相信很多人都有中这个恶意程序经历,一开机就不停的弹出如http://vod.mmdy.org,http://vod.70jh.com,http://www.71791.com 。。。等带有木马或病毒的网页的骚扰。
中毒后的症状如下:在系统文件目前中生成如下文件
%WINDIR%\systems.exe
%WINDIR%\system32\netstart.exe
%WINDIR%\system32\regshell.exe
%WINDIR%\system32\winpub.reg(winpub.reg这个文件用来修改IE起始页、默认页以及搜索页,并且修改注册表禁止对IE主页等设置的修改,同时禁止使用注册表编辑器。)
同时病毒会使用下面的命令是系统不定时访问如下网站,同时也保持了病毒的自我更新:Explorer.exe http://vod.mmdy.org/
Explorer.exe http://vod.mmdy.org/news
Explorer.exe http://vod.mmdy.org/goodvip
Explorer.exe http://vod.mmdy.org/mm
Explorer.exe http://vod.mmdy.org/mp3
Explorer.exe http://vod.mmdy.org/sp
Explorer.exe http://vod.mmdy.org/yx
Explorer.exe http://vod.mmdy.org/zz
病毒添加如下启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"webService"="systems.exe"病毒会建立这么一个服务:Remss_Ser,服务的名称为Remote Managements Instrumenta,描述“管理局域网和远程连接。如果此服务被禁用,任何依赖它的服务将无法启动。”它的IMAGEPATH是以16进制方式表示,指向的是%WINDIR%\system32\netstart.exe
清除方法:
1、打开任务管理器结束掉病毒进程,然后系统目录删除上面提到的三个病毒文件。
2、然后使用注册表修复工具修复IE并且恢复注册表编辑的使用。
3、然后通过注册表编辑器删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remss_Ser
建议搜索一下[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"webService"="systems.exe"也删除
标签: 网络安全
