http://ck1.in/n.js这是个木马

程序分析结果 典型的Agent下载者 下载ck1.in/S368/N******.js (估计是s368.exe这个trojanclicker,都不用解码了..s368作者更新病毒更新的挺勤的,也不知道这个病毒最新版本生成什么文件,只能说祝你好运,在安全模式全盘扫描病毒吧!)

测试样本:不存在.解密后确实是下载s368.exe,不过s368.exe已经不存在于此服务器
使用昨天的s368样本测试生成:c:\windows\~temp????.exe(?代表数字),建议在安全模式下删除这些~temp????.exe

安全模式并不一定能杀掉,但是如果你的杀毒软件可以检测到这些病毒程序的话建议:
1.下载MAXDOS(注意下载过程中由于病毒的ARP欺骗杀毒软件会报警,不必理会)
2.安装MAXDOS
3.重启进入安全模式,扫描病毒,记下所有病毒的路径
4.强制重启
5.进入DOS(实)模式
6.使用DEL 文件名(如Del C:\Windows\~temp1234.exe)删除文件
*特殊用法:当两个"\"中间字符超过8个时使用前6字加上~1,~2表示如 c:\123456789\1.exe和c:\1234567890\1.exe分别表示为c:\123456~1\1.exe和C:\123456~2\1.exe
*当短路径中出现空格时需要用双引号括起路径如删除c:\ab cdefgh\1.exe表示为del "C:\ab cde~1\1.exe"
7.重启,开始 运行 msconfig 启动/服务 清理项目

[字节数:947]
[文档写入:危险]
[调用于第14字节处]
[代码中止:含有未知代码]
[调用于第26字节处]
[代码中止:含有未知代码]
[调用于第75字节处]
[文档写入:危险]
[调用于第94字节处]
[代码中止:含有未知代码