[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） [ =x s4=  
病毒别名：Backdoor.Jusi.i（瑞星） IPSF]"}~  
病毒大小：216,576 字节 Wjh/M&,  
加壳方式：SVKP E@0
5e  
样本MD5：e17774b70be4427768180286a6889fae W>(/ bX  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d ./j,
Z$|  
传播方式：恶意网页、其它病毒下载 vzel#  
Y!q!5Crfi  
技术分析 r,goRK.  
========== Hd7,ZHj3^  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： I2$T"K:eo  
文件版本：5.2.3790.1830 H2xeP%;$  
描述：Generic Host Process for Win32 Services o`zr>  
版权：(C) Microsoft Corporation. All rights reserved. I\?9+3 XnQ  
产品.名称：Microsoft(R) Windows(R) Operating System . #Z+Z  
公司：Microsoft Corporation kc'pN&]r:  
木马运行后复制自身到系统目录：
X0;4_,=  
%System%NeroCheck.exe qa(>wR"m
T  
释放dll注入进程： ,6!rR,0  
%System%NeroCheck.dll plu$h-$d  
以及%System%SVKP.sys文件。 *rZ^^`4R  
使用%temp%delmeexe.bat批处理删除自身：
J?JeU/:+  
@echo off GhY1k";  
:loop kL7#W9  
del "exe" , $Qo =  
del "%temp%delmeexe.bat" {wF&+kH3  
if exist %temp%delmeexe.bat goto loop 字串9 V~ ~=Qp+.  
木马创建以下服务： #eU.p&Zc  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] uV-'~8  
显示名：Indexing Services jJ4qR:]  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. g>d;|sK  
可执行文件的路径：%System%NeroCheck.exe HBys  
清除步骤 ultG36.x  
========== \7MHaQvS   
1. 删除木马的.服务项： ]W0EVf=,k  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] @''GPL@  
2. 重新启动计算机 (\"k&O{  
3. 删除.木马文件： 6ZgU"!|r  
%System%NeroCheck.exe Nfe>3uQK  
%System%NeroCheck.dll $I#q  
%System%SVKP.sys b6t}{_7