DesktopLayer.exe病毒查杀

最近发现网站源码中有大量.html 文件被写入脚本木马。大概是这个样子的。




经过百度得知中了Srv强感染病毒，这种病毒在执行后会在c盘的一个啥目录中生成一个DesktopLayer.exe无图标病毒，然后感染全盘的HTML、DLL、EXE文件，凡是打开EXE文件都会在同目录下生成一个以Srv为结尾的无图标病毒大小在55kb或111kb，、这种病毒感染能力极强，虽然已经是很古老的病毒了，但是这种病毒最近在论坛频繁出现，就我在论坛发现的别人发的程序存在这种病毒的就有好几(都已经举报 肯定还会有)绝大多数出现在外挂辅助上，中了该病毒，唯一的办法就是全盘格式化重装系统，别说你不想重装系统，就算你想重装系统，不格式化全盘依然是没有一点用的，因为感染了全盘文件后，只要是运行EXE文件或者调用DLL文件或者HTML文件，都会使病毒再次全盘感染，所以只能全盘格式化然后重装系统，还有建议不要尝试在感染的机子上拷贝文件到U盘中，这种病毒也会感染U盘上的东西，你全盘格式化然后重转系统后，插入刚刚的U盘，你电脑还会一样再次感染，所以。。你懂的


DesktopLayer.exe 会有以下几个行为：

第一，会在C:\Program Files (x86)\目录下生成一个Microsoft文件夹，里面有个病毒文件desktoplayer.exe；
第二，会在C:\Users\Administrator\AppData\Local目录下生成一个Installer文件夹，文件夹里会按时间不同编号不同的产生病毒文件夹，虽然文件夹名称后面数字不同；
第三，这种病毒感染的类型很变态，除了常见的exe和dll，还有htm和html网页文件；（常见的是会生成一个55kb的XXXSvr.exe的文件）
第四，这种病毒貌似会默认给你一些文件夹开启共享权限。这些都是暂时知道的，其他的还不知道。

DesktopLayer.exe 可详见此帖子：

https://www.52pojie.cn/thread-551523-1-1.html

http://www.admin365.cn/thread-45212-1-1.html   DesktopLayer.exe病毒查

http://www.admin365.cn/thread-45211-1-1.html  HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

http://www.admin365.cn/thread-45224-1-1.html   HTML文件自动加入了VBS代码?教你解决Ramnit病毒