近來有很多人雖然已經安裝了殺毒軟件,還是會中了Backdoor.D.WinSys木馬病毒。打開 IE 瀏覽器會自動進入某些莫名的網站。一些殺毒軟件(如:諾頓)可以查獲到,但是還是不能徹底清除,遺留了很多的問題,例如:重新啟動,會彈出一個對話框,說“注冊表編輯器無法導入C:\$NtUninstallQ8875778$\WINSYS.cer”等等,還有其他一個亂七八糟的錯誤。有經驗的人一眼就能看出是病毒的遺留物。那么如何解決呢?
第一步:
借用“費爾安全實驗室”的一段回答。這是一個現在網站中比較流行的 Backdoor.D.WinSys 木馬,主要流行在各電影網站、音樂網站和色情網站。
您先可以使用最新版本的(2003年11月7日以后版本)的殺毒軟件進行殺毒,如果能殺當然是最好,這里 icech(西部E網 http://weste.net ) 建議您用諾頓或者瑞星,如果您有最新完全版的費爾托斯特安全,可以用它掃描一下系統,把找到所有這個木馬全部隔離掉。
如果您沒有可以嘗試這樣手工清除一下:1、手工先把這個 c:\$Ntuninstallq887678$ 目錄整個刪除,如果您在資源管理中看不到它說明您的系統沒有打開“查看隱藏文件”的設置,請先這樣設置一下:
a、打開“我的電腦”;
b、依次打開菜單“工具/文件夾選項”;
c、然后在彈出的“文件夾選項”對話框中切換到“查看”頁;
d、在下面的“高級設置”列表框中改變“不顯示隱藏的文件和文件夾”選項為“顯示所有文件和文件夾”選項;
e、最后點擊“確定”。
做了這幾步后您再找一下這個目錄,找到后把它整個刪除掉,然后接著按下面的步驟做。
第二步:
在“開始/運行”中運行 regedit.exe 命令打開注冊表編譯器,然后直接F3打開索窗口,在中間輸入“winsys.cer”并搜索。這樣只要在注冊表中發現有此內容的您全部把它刪除掉,直到搜索完畢找不到有關值。
第三步:
由于 Backdoor.D.WinSys 木馬會將 IE 瀏覽器的默認首頁設置成為感染病毒所在地的網站地址,因此,只要你一打開 IE 瀏覽器就會再次中毒,這一步驟就是要將此網站地址一網打盡。方法同第二步一樣,按F3,輸入該網站地址。我被感染的網站是“www.hao68.com”,或者是“www.ent8.com”,每個人的可能不大一樣,但是解決的方法是一樣的。這樣只要在注冊表中發現有此內容的您全部把它刪除掉,直到搜索完畢找不到有關值。
第四步:
別著急,現在還不能算完全ok了,在桌面找到 IE 瀏覽器的圖標,單擊右鍵右鍵,選擇“屬性”,在常規中清除“Internet 臨時文件”,直接點擊“刪除文件…”即可!
第五步:
重新啟動計算機或者注銷一次,再次打開 IE 瀏覽器,看看還有沒有惡意病毒騷擾你?
注意:
現在這種Script病毒的變種非常多,例如:家園(Script.Hompage)也是一種,它會生成“C:\$NtUninstallQ887678$”目錄,解決的方法是一樣的。大家最好的方法是安裝防火墻,打開網頁監控,時刻監控保護你的電腦! (西部E網原創,若轉載請注明:轉載于西部E網 http://weste.net)
|
