相信很多的朋友都上網(wǎng)有用過搜索引擎的經(jīng)歷，其中搜索東西的時(shí)候有時(shí)候的會(huì)鏈到一個(gè)叫www.58q.com的網(wǎng)站，咋一看這個(gè)網(wǎng)站很普通，類似于包羅萬象的超鏈集合網(wǎng)站，但是其中的玄機(jī)就在這里了:在關(guān)閉這個(gè)頁面的時(shí)候會(huì)問你是不是把這個(gè)網(wǎng)站作為首頁，

陰險(xiǎn)的58q.com

。一般我們都會(huì)按“否”，此時(shí)系統(tǒng)如果有“實(shí)時(shí)文件保護(hù)系統(tǒng)的時(shí)候”（例：諾頓服務(wù)器8.1）會(huì)提示winsys.vbs發(fā)現(xiàn)木馬并已經(jīng)隔離成功,當(dāng)然沒裝病毒防護(hù)的自然什么提示都沒有了，如果進(jìn)行到這里，通常我們會(huì)認(rèn)為這個(gè)網(wǎng)頁有病毒并且已經(jīng)被殺掉了，系統(tǒng)一切平安。但是恰恰當(dāng)我們?cè)俅未蜷_IE或其他瀏覽器的時(shí)候卻是把網(wǎng)站www.58q.com作為首頁了。我身邊的好些朋友反映，這個(gè)默認(rèn)主頁怎么改都改不回去，一直死纏著系統(tǒng)。

    通常我們IE設(shè)置這樣的修改改不回去的時(shí)候，會(huì)把焦點(diǎn)集中到注冊(cè)表。的確，運(yùn)行regedit并搜索注冊(cè)表內(nèi)的www.58q.com的時(shí)候，我們會(huì)發(fā)現(xiàn)很多字段。當(dāng)然可以把這些字段都改成about:blank或者自己習(xí)慣的默認(rèn)主頁。然而當(dāng)再次打開瀏覽器的時(shí)候又會(huì)發(fā)現(xiàn)默認(rèn)主頁又變回了www.58q.com。想想明明是清理干凈了注冊(cè)表怎么又回回去呢？

    www.58q.com的制造者確實(shí)很“陰”，在我們?cè)L問網(wǎng)站回答“否”的時(shí)候，他的winsys.vbs已經(jīng)被執(zhí)行了一把，

電腦資料

《陰險(xiǎn)的58q.com》(http://www.oriental01.com)。而且偷偷在我們的系統(tǒng)盤上建立了一個(gè)非常類似于NT，2K，XP系統(tǒng)補(bǔ)丁目錄的目錄（夠狠�。�，例如：$NtUninstallQ5588565$

    由于文件夾被其設(shè)置了“隱藏”和“系統(tǒng)”屬性，我們通常需要把“顯示所有文件和文件夾”選項(xiàng)和“隱藏受保護(hù)的操作系統(tǒng)文件”都打開方能顯示這個(gè)文件夾。

    而由于每次修改后重新啟動(dòng)又被改回去默認(rèn)設(shè)置，這不的不讓我們懷疑我們的啟動(dòng)選項(xiàng)。我們可以用msconfig來觀察注冊(cè)表的啟動(dòng)選項(xiàng)，這樣又可以發(fā)現(xiàn)兩個(gè)如regedit -s $NtUninstallQ5588565$\winsys.cer 的啟動(dòng)選項(xiàng)。

    至此，這個(gè)“幽靈”的布局基本明朗，我們也開始可以給系統(tǒng)動(dòng)手術(shù)了：系統(tǒng)盤上的$NtUninstallQ5588565$文件夾與其下的winsys.cer（如果您沒裝病毒防護(hù)那還會(huì)多一個(gè)winsys.vbs），把這個(gè)文件夾徹底刪除。注冊(cè)表內(nèi)就比較熱鬧了：首先在啟動(dòng)選項(xiàng)里有關(guān)winsys.cer的選項(xiàng)都刪除，然后用F3搜索其它有關(guān)winsys.cer的項(xiàng)并將其鍵值清除。注意，搜索時(shí)候會(huì)遇到一個(gè)sys32項(xiàng)內(nèi)的winsys.cer，只需要將鍵值清除，不要將整個(gè)項(xiàng)刪除（可能因?yàn)椴僮飨到y(tǒng)不同而會(huì)有所差異，注意不要連累其他“鍵值”就好）。其次就是用F3搜索注冊(cè)表內(nèi)所有http://www.58q.com鍵值并改回自己的默認(rèn)主頁。ok！手術(shù)完成，重啟一下看手術(shù)是否成功。