无忧启动论坛

标题: 可怕的Ramnit 蠕虫病毒太恶心了,exe,dll和html都感染了 [打印本页]
作者: 2010weist123    时间: 2022-1-30 11:48
标题: 可怕的Ramnit 蠕虫病毒太恶心了,exe,dll和html都感染了
可怕的Ramnit 蠕虫病毒太恶心了,exe,dll和html都感染了

DesktopLayer.exe这个文件。
它会将自身复制到C:\Program Files (x86)\Microsoft目录下。为了感染其它可执行文件进行传播此病毒会启动internet explorer并向ie进程中注入代码,所注入的代码会搜索可执行文件并对其进行感染。此病毒还会感染html文件,向其中加入VBS代码以释放和运行病毒。


我不知道什么原因,计算机里面的exe,dll和html都感染了。下载了一个DesktopLayer专杀,一运行扫描就非正常退出,它会把被感染的EXE程序都会自动创建1个"程序名 + Srv".exe的程序,其中SVR可以重复无数次,导致非常长的文件名,可能就是专杀工具无法运行的原因。

===================
后来下载了赛门铁克的FxRamnit.exe专杀,成功运行。
然后它不是要在C:\Program Files (x86)\Microsoft生成一个DesktopLayer.exe文件么,我用记事本建立一个0字节的空文件,改名为DesktopLayer.exe,放在C:\Program Files (x86)\Microsoft目录下,并且用安全设置Microsoft这个目录让任何用户都没有写入权限,终于清净了!!!

作者: 邪恶海盗    时间: 2022-1-30 12:00
没装安全工具么???
作者: 2010weist123    时间: 2022-1-30 12:06
当时没有,以前裸奔习惯了。
发生这个事情后果断装了火绒。可惜了我保存的大量工具软件。
作者: DOSforever    时间: 2022-1-30 12:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: 2010weist123    时间: 2022-1-30 12:27
DOSforever 发表于 2022-1-30 12:24
说一下可能是什么原因中毒的,只浏览了网页?运行了不明的执行文件?运行了下载的文件所捆绑的垃圾软件所带 ...

这个实在是不同清楚,你说的情况都可能。就像丢失东西一样,一般人都不知道是怎么丢失的。
只记得发作时硬盘狂转,cpu风扇狂响才发现大量的exe被修改。

惨啊,不过裸奔了!
作者: gander6    时间: 2022-1-30 12:47
从来不敢裸奔,至少也要穿个裤头,哈哈哈.....
作者: DOSforever    时间: 2022-1-30 12:49
提示: 作者被禁止或删除 内容自动屏蔽
作者: qq254738204    时间: 2022-1-30 12:57
你是不是看猫猫片了???
作者: 2012andyle113    时间: 2022-1-30 13:04
老诺顿出的专杀那么多年都没有失手过,基本还都是修复的
现在随便搞个杀软也都能应付了,毕竟是个老古董了
作者: scq330    时间: 2022-1-30 13:07
我中过一次,4t+2t数据不知道折腾了几天,损失了一部分程序。后面就一直用火绒,安静安全。。。
作者: 2010weist123    时间: 2022-1-30 13:09
DOSforever 发表于 2022-1-30 12:49
你用的是 Windows 7 吗?

用的是wes7。
是这个帖子:
http://bbs.wuyou.net/forum.php?m ... p;extra=&page=1
这个帖子的一楼x86系统wim版非常的好用。

但我用的是这个帖子40楼的x64版。苏博联合论坛WinES7SP1EX_X64Beta2.iso
这个版本不好,计算机名称什么的有太多的夹带货。
安装完毕后还需要激活,chew wga激活后经常的反弹。就是一打开记事本就提示未使用正版。
作者: chibuzhu    时间: 2022-1-30 13:23
戴好口罩
作者: 2010weist123    时间: 2022-1-30 13:28
我考虑的是,新装的系统,也像我在1楼红色字体部分做这么一个设置,是不是就“免疫”了吧。
作者: 2010feicool    时间: 2022-1-30 14:26
古董病毒了,
用RAMOS+全盘删除EXE扩展名,果奔快10年,下载回来的东西经过在线杀毒,全在Sandboxie中运行测试,靠谱得狠!
作者: xianglang    时间: 2022-1-30 14:28
能清除吗?现在基本都是只删除文件,不会清除文件中的病毒代码了。
作者: 2010weist123    时间: 2022-1-30 14:34
本帖最后由 2010weist123 于 2022-1-30 14:36 编辑
2010feicool 发表于 2022-1-30 14:26
古董病毒了,
用RAMOS+全盘删除EXE扩展名,果奔快10年,下载回来的东西经过在线杀毒,全在Sandboxie中运行 ...

一直想知道,病毒判断你这个文件是不是exe,是根据exe扩展名,还是根据文件头hex,如果是扩展名,那么该exe扩展名还有效。
exe和dll:
4D 5A 90
作者: gailium    时间: 2022-1-30 14:59
win11没得ie那不就没得注入
作者: plusv    时间: 2022-1-30 15:58
我 老 PC 已使用 13 年了,
Windows 7 X64 + Symantec Endpoint Protection,
也没中过奖.
作者: wuming520    时间: 2022-1-30 16:26
也遇到过安全杀毒工具检测不到
作者: wuming520    时间: 2022-1-30 16:28
楼主工具不分享一下吗
作者: 2010weist123    时间: 2022-1-30 16:31
wuming520 发表于 2022-1-30 16:28
楼主工具不分享一下吗

http://weist123.ysepan.com/
在“临时3”文件夹
作者: wqflove    时间: 2022-1-30 16:58
装个火绒吧。杀毒还是得装一个的。
作者: wuming520    时间: 2022-1-30 17:23
2010weist123 发表于 2022-1-30 16:31
http://weist123.ysepan.com/
在“临时3”文件夹

好的谢谢~!
作者: wu733    时间: 2022-1-30 21:20
吓得我赶紧下一个查杀,运气还算好并没发现

20220130211849.jpg (50.59 KB, 下载次数: 131)

20220130211849.jpg
作者: atgtjxbc    时间: 2022-1-30 21:44
平时电脑就上几个信任的网站下点东西,裸奔也没事,就怕到一些乱七八糟的网站下载
作者: hfut    时间: 2022-1-30 22:12
从来不使用杀软,只用自己定制的安全策略,完美防范绝大部分恶性病毒和所有国产流氓软件的感染。
作者: 2010weist123    时间: 2022-1-30 22:59
hfut 发表于 2022-1-30 22:12
从来不使用杀软,只用自己定制的安全策略,完美防范绝大部分恶性病毒和所有国产流氓软件的感染。

最惨痛的教训:
今后自己保存的软件,什么绿色版,免安装什么的,一律压缩成rar保存,这个不会染毒。
作者: sounydqb    时间: 2022-1-30 23:59
感谢分享专杀工具
作者: nrcn    时间: 2022-1-31 00:03
2010weist123 发表于 2022-1-30 12:06
当时没有,以前裸奔习惯了。
发生这个事情后果断装了火绒。可惜了我保存的大量工具软件。

不云盘?
作者: nrcn    时间: 2022-1-31 00:07
plusv 发表于 2022-1-30 15:58
我 老 PC 已使用 13 年了,
Windows 7 X64 + Symantec Endpoint Protection,
也没中过奖.

从来只在固定的几个网站溜达太不容易中招了
作者: plusv    时间: 2022-1-31 00:44
nrcn 发表于 2022-1-31 00:07
从来只在固定的几个网站溜达太不容易中招了

用了几十年的电脑,
只在固定的网站溜达,
这是在搞笑吗 ?

我是 IT 人员,
常常需要查找网上,
有无数次,防软都会自动报警,自动隔离.




欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3