瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于netstart.exe
baohe - 2006-9-12 11:28:00


这是别人发给我的样本。卡巴斯基2006年9月12日的病毒库不报毒。

一、netstart.exe感染系统后的表现:

(一)、样本运行后释放下列文件:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
C:\WINDOWS\system32\winpub.reg

(二)、netstart.exe更改的注册表项:

1、添加系统服务:
HKLM\System\CurrentControlSet\Services
Remss_Ser(指向c:\windows\system32\netstart.exe)
2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

(三)、感染后HijackThisv1.99.1日志所见:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe

二、手工查杀流程:
(一)、显示隐藏文件。找到下列文件并将其后缀改为.txt:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
(二)、重启系统。删除下列文件(图1):
C:\WINDOWS\systems.txt
C:\WINDOWS\system32\netstart.txt
C:\WINDOWS\system32\regshell.txt
C:\WINDOWS\system32\winpub.reg
(三)、用HijackThisv1.99.1修复:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

(四)、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe
HijackThisv不能修复这项。自己打开注册表编辑器删除吧(图2)。
(五)、将IE浏览器的主页设置等改回自己原来的设置。


图1






附件: 1558472006912112029.jpg
baohe - 2006-9-12 11:29:00
图2

附件: 1558472006912112113.jpg
Flying1889 - 2006-9-12 11:36:00
学习
猫叔
C:\WINDOWS\system32\winasse.exe
这个文件是病毒吗?
baohe - 2006-9-12 11:40:00
引用:
【Flying1889的贴子】学习
猫叔
C:\WINDOWS\system32\winasse.exe
这个文件是病毒吗?
………………

肯定不是什么好鸟!
Flying1889 - 2006-9-12 11:43:00
偶也是怎么觉得..但是搜索这个文件..还找不到几个关于他的内容
不知道猫叔有没办法解决
http://forum.ikaka.com/topic.asp?board=28&artid=8168554
这个帖子
Flying1889 - 2006-9-12 11:52:00
猫叔
关于C:\WINDOWS\SoftUpdate.exe的帖子删啦??
deadmanzj - 2006-9-12 12:13:00
猫叔,样本给个
gudugd@yahoo.com.cn
baohe - 2006-9-12 13:59:00
引用:
【Flying1889的贴子】猫叔
关于C:\WINDOWS\SoftUpdate.exe的帖子删啦??
………………

没删。
沉了。
自己搜索一下。
YClong - 2006-9-12 14:47:00
我将“netstart.exe”帖子存成“entstart.txt”后,ewido就认为有病毒给删了!


附件: 7069242006912143933.gif
baohe - 2006-9-12 15:02:00
引用:
【YClong的贴子】我将“netstart.exe”帖子存成“entstart.txt”后,ewido就认为有病毒给删了!

………………


可能是因为帖子中有这段内容:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001
YClong - 2006-9-12 15:52:00
删掉"DisableRegistryTools"=dword:00000001 就行了!

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001
影子110 - 2006-9-12 16:12:00
收藏先~~

艾玛 - 2006-9-12 16:51:00
winasse.exe
是盗游戏账号的东西

不小心是脱壳中netstart.exe,是生成baohe说的文件
永不断の弦 - 2006-9-12 19:52:00
猫叔啊,貌似中了这个毒之后注册表是被禁止运行的,那个netstart.exe是被恶意隐藏的,前几天我在在线技术支持那里处理过这个例子,用了网警的注册表导入文件才显示出了那个netstart.exe,所以搞这些前先要用SRENG修复注册表,可疑文件好象还有一个guest.exe,我没虚拟机,也就没试他是干什么用的
永不断の弦 - 2006-9-12 19:56:00
而且我记得当时远程处理的时候如果光改文件名,不先删服务的话,重起之后还会出来EXE文件的
baohe - 2006-9-12 19:57:00
引用:
【永不断の弦的贴子】猫叔啊,貌似中了这个毒之后注册表是被禁止运行的,那个netstart.exe是被恶意隐藏的,前几天我在在线技术支持那里处理过这个例子,用了网警的注册表导入文件才显示出了那个netstart.exe,所以搞这些前先要用SRENG修复注册表,可疑文件好象还有一个guest.exe,我没虚拟机,也就没试他是干什么用的
………………

(三)、用HijackThisv1.99.1修复:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


修复掉:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
注册表就可以打开了。
baohe - 2006-9-12 20:00:00
引用:
【永不断の弦的贴子】而且我记得当时远程处理的时候如果光改文件名,不先删服务的话,重起之后还会出来EXE文件的
………………

远程处理——连接网络的状态。
本帖是在脱网状态下杀的。
注意前提条件。

另:染毒后,查杀前,先断开网络。这是我的操作习惯。应该说是个好习惯。
永不断の弦 - 2006-9-12 20:04:00
呵呵,我回过头去看了下当时的日志,果然如此啊,看来当时么看仔细啊

永不断の弦 - 2006-9-12 20:08:00
引用:
【baohe的贴子】
远程处理——连接网络的状态。
本帖是在脱网状态下杀的。
注意前提条件。

另:染毒后,查杀前,先断开网络。这是我的操作习惯。应该说是个好习惯。
………………


呵呵,自己操作固然应该如此,可是远程处理么,没有办法滴
永不断の弦 - 2006-9-12 20:16:00
另外,猫叔啊,那个softupdate.exe的贴我搜了半天咋找不到了呢,发个连接吧,想参考一下
baohe - 2006-9-12 20:21:00
引用:
【永不断の弦的贴子】另外,猫叔啊,那个softupdate.exe的贴我搜了半天咋找不到了呢,发个连接吧,想参考一下
………………

重新置顶了。
这两天怎么尽是中这个的?
永不断の弦 - 2006-9-12 20:25:00
我怎么知道,这些东东一大特征就是导致瑞星监控不能启动,都在在线技术支持发贴呢...还有rundll32.exe……
我的疑问 - 2006-9-12 20:55:00
是有一个guest.exe

我也好在是在断网情况下处理。

不然我就完蛋了。处理了这个netstart.exe
还引爆了logo1_.exe病毒。我狂晕。
刀刀笨贼 - 2006-9-12 21:36:00
在学校机房,看到了样本也不嫩动。。。。
秋日里的蓝天 - 2006-9-12 22:45:00
这个样本差不多有了十天了,虚拟机老跟我作对,一直没有测试,

07项有几次在正常模式下用HIJACKTHIS没搞定

最后到安全模式下用HIJACKTHIS才搞定
从头爱你 - 2006-9-13 0:37:00
学习中````ing``````
1
查看完整版本: 关于netstart.exe
© 2000 - 2026 Rising Corp. Ltd.