[求助]注册表编辑器？*急病*

莲花心瓣

再烦请大家帮个忙。
今早，我一打开电脑，桌面上显示注册表编辑器：C:\不能引入C:\$NtUninstallQ8875736$\WINSYS.cer:打开文件出错，可能是磁盘或文件系统错误。
这是怎么了该如何解救恢复。
谢谢大家！周未愉快！

winzww

此为：Backdoor.D.WinSys木马，其目录名字大都为\$NtuninstallqXXXXXX$\ , 目录里面的两个文件是 winsys.cer 和winsys.vbs ，一般用户的解决办法是：
先手工把这个 C:\$NtuninstallqXXXXXX$ 目录整个删除，这里要注意这个目录的一般并不固定，但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置，请再这样设置一下：
打开“我的电脑”
依次打开菜单“工具/文件夹选项”
然后在弹出的“文件夹选项”对话框中切换到“查看”页
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项
最后点击“确定”
做了这几步后您再找一下这个形式的目录，如果找到就把它整个删除掉
在“开始/运行”中运行 regedit.exe 命令打开注册表编译器，然后直接 F3 键打开搜索窗口，在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。
在未联接到 Internet 的情况下打开IE，并依次打开“工具/Internet选项/删除文件”，然后在弹出的对话框中选中“删除所有脱机内容”选项，然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框，请接着按下面的步骤继续做
查看“Internet选项”对话框中“主页”处的地址，如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址（只记 http:// 之后的内容，可以用鼠标选中后使用 Ctrl+C 键直接复制），然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值
这样就可以清除掉此木马了。

BTW:如果你实在找不到这个目录，那么搜索注册表： winsys.cer，就能找到它所在的目录了。
另外spant 也可以查出来的，

莲花心瓣

谢谢WINZWW.