昨天在家上网，刚刚打开新浪网站就弹出一个网站：
　　http://www.game591.com/adall.asp?comefrom=adcom
　　心想，这个网站给新浪多少钱，竟然全站弹出？又上了一下搜狐，竟然也有此网站弹出，奇怪了，难道是病毒？于是我看了一下浏览器首页设置，没错啊，是我自己的网站“西部E网 http://www.weste.net”啊，难道藏在注册表里面？我找到IE注册表中存放默认首页和搜索页的位置，也没有啊？

　　计算机装了ZA和NAV都没有警报，奇怪了！

　　我晕！于是我开始测试弹出网站的规律，发现这些弹出网站并不是在打开浏览器时出现的，而是在我点击链接的时候一块弹出来的，一开始我以为是在网页中加载了JavaScript的程序，找了半天也没发现，但是却发现一写规律：

　　弹出的页面有以下这些地址：
   
　　http://www.game591.com/adall.asp?comefrom=adcom
　　http://www.moviez88.com/adall.asp?comefrom=adcom
　　http://www.kt51.com/adall.asp?comefrom=adcom
　　http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
　　http://www.tv888.net/adall.asp?comefrom=adcom
　　http://www.love920.com/adall.asp?comefrom=adcom

　　这些网站是随机弹出的，但是有一个规律就是后面的页面和参数都是“adall.asp?comefrom=adcom”，很显然，是病毒或者是木马，于是我上网搜索关键词“comefrom=adcom”，有意思的是，发现很多人都中了此病毒，但是都以为是更改首页的Javascript程序，用3721上网助手和AD-Aware都不能清除。

　　更有意思的是，在病毒的显示页面中还有这样一段代码：

＜SCRIPT language=JavaScript＞
    function unloadpop()
 {
 line=0
 switch (line)
  {
  case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  default:  
  }
 }
＜/Script＞

　　意思是，它可以根据不同的参数值在页面退出的时候弹出另外的病毒页面，依次循环。

　　常规的检查开始：
   
　　1、CTRL+ALT+DELETE查看进程

　　发现在进程中，有一个“msstart.exe”十分怪异，先结束这个进程，然后再到注册表中查找一下它的位置。

　　2、查找注册表

　　果然，在
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　找到了msstart.exe，它的位置在\winnt\system32\（这个是win2000和win2003系统）下面，删除后。
 
　　3、查找系统盘有没有相同名字的程序

　　一般病毒有可以智能复制自己，需要查找还有没有“msstart.exe”文件。经过查找，没有发现：）

　　4、上网找寻病毒名称

　　这个病毒应该不是新病毒了，所以网上一定有相关信息，先搜索关键词“msstart.exe 病毒”，在网站http://www.xfilt.com/tech/index.htm上找到了查杀它的方法，和我的方法基本一样，呵呵，其实所有的木马病毒手工查杀方法都是一样的。原来这个病毒叫Backdoor.livup。
 
　　5、查找更多病毒信息

　　瑞星网站有个栏目叫“病毒资料库”，基本上所有病毒都能从这里找到相关的信息。
　　地址是：http://it.rising.com.cn/antivirus/antivirus7.asp
　　可惜的是，我输入“Backdoor.livup”关键字，只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 两个变种，没有更多的信息了。

　　因此，icech赶快写出一篇文章，以后只要朋友们遇到我说的类似地址，就快快查找一下自己是不是已经中了木马病毒了。