一、netstart.exe感染系统后的表现:
(一)、样本运行后释放下列文件: C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe C:\WINDOWS\system32\winpub.reg
(二)、netstart.exe更改的注册表项:
1、添加系统服务: HKLM\System\CurrentControlSet\Services Remss_Ser(指向c:\windows\system32\netstart.exe) 2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="http://vod.mmdy.org/" "Start Page"="http://vod.mmdy.org/" "Search Page"="http://vod.mmdy.org/" (从这里看很明显看出把该恶意网站写入了注册表) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001 "Settings"=dword:00000001 "Links"=dword:00000001 "SecAddSites"=dword:00000001
(三)、感染后HijackThis v1.99.1日志所见: O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe
二、手工查杀流程:
(一)、显示隐藏文件。找到下列文件并将其后缀改为.txt: C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe
(二)、重启系统。删除下列文件(图1): C:\WINDOWS\systems.txt C:\WINDOWS\system32\netstart.txt C:\WINDOWS\system32\regshell.txt C:\WINDOWS\system32\winpub.reg
(三)、用HijackThis v1.99.1修复: O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(四)、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe HijackThis不能修复这项。自己打开注册表编辑器删除吧(图2)。
(五)、将IE浏览器的主页设置等改回自己原来的设置。
|