；关闭系统不必要端口，开启系统实时防护。