近来有很多人虽然已经安装了杀毒软件，还是会中了Backdoor.D.WinSys木马病毒。打开 IE 浏览器会自动进入某些莫名的网站。一些杀毒软件（如：诺顿）可以查获到，但是还是不能彻底清除，遗留了很多的问题，例如：重新启动，会弹出一个对话框，说“注册表编辑器无法导入C：\$NtUninstallQ8875778$\WINSYS.cer”等等，还有其他一个乱七八糟的错误。有经验的人一眼就能看出是病毒的遗留物。那么如何解决呢？

第一步：
    借用“费尔安全实验室”的一段回答。这是一个现在网站中比较流行的 Backdoor.D.WinSys 木马，主要流行在各电影网站、音乐网站和色情网站。
    您先可以使用最新版本的（2003年11月7日以后版本）的杀毒软件进行杀毒，如果能杀当然是最好，这里 icech（西部E网 http://weste.net ） 建议您用诺顿或者瑞星，如果您有最新完全版的费尔托斯特安全，可以用它扫描一下系统，把找到所有这个木马全部隔离掉。
    如果您没有可以尝试这样手工清除一下：1、手工先把这个 c:\$Ntuninstallq887678$ 目录整个删除，如果您在资源管理中看不到它说明您的系统没有打开“查看隐藏文件”的设置，请先这样设置一下：
    a、打开“我的电脑”；
    b、依次打开菜单“工具/文件夹选项”；
    c、然后在弹出的“文件夹选项”对话框中切换到“查看”页；
    d、在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
    e、最后点击“确定”。
    做了这几步后您再找一下这个目录，找到后把它整个删除掉，然后接着按下面的步骤做。

第二步：
    在“开始/运行”中运行 regedit.exe 命令打开注册表编译器，然后直接F3打开索窗口，在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。

第三步：
    由于 Backdoor.D.WinSys 木马会将 IE 浏览器的默认首页设置成为感染病毒所在地的网站地址，因此，只要你一打开 IE 浏览器就会再次中毒，这一步骤就是要将此网站地址一网打尽。方法同第二步一样，按F3，输入该网站地址。我被感染的网站是“www.hao68.com”，或者是“www.ent8.com”，每个人的可能不大一样，但是解决的方法是一样的。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。

第四步：
    别着急，现在还不能算完全ok了，在桌面找到 IE 浏览器的图标，单击右键右键，选择“属性”，在常规中清除“Internet 临时文件”，直接点击“删除文件…”即可！

第五步：
    重新启动计算机或者注销一次，再次打开 IE 浏览器，看看还有没有恶意病毒骚扰你？

注意：
    现在这种Script病毒的变种非常多，例如：家园（Script.Hompage）也是一种，它会生成“C:\$NtUninstallQ887678$”目录，解决的方法是一样的。大家最好的方法是安装防火墙，打开网页监控，时刻监控保护你的电脑！ （西部E网原创，若转载请注明：转载于西部E网 http://weste.net）