如何清除掉电脑的netstart.exe病毒?
一、netstart.exe感染系统后的表现:
(一)、样本运行后释放下列文件:
C:WINDOWSsystems.exe
C:WINDOWSsystem32netstart.exe
C:WINDOWSsystem32regshell.exe
C:WINDOWSsystem32winpub.reg
(二)、netstart.exe更改的注册表项:
1、添加系统服务:
HKLMSystemCurrentControlSetServices
Remss_Ser(指向c:windowssystem32netstart.exe)
2、通过C:WINDOWSsystem32winpub.reg修改注册表下列项目:
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/" (从这里看很明显看出把该恶意网站写入了注册表)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001
(三)、感染后HijackThis v1.99.1日志所见:
O4 - 启动项HKLM\Run: [webService] systems.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:windowssystem32netstart.exe
二、手工查杀流程:
(一)、显示隐藏文件。找到下列文件并将其后缀改为.txt:
C:WINDOWSsystems.exe
C:WINDOWSsystem32netstart.exe
C:WINDOWSsystem32regshell.exe
(二)、重启系统。删除下列文件(图1):
C:WINDOWSsystems.txt
C:WINDOWSsystem32netstart.txt
C:WINDOWSsystem32regshell.txt
C:WINDOWSsystem32winpub.reg
(三)、用HijackThis v1.99.1修复:
O4 - 启动项HKLM\Run: [webService] systems.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
(四)、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:windowssystem32netstart.exe
HijackThis不能修复这项。自己打开注册表编辑器删除吧(图2)。
(五)、将IE浏览器的主页设置等改回自己原来的设置。
本文地址:http://www.45fan.com/dnjc/12269.html