君岛美绪番号及封面:有谁知道dinst.exe这个程序是做什么的

是Win32.Troj.Intexp.d木马,可以使用杀毒软件杀掉,该病毒是用vc编写的一个后门下载程序，回去指定的网站下载病毒程序，同时还会增加启动项，达到随系统启动的目的

1。拷贝自己到%systemroot%/dinst.exe
2。增加启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Dinst = %systemroot%/dinst.exe"
3。修改注册表键值降低IE安全设置
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
CurrentLevel = 1
把ie安全调到自定义级别
4。会去http://sc.webservicehosts.com/blog.php?uid=0&version=0&loginstalltype=0&loginstallstate=10000&loginstallid=&affid=20046&pid=0&osversion=&bid=20046&logmessage=Enter%20GetCurData%20::%20Exit%20GetCurData::%20Get%20the%20IID%20value下载数据，然后在http://sysupdate.grandstreetinteractive.com下载病毒程序
把上面几项改回来。

Win-Trojan/Backdoor.36877 是具有Backdoor 功能的特洛伊木马. 运行该特洛伊木马, 会盗取被感染的电脑的信息, 发送至特定HOST或打开任意端口等待攻击者连接.

* 扩散程度

收集病毒信息的安博士公司已在 2006年 1月 19日 11：27 (GMT+9 标准) 从客户收到一件感染报告.

* 传播路径

没有自身传播功能，用户下载文件（邮件、Messenger、论坛、资料室）并运行或者以Win32/Bagle.worm发送的邮件附加文件形式传播.

* 运行后症状

[生成文件]

在Windows系统目录下生成以下文件.

- - dinst.exe (36,877 bytes)

[修改注册表]

在注册表增加以下数据，当系统启动时自动运行.

HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
mlp = 运行位置\dinst.exe

HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
RunServices
mlp = 运行位置\dinst.exe

[生成 Mutex]

生成如下的 Mutex, 防止重复运行.

- mlp

[打开端口]

感染的系统会打开如下端口并处于等待状态(LISTENING).

- TCP 80 端口 (HTTP: Hypertext Transfer Protocol)
- TCP 任意端口

从外部利用该端口执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者发送垃圾邮件或设置广告间谍软件，并且盗取个人信息，各种文件，机密文件.

进入安全模式 然后在查杀 不要用上网助手 那是垃圾软件
进入安全模式 然后 查你的 系统所在盘 要是不的系统不在C盘 那么你就要 在加上查杀下C盘
还有系统 引导区和内存