Virustotal是一项分析可疑文件和便利快速探测病毒,蠕虫,木马和各类被反病毒引擎所能探测的恶意软件的服务，目前是25个病毒引擎，详细参看分析结果列表。当然他是免费的，所以只能帮你分析，不能帮你去处，你可以根据分析结果来决定如何处理这个文件。

首先当然是进入VirusTotal站点，网址是：www.virustotal.com。这是个国外站点，不过页面很简单，不会英文也会使用^^
点击右上“浏览”选取需要扫描的文件后点击“Send”按钮。只能单个文件分析，如果有多个文件请打包。如图：

显示文件上传中，请稍等，文件越大时间越长。如图：

如果使用人数比较多，会提示文件正在排队中，以及排队时间，如图：

分析中，依次使用多个病毒引擎进行分析，时间比较长，可以先做其他事情。如图：

分析结果以及文件基本信息。如图：

除了直接使用网站，还可以使用[name]VirusTotal Uploader,http://www.virustotal.com/vtsetup.exe[/name]。这是一款官方提供的只有几十k的小插件。安装了它以后你只需对要检查的文件右键–>发送到->VirusTotal就可以了，很方便。如果使用的是Firefox，你还可以使用VirusTotal的[name]Firefox插件,https://addons.mozilla.org/en-US/firefox/addon/4451[/name]。

同类型的网站还有Jotti、Virus.Org等等，使用起来大同小异，就不多叙述了。

PS：图片宽度一超过500，版面就乱了=。=无奈只有缩小点了，可能看不清楚。不知道有没有只自动截断图片超出范围部分的插件，自己先找找再说。

=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt内容为：

停止IIS，删掉有问题的ISAPI和相关文件，重启IIS，浏览网页，挂马少了一个，不过还有一个依旧存在。代码类似，只不过网页地址加密过。

继续在网上查资料，也考虑到中了其他病毒/木马，或者ARP欺骗挂马，但是用杀软检查已经ARP检测工具也没有发现相关病毒以及ARP攻击，系统目录下asp.dll文件也没有什么改动。没办法，又把目光回到IIS上，初看那另外3条ISAPI扩展好象没有什么问题。不过我记得WIN2003默认.NET版本是1.1的，怎么有个1.0的，检查了C:WINDOWSMicrosoft.NETFramework目录下各个版本的文件，发现问题所在，那个1.0的文件夹下面只有3个文件，除了aspnet_filter.dll还有另外2个DLL（删快了，忘记录文件名了），判定应该是这块问题。停止IIS，删除ISAPI以及文件，再重启，挂马解决。

最后总结下目前几种挂马：
1、最基本的网页添加挂马，可以在受害程序中查找到挂马代码。通过程序漏洞、系统漏洞的方式直接添加在原始程序的头尾或者中间部分。删除原始程序代码中木马部分，打上漏洞补丁既能解决 。
2、病毒、木马挂马。解决方法：查杀病毒、木马。
3、ISAPI扩展挂马 ，往往全站都被挂马，原始程序中无挂马部分。解决方法如上。
4、系统文件C:WINDOWSsystem32inetsrvasp.dll（特指ASP的站点，PHP站点应该也有类似的）被修改挂马，用MD5软件和正常asp.dll的MD5码对比即可鉴别，解决方法停止IIS用正常的覆盖问题文件，重启IIS即可。
5、ARP欺骗挂马，原理不多叙述了，可以google下关键字“ARP 挂马 原理”，有很多这方面说明，以及解决方法。
6、CDN挂马，这个我也不是很懂，出现的比较少，感觉这个就类似某些地区的ADSL上网会被强行插入广告或者跳转至114站点。

目前只知道这么多了，以后有新的在补充。