可怕的Ramnit 蠕虫病毒太恶心了，exe，dll和html都感染了

2010weist123

可怕的Ramnit 蠕虫病毒太恶心了，exe，dll和html都感染了

DesktopLayer.exe这个文件。
它会将自身复制到C:\Program Files (x86)\Microsoft目录下。为了感染其它可执行文件进行传播此病毒会启动internet explorer并向ie进程中注入代码，所注入的代码会搜索可执行文件并对其进行感染。此病毒还会感染html文件，向其中加入VBS代码以释放和运行病毒。


我不知道什么原因，计算机里面的exe，dll和html都感染了。下载了一个DesktopLayer专杀，一运行扫描就非正常退出，它会把被感染的EXE程序都会自动创建1个"程序名 + Srv".exe的程序，其中SVR可以重复无数次，导致非常长的文件名，可能就是专杀工具无法运行的原因。

===================
后来下载了赛门铁克的FxRamnit.exe专杀，成功运行。
然后它不是要在C:\Program Files (x86)\Microsoft生成一个DesktopLayer.exe文件么，我用记事本建立一个0字节的空文件，改名为DesktopLayer.exe，放在C:\Program Files (x86)\Microsoft目录下，并且用安全设置Microsoft这个目录让任何用户都没有写入权限，终于清净了！！！

plusv

nrcn 发表于 2022-1-31 00:07
从来只在固定的几个网站溜达太不容易中招了

用了几十年的电脑,
只在固定的网站溜达,
这是在搞笑吗 ?

我是 IT 人员,
常常需要查找网上,
有无数次,防软都会自动报警,自动隔离.

nrcn

plusv 发表于 2022-1-30 15:58
我 老 PC 已使用 13 年了,
Windows 7 X64 + Symantec Endpoint Protection,
也没中过奖.

从来只在固定的几个网站溜达太不容易中招了

nrcn

2010weist123 发表于 2022-1-30 12:06
当时没有，以前裸奔习惯了。
发生这个事情后果断装了火绒。可惜了我保存的大量工具软件。

不云盘？

sounydqb

感谢分享专杀工具

2010weist123

hfut 发表于 2022-1-30 22:12
从来不使用杀软，只用自己定制的安全策略，完美防范绝大部分恶性病毒和所有国产流氓软件的感染。

最惨痛的教训：
今后自己保存的软件，什么绿色版，免安装什么的，一律压缩成rar保存，这个不会染毒。

hfut

从来不使用杀软，只用自己定制的安全策略，完美防范绝大部分恶性病毒和所有国产流氓软件的感染。

atgtjxbc

平时电脑就上几个信任的网站下点东西，裸奔也没事，就怕到一些乱七八糟的网站下载

wu733

吓得我赶紧下一个查杀，运气还算好并没发现

wuming520

2010weist123 发表于 2022-1-30 16:31
http://weist123.ysepan.com/
在“临时3”文件夹

好的谢谢~！

wqflove

装个火绒吧。杀毒还是得装一个的。

2010weist123

wuming520 发表于 2022-1-30 16:28
楼主工具不分享一下吗

http://weist123.ysepan.com/
在“临时3”文件夹

wuming520

楼主工具不分享一下吗

wuming520

也遇到过安全杀毒工具检测不到

plusv

我 老 PC 已使用 13 年了,
Windows 7 X64 + Symantec Endpoint Protection,
也没中过奖.

gailium

win11没得ie那不就没得注入

2010weist123

2010feicool 发表于 2022-1-30 14:26
古董病毒了，
用RAMOS+全盘删除EXE扩展名，果奔快10年，下载回来的东西经过在线杀毒，全在Sandboxie中运行 ...

一直想知道，病毒判断你这个文件是不是exe，是根据exe扩展名，还是根据文件头hex，如果是扩展名，那么该exe扩展名还有效。
exe和dll：
4D 5A 90

xianglang

能清除吗？现在基本都是只删除文件，不会清除文件中的病毒代码了。

2010feicool

古董病毒了，
用RAMOS+全盘删除EXE扩展名，果奔快10年，下载回来的东西经过在线杀毒，全在Sandboxie中运行测试，靠谱得狠！

2010weist123

我考虑的是，新装的系统，也像我在1楼红色字体部分做这么一个设置，是不是就“免疫”了吧。

chibuzhu

戴好口罩

2010weist123

DOSforever 发表于 2022-1-30 12:49
你用的是 Windows 7 吗？

用的是wes7。
是这个帖子：
http://bbs.wuyou.net/forum.php?m ... p;extra=&page=1
这个帖子的一楼x86系统wim版非常的好用。

但我用的是这个帖子40楼的x64版。苏博联合论坛WinES7SP1EX_X64Beta2.iso
这个版本不好，计算机名称什么的有太多的夹带货。
安装完毕后还需要激活，chew wga激活后经常的反弹。就是一打开记事本就提示未使用正版。

scq330

我中过一次，4t+2t数据不知道折腾了几天，损失了一部分程序。后面就一直用火绒，安静安全。。。

2012andyle113

老诺顿出的专杀那么多年都没有失手过，基本还都是修复的
现在随便搞个杀软也都能应付了，毕竟是个老古董了

qq254738204

你是不是看猫猫片了？？？

gander6

从来不敢裸奔，至少也要穿个裤头，哈哈哈.....

2010weist123

DOSforever 发表于 2022-1-30 12:24
说一下可能是什么原因中毒的，只浏览了网页？运行了不明的执行文件？运行了下载的文件所捆绑的垃圾软件所带 ...

这个实在是不同清楚，你说的情况都可能。就像丢失东西一样，一般人都不知道是怎么丢失的。
只记得发作时硬盘狂转，cpu风扇狂响才发现大量的exe被修改。

惨啊，不过裸奔了！

2010weist123

当时没有，以前裸奔习惯了。
发生这个事情后果断装了火绒。可惜了我保存的大量工具软件。