瑞星卡卡安全论坛

前几天电脑中毒了，用瑞星杀了好几回，杀了几千个Trojan.DL.Win32.*之类的病毒，但是用IIS打开自己开发的aspx网页，瑞星提示网页脚本感染了病毒，病毒名为Suspicious.Trojan-Downloader.Unescape.ShellCode.b请问怎么解决？谢谢！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

安全模式全盘杀毒么

感染型病毒

开任何网页即报病毒，很可能就是arp欺骗。
仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹,升级杀毒。
但是，如果浏览任何网页都会出现此报毒提示，那么就有arp病毒攻击欺骗的情况，某些病毒利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现脚本病毒或网页木马的报警。针对这种情况，建议首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒；如果是别人的电脑中毒后攻击自己，则下载第三方抓包工具，查找病毒源，找到毒源后，使用sreng扫描并上报扫描结果。

建议LZ 打下系统补丁。
在安全模式下配合最新的卡卡和升级瑞星软件，然后全盘杀毒。

网上有一些ＩＩＳ６＋ＡＳＰＸ的暴库工具．

楼主给自己的网站打打补丁吧

谢谢各位支招！我在安全模式又杀了一回，清除了IE临时文件，但是我用IIS运行自己开发的aspx网页还是出现类似的情况，哦这个病毒是Suspicious.Trojan-Downloader.Unescape.ShellCode.b

用IIS打开apsx网页，瑞星提示网页脚本感染，病毒名为Suspicious.Trojan-Downloader.Unescape.ShellCode.b，请问怎么才能清除它？谢谢！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

路径？？
您给个SRENG扫描报告，比这一大堆的主观描述更能助于您的问题的解决

按版规需要上传SREng的扫描报告，如果需要具体解决办法也需SREng的扫描报告
点击下载：SREng

一：使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩，运行SREngLdr.exe；
2、如果无法打开尝试把SREngLdr.exe改名为123.BAT运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】

二：为了减少对病毒的误判，和对病毒准确定位，最好同时上传金山清理专家日志
点击下载：金山清理专家
使用方法：金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

三：如都以上软件无法正常运行,下载下面的软件：
修改版SRENG

这是瑞星扫描的SREngLOG.log 

附件: SREngLOG.log (2009-2-15 9:51:36, 52.09 K)
该附件被下载次数 190

这是金山清理专家的报告：

附件: Report.txt (2009-2-15 9:51:36, 11.12 K)
该附件被下载次数 474

各位看看到底怎么办？谢谢！！

启动XDELBOX程序。http://bbs.ikaka.com/attachment.aspx?attachmentid=446806复

制粘贴下面文件操作删除,删除时勾选抑制文件生成

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_vro-mwdf.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_rfctjf4z.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web__w1r9vak.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_vspcise_.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_bgnscbso.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_sd2oilm0.dll

在扫日志的SRENG工具》启动项目》注册表找下面项删除
[PID: 3460 / ASPNET][C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-4200)]
   
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_vro-mwdf.dll]  [N/A, ]
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_rfctjf4z.dll]  [N/A, ]
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web__w1r9vak.dll]  [N/A, ]
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_vspcise_.dll]  [N/A, ]
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_bgnscbso.dll]  [N/A, ]
    [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\a57bd8f1\18400f82\App_Web_sd2oilm0.dll]  [N/A, ]

联网状态下，双击C:\WINDOWS\system32\Macromed\Flash\FlashUtil9d.exe，将ADOBE FLASH PLAYER ACTIVEX升级到10D版本先……

操作系统补丁要打全……

:default7:

请打开本地脚本或网页文件，查看一下是什么代码

使用下面的工具清除

附件: iframekill.rar (2009-2-15 11:43:10, 209.81 K)
该附件被下载次数 181

若是机器有毒，请先清除~！