相信很多的朋友都上網(wǎng)有用過搜索引擎的經(jīng)歷����,其中搜索東西的時(shí)候有時(shí)候的會鏈到一個(gè)叫www.58q.com的網(wǎng)站���,咋一看這個(gè)網(wǎng)站很普通���,類似于包羅萬象的超鏈集合網(wǎng)站�����,但是其中的玄機(jī)就在這里了:在關(guān)閉這個(gè)頁面的時(shí)候會問你是不是把這個(gè)網(wǎng)站作為首頁����。一般我們都會按“否”����,此時(shí)系統(tǒng)如果有“實(shí)時(shí)文件保護(hù)系統(tǒng)的時(shí)候”(例:諾頓服務(wù)器8.1)會提示winsys.vbs發(fā)現(xiàn)木馬并已經(jīng)隔離成功,當(dāng)然沒裝病毒防護(hù)的自然什么提示都沒有了,如果進(jìn)行到這里����,通常我們會認(rèn)為這個(gè)網(wǎng)頁有病毒并且已經(jīng)被殺掉了,系統(tǒng)一切平安���。但是恰恰當(dāng)我們再次打開IE或其他瀏覽器的時(shí)候卻是把網(wǎng)站www.58q.com作為首頁了����。我身邊的好些朋友反映�����,這個(gè)默認(rèn)主頁怎么改都改不回去,一直死纏著系統(tǒng)����。
通常我們IE設(shè)置這樣的修改改不回去的時(shí)候,會把焦點(diǎn)集中到注冊表���。的確���,運(yùn)行regedit并搜索注冊表內(nèi)的www.58q.com的時(shí)候,我們會發(fā)現(xiàn)很多字段����。當(dāng)然可以把這些字段都改成about:blank或者自己習(xí)慣的默認(rèn)主頁。然而當(dāng)再次打開瀏覽器的時(shí)候又會發(fā)現(xiàn)默認(rèn)主頁又變回了www.58q.com����。想想明明是清理干凈了注冊表怎么又回回去呢?
www.58q.com的制造者確實(shí)很“陰”�,在我們訪問網(wǎng)站回答“否”的時(shí)候,他的winsys.vbs已經(jīng)被執(zhí)行了一把�����。而且偷偷在我們的系統(tǒng)盤上建立了一個(gè)非常類似于NT�,2K,XP系統(tǒng)補(bǔ)丁目錄的目錄(夠狠�����。��,例如:$NtUninstallQ5588565$
由于文件夾被其設(shè)置了“隱藏”和“系統(tǒng)”屬性����,我們通常需要把“顯示所有文件和文件夾”選項(xiàng)和“隱藏受保護(hù)的操作系統(tǒng)文件”都打開方能顯示這個(gè)文件夾。
而由于每次修改后重新啟動(dòng)又被改回去默認(rèn)設(shè)置�,這不的不讓我們懷疑我們的啟動(dòng)選項(xiàng)。我們可以用msconfig來觀察注冊表的啟動(dòng)選項(xiàng)�����,這樣又可以發(fā)現(xiàn)兩個(gè)如regedit -s $NtUninstallQ5588565$\winsys.cer 的啟動(dòng)選項(xiàng)���。
至此����,這個(gè)“幽靈”的布局基本明朗�����,我們也開始可以給系統(tǒng)動(dòng)手術(shù)了:系統(tǒng)盤上的$NtUninstallQ5588565$文件夾與其下的winsys.cer(如果您沒裝病毒防護(hù)那還會多一個(gè)winsys.vbs),把這個(gè)文件夾徹底刪除�。注冊表內(nèi)就比較熱鬧了:首先在啟動(dòng)選項(xiàng)里有關(guān)winsys.cer的選項(xiàng)都刪除,然后用F3搜索其它有關(guān)winsys.cer的項(xiàng)并將其鍵值清除���。注意���,搜索時(shí)候會遇到一個(gè)sys32項(xiàng)內(nèi)的winsys.cer,只需要將鍵值清除��,不要將整個(gè)項(xiàng)刪除(可能因?yàn)椴僮飨到y(tǒng)不同而會有所差異�,注意不要連累其他“鍵值”就好)。其次就是用F3搜索注冊表內(nèi)所有http://www.58q.com鍵值并改回自己的默認(rèn)主頁��。ok����!手術(shù)完成,重啟一下看手術(shù)是否成功���。
出處:賽迪網(wǎng)
責(zé)任編輯:Yahoo
|
