中华网络安全联盟    作者：baohe    来源：卡卡社区    时间：2006-9-12

一、netstart.exe感染系统后的表现：

（一）、样本运行后释放下列文件：
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
C:\WINDOWS\system32\winpub.reg

（二）、netstart.exe更改的注册表项：

1、添加系统服务：
HKLM\System\CurrentControlSet\Services
Remss_Ser（指向c:\windows\system32\netstart.exe）
2、通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目：
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

（三）、感染后HijackThis v1.99.1日志所见：
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe

二、手工查杀流程：

（一）、显示隐藏文件。找到下列文件并将其后缀改为.txt：
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe

（二）、重启系统。删除下列文件（图1）：
C:\WINDOWS\systems.txt
C:\WINDOWS\system32\netstart.txt
C:\WINDOWS\system32\regshell.txt
C:\WINDOWS\system32\winpub.reg

（三）、用HijackThis v1.99.1修复：
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

（四）、O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\windows\system32\netstart.exe
HijackThis不能修复这项。自己打开注册表编辑器删除吧（图2）。

（五）、将IE浏览器的主页设置等改回自己原来的设置。