这是别人发给我的样本。卡巴斯基2006年9月12日的病毒库不报毒。

一、netstart.exe感染系统后的表现：

（一）、样本运行后释放下列文件：
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
C:\WINDOWS\system32\winpub.reg

（二）、netstart.exe更改的注册表项：

1、添加系统服务：
HKLM\System\CurrentControlSet\Services
Remss_Ser（指向c:\windows\system32\netstart.exe）
2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目：
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

（三）、感染后HijackThisv1.99.1日志所见：
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe

二、手工查杀流程：
（一）、显示隐藏文件。找到下列文件并将其后缀改为.txt：
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
（二）、重启系统。删除下列文件（图1）：
C:\WINDOWS\systems.txt
C:\WINDOWS\system32\netstart.txt
C:\WINDOWS\system32\regshell.txt
C:\WINDOWS\system32\winpub.reg
（三）、用HijackThisv1.99.1修复：
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

（四）、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe
HijackThisv不能修复这项。自己打开注册表编辑器删除吧（图2）。
（五）、将IE浏览器的主页设置等改回自己原来的设置。


图1

图2

引用:

【Flying1889的贴子】学习 猫叔 C:\WINDOWS\system32\winasse.exe 这个文件是病毒吗? ………………

肯定不是什么好鸟！

引用:

【Flying1889的贴子】猫叔 关于C:\WINDOWS\SoftUpdate.exe的帖子删啦?? ………………

没删。
沉了。
自己搜索一下。

引用:

【YClong的贴子】我将“netstart.exe”帖子存成“entstart.txt”后，ewido就认为有病毒给删了！ ………………

可能是因为帖子中有这段内容：
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

引用:

【永不断の弦的贴子】猫叔啊，貌似中了这个毒之后注册表是被禁止运行的，那个netstart.exe是被恶意隐藏的，前几天我在在线技术支持那里处理过这个例子，用了网警的注册表导入文件才显示出了那个netstart.exe,所以搞这些前先要用SRENG修复注册表，可疑文件好象还有一个guest.exe，我没虚拟机，也就没试他是干什么用的 ………………

（三）、用HijackThisv1.99.1修复：
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


修复掉：
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
注册表就可以打开了。

引用:

【永不断の弦的贴子】而且我记得当时远程处理的时候如果光改文件名，不先删服务的话，重起之后还会出来EXE文件的 ………………

远程处理——连接网络的状态。
本帖是在脱网状态下杀的。
注意前提条件。

另：染毒后，查杀前，先断开网络。这是我的操作习惯。应该说是个好习惯。

引用:

【永不断の弦的贴子】另外，猫叔啊，那个softupdate.exe的贴我搜了半天咋找不到了呢，发个连接吧，想参考一下 ………………

重新置顶了。
这两天怎么尽是中这个的？