[hide]
Log is generated by FreShow.
[wide]http://www.jci.jx.cn/news/news/news_notice_out/1637127.html
    [script]http://www.jci.jx.cn/news/Click.asp?NewsID=09123016371215729
    [script]http://www.jci.jx.cn/news/ReviewContent.asp?NewsID=09123016371215729
        [script]http://w2w.wwvv.us/images/css/swf.swf
        [frame]http://liudidi.9966.org/images/css/mepeg.htm
            [script]http://liudidi.9966.org/images/css/dj.jpg
                [object]http://vvvv.wwvv.us/images/css/css.swf
            [script]http://liudidi.9966.org/images/css/dj1.jpg
        [frame]http://liudidi.9966.org/images/css/tj.htm
            [script]http://count45.51yes.com/click.aspx?id=457288414&logo=1
                [frame]http://count45.51yes.com/sa.aspx?id=457288414'+yesdata+'
        [frame]http://liudidi.9966.org/images/css/ff.htm
            [script]http://liudidi.9966.org/images/css/go.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/of.htm
            [script]http://liudidi.9966.org/images/css/of.js
                [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/dom.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf
        [frame]http://liudidi.9966.org/images/css/bf.htm
            [object]http://vvvv.wwvv.us/images/css/css.swf

解这个网马的方法主要是freshow 和Redoce的配合使用以及document.write和shellcode的解密。

使用Redoce解出第一个document.write.
使用 freshow不能解出http://liudidi.9966.org/images/css/mepeg.htm，因而利用Redoce，方法是，选中一个空格，然后右键点击“删除选中字符”，即得标准代码。
解得dj.jpg.和dj1.jpg。复制到freshow中去,
三次ESC 解得网马地址。其他的同理。截图请见附件。
[\hide]

郁闷了，试了很长时间，没做出来。