关于netstart.exe

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于netstart.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 11:28 \| 只看楼主短消息资料字号：小中大 1楼关于netstart.exe 这是别人发给我的样本。卡巴斯基2006年9月12日的病毒库不报毒。一、netstart.exe感染系统后的表现：（一）、样本运行后释放下列文件： C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe C:\WINDOWS\system32\winpub.reg （二）、netstart.exe更改的注册表项： 1、添加系统服务： HKLM\System\CurrentControlSet\Services Remss_Ser（指向c:\windows\system32\netstart.exe） 2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目： [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="http://vod.mmdy.org/" "Start Page"="http://vod.mmdy.org/" "Search Page"="http://vod.mmdy.org/" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001 "Settings"=dword:00000001 "Links"=dword:00000001 "SecAddSites"=dword:00000001 （三）、感染后HijackThisv1.99.1日志所见： O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe 二、手工查杀流程：（一）、显示隐藏文件。找到下列文件并将其后缀改为.txt： C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe （二）、重启系统。删除下列文件（图1）： C:\WINDOWS\systems.txt C:\WINDOWS\system32\netstart.txt C:\WINDOWS\system32\regshell.txt C:\WINDOWS\system32\winpub.reg （三）、用HijackThisv1.99.1修复： O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 （四）、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe HijackThisv不能修复这项。自己打开注册表编辑器删除吧（图2）。（五）、将IE浏览器的主页设置等改回自己原来的设置。图1 附件: 文件名:1558472006912112029.jpg 下载次数:354 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 11:28:33 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-09-14 01:44:41
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 11:29 \| 只看楼主短消息资料字号：小中大 2楼图2 附件: 文件名:1558472006912112113.jpg 下载次数:342 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 11:29:17 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:	发表于： 2006-09-12 11:36 \| 短消息资料字号：小中大 3楼学习猫叔 C:\WINDOWS\system32\winasse.exe 这个文件是病毒吗?
Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 11:40 | 只看楼主 短消息资料

字号：小中大 4楼

引用:

【Flying1889的贴子】学习
猫叔
C:\WINDOWS\system32\winasse.exe
这个文件是病毒吗?
………………

肯定不是什么好鸟！

Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:	发表于： 2006-09-12 11:43 \| 短消息资料字号：小中大 5楼偶也是怎么觉得..但是搜索这个文件..还找不到几个关于他的内容不知道猫叔有没办法解决 http://forum.ikaka.com/topic.asp?board=28&artid=8168554 这个帖子
Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:

Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:	发表于： 2006-09-12 11:52 \| 短消息资料字号：小中大 6楼猫叔关于C:\WINDOWS\SoftUpdate.exe的帖子删啦??
Flying1889 初生襁褓狮帖子:1347 注册: 2006-08-26 来自:

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-09-12 12:13 \| 短消息资料字号：小中大 7楼猫叔，样本给个 gudugd@yahoo.com.cn
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 13:59 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【Flying1889的贴子】猫叔
关于C:\WINDOWS\SoftUpdate.exe的帖子删啦??
………………

没删。
沉了。
自己搜索一下。

YClong 拙长孩提狮帖子:108 注册: 2006-07-04 来自:	发表于： 2006-09-12 14:47 \| 短消息资料字号：小中大 9楼我将“netstart.exe”帖子存成“entstart.txt”后，ewido就认为有病毒给删了！附件: 文件名:7069242006912143933.gif 下载次数:283 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 14:47:37 描述:
YClong 拙长孩提狮帖子:108 注册: 2006-07-04 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 15:02 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【YClong的贴子】我将“netstart.exe”帖子存成“entstart.txt”后，ewido就认为有病毒给删了！

………………

可能是因为帖子中有这段内容：
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 11:28 \| 只看楼主短消息资料字号：小中大 1楼关于netstart.exe 这是别人发给我的样本。卡巴斯基2006年9月12日的病毒库不报毒。一、netstart.exe感染系统后的表现：（一）、样本运行后释放下列文件： C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe C:\WINDOWS\system32\winpub.reg （二）、netstart.exe更改的注册表项： 1、添加系统服务： HKLM\System\CurrentControlSet\Services Remss_Ser（指向c:\windows\system32\netstart.exe） 2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目： [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="http://vod.mmdy.org/" "Start Page"="http://vod.mmdy.org/" "Search Page"="http://vod.mmdy.org/" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001 "Settings"=dword:00000001 "Links"=dword:00000001 "SecAddSites"=dword:00000001 （三）、感染后HijackThisv1.99.1日志所见： O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe 二、手工查杀流程：（一）、显示隐藏文件。找到下列文件并将其后缀改为.txt： C:\WINDOWS\systems.exe C:\WINDOWS\system32\netstart.exe C:\WINDOWS\system32\regshell.exe （二）、重启系统。删除下列文件（图1）： C:\WINDOWS\systems.txt C:\WINDOWS\system32\netstart.txt C:\WINDOWS\system32\regshell.txt C:\WINDOWS\system32\winpub.reg （三）、用HijackThisv1.99.1修复： O4 - 启动项HKLM\\Run: [webService] systems.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 （四）、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe HijackThisv不能修复这项。自己打开注册表编辑器删除吧（图2）。（五）、将IE浏览器的主页设置等改回自己原来的设置。图1 附件: 文件名:1558472006912112029.jpg 下载次数:354 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 11:28:33 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-09-14 01:44:41
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于netstart.exe

关于netstart.exe

关于netstart.exe

附件:

文件名:1558472006912112029.jpg 下载次数:354 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(95073); 上传时间:2006-9-12 11:28:33 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472006912112113.jpg 下载次数:342 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(179270); 上传时间:2006-9-12 11:29:17 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:7069242006912143933.gif 下载次数:283 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(15592); 上传时间:2006-9-12 14:47:37 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于netstart.exe

文件名:1558472006912112029.jpg

下载次数:354

文件类型:image/pjpeg

文件大小:

上传时间:2006-9-12 11:28:33

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472006912112113.jpg

下载次数:342

文件类型:image/pjpeg

文件大小:

上传时间:2006-9-12 11:29:17

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:7069242006912143933.gif

下载次数:283

文件类型:image/pjpeg

文件大小:

上传时间:2006-9-12 14:47:37

描述: