阴险的58q.com

相信很多的朋友都上网有用过搜索引擎的经历，其中搜索东西的时候有时候的会链到一个叫www.58q.com的网站，咋一看这个网站很普通，类似于包罗万象的超链集合网站，但是其中的玄机就在这里了:在关闭这个页面的时候会问你是不是把这个网站作为首页。一般我们都会按“否”，此时系统如果有“实时文件保护系统的时候”（例：诺顿服务器8.1）会提示winsys.vbs发现木马并已经隔离成功,当然没装病毒防护的自然什么提示都没有了，如果进行到这里，通常我们会认为这个网页有病毒并且已经被杀掉了，系统一切平安。但是恰恰当我们再次打开IE或其他浏览器的时候却是把网站www.58q.com作为首页了。我身边的好些朋友反映，这个默认主页怎么改都改不回去，一直死缠着系统。

通常我们IE设置这样的修改改不回去的时候，会把焦点集中到注册表。的确，运行regedit并搜索注册表内的www.58q.com的时候，我们会发现很多字段。当然可以把这些字段都改成about:blank或者自己习惯的默认主页。然而当再次打开浏览器的时候又会发现默认主页又变回了www.58q.com。想想明明是清理干净了注册表怎么又回回去呢？

www.58q.com的制造者确实很“阴”，在我们访问网站回答“否”的时候，他的winsys.vbs已经被执行了一把。而且偷偷在我们的系统盘上建立了一个非常类似于NT，2K，XP系统补丁目录的目录（够狠！），例如：$NtUninstallQ5588565$

由于文件夹被其设置了“隐藏”和“系统”属性，我们通常需要把“显示所有文件和文件夹”选项和“隐藏受保护的操作系统文件”都打开方能显示这个文件夹。

而由于每次修改后重新启动又被改回去默认设置，这不的不让我们怀疑我们的启动选项。我们可以用msconfig来观察注册表的启动选项，这样又可以发现两个如regedit -s $NtUninstallQ5588565$\winsys.cer 的启动选项。

至此，这个“幽灵”的布局基本明朗，我们也开始可以给系统动手术了：系统盘上的$NtUninstallQ5588565$文件夹与其下的winsys.cer（如果您没装病毒防护那还会多一个winsys.vbs），把这个文件夹彻底删除。注册表内就比较热闹了：首先在启动选项里有关winsys.cer的选项都删除，然后用F3搜索其它有关winsys.cer的项并将其键值清除。注意，搜索时候会遇到一个sys32项内的winsys.cer，只需要将键值清除，不要将整个项删除（可能因为操作系统不同而会有所差异，注意不要连累其他“键值”就好）。其次就是用F3搜索注册表内所有http://www.58q.com键值并改回自己的默认主页。ok！手术完成，重启一下看手术是否成功。