程序员日常中病毒系列

DropFileName = "svchost.exe" 问题解决方案

事情是这样的，一朋友发来源码让我看下，手残不小心点到里头的一个exe文件，弹出联网请求，我便迅速关掉，之后发现同目录多了一个伪装成系统音乐文件夹的exe可执行文件。我就感觉到事情不妙了，但是又不能确定，随后删除这整个文件夹时提示有程序正在使用。

我就放那暂时没有管他了，之后的两三个小时，越发觉电脑响应的速度越慢了，物理内存飙高。就将电脑重启了。

之后就想写写代码，打开一个html的文件，发现大事情了，电脑所有的html都出问题了（如下图所示）。现在可以确定确实是感染病毒了。

然后马上马不停蹄的再次下载了个360，对电脑进行了全盘查杀（不要问我为什么下载360），长期裸奔的电脑，难免会来个一两次的。

单个测试，发现360只会把病毒代码删掉，不会把这个文件删掉，但是最下方被注释掉的部分代码就不会删掉了，到最后我还得要手动在处理一遍，虽然不处理也没什么太大问题，但是强迫症，苦逼( ╯▽╰)

代码原理（作用）： 这串script代码是一串vbs语言的病毒，中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符，不仅仅是html文档，连dll文档也会被感染。当然这种病毒不要太惊慌，因为他只是起到破坏文件的作用，不会有上传隐私，盗号等危害。 这串代码大概意思就是找到svchost.exe这个进程然后注入数据运行，注入的就是后面的进制代码来运行。这种病毒和其他病毒不同的是这种vbs病毒感染能力非常强，html文件一旦被感染，那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件。 的确，DLL文件也会被感染，导致部分软件可以正常使用，不过杀毒软件会报毒。而且你会发现你运行很多常用软件都会报毒，比如以前常用的迅雷丶酷狗等等一些常用的软件你再打开的时候居然提示都有病毒，当时我就觉得特别奇怪，迅雷是在官网下载的怎么可能会报毒呢？所以这里的原因就是vbs病毒感染了迅雷等软件的安装文件中的dll，所以杀毒软件会不停的报毒，报毒名称也是vbs脚本病毒。 提示：文中图片已被外星人劫走

本博客所有文章如无特别注明均为原创。作者：阿珏 ，复制或转载请以超链接形式注明转自 阿珏博客 。 原文地址《程序员日常中病毒系列》