瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求救!!!关于netstart病毒无法完全清除!!!急!!!!

1   1  /  1  页   跳转

求救!!!关于netstart病毒无法完全清除!!!急!!!!

收藏
DuskKenny
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2006-10-04
  • 来自:
发表于: 2006-10-04 09:23 | 只看楼主 短消息 资料
字号: 1楼

求救!!!关于netstart病毒无法完全清除!!!急!!!!

查资料时不小心点了www.pengpeng.com这个网站,瑞星提示注册表被修改,我拒绝。但是从此隔一段时间就弹出各种垃圾网页。后来知道中了netstart这个东西。问题是用瑞星居然扫描不到……只好手动杀毒。
在网上找到清除这个病毒的方法,如下:


一、netstart.exe感染系统后的表现:

(一)、样本运行后释放下列文件:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
C:\WINDOWS\system32\winpub.reg


(二)、netstart.exe更改的注册表项:

1、添加系统服务:
HKLM\System\CurrentControlSet\Services
Remss_Ser(指向c:\windows\system32\netstart.exe)
2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Local Page”=”http://vod.mmdy.org/”
“Start Page”=”http://vod.mmdy.org/”
“Search Page”=”http://vod.mmdy.org/”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
“HomePage”=dword:00000001
“Settings”=dword:00000001
“Links”=dword:00000001
“SecAddSites”=dword:00000001

(三)、感染后HijackThisv1.99.1日志所见:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe

二、手工查杀流程:
(一)、显示隐藏文件。找到下列文件并将其后缀改为.txt:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
(二)、重启系统。删除下列文件(图1):
C:\WINDOWS\systems.txt
C:\WINDOWS\system32\netstart.txt
C:\WINDOWS\system32\regshell.txt
C:\WINDOWS\system32\winpub.reg
(三)、用HijackThisv1.99.1修复:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

(四)、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe
HijackThisv不能修复这项。自己打开注册表编辑器删除吧


第三第四步我没有做,因为不知道HijackThisv1.99.1是什么……
但是奇怪的是,按照第二步,即修改文件类型后重启,会在该目录下自动生成原来被修改的文件。我怀疑还是没有杀干净。但是我找不到这个生成文件的程序在哪里……
麻烦哪位大哥、斑竹、高手帮帮忙……我都折腾3天了……再不行就只能重装了……痛苦ing……
最后编辑2006-10-04 12:33:06
分享到:
gototop
 
DuskKenny
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2006-10-04
  • 来自:
发表于: 2006-10-04 12:41 | 只看楼主 短消息 资料
字号: 2楼


怎么没人回尼
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT