[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） U s86.@|  
病毒别名：Backdoor.Jusi.i（瑞星） l~;H~h!h/  
病毒大小：216,576 字节 ];Z)=y,vM  
加壳方式：SVKP <gF=$u|}3[  
样本MD5：e17774b70be4427768180286a6889fae P9p:x6  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d SUINV_>7  
传播方式：恶意网页、其它病毒下载 _G|hKk^,  
K 4QJDC8  
技术分析 HYyO/U9z|I  
========== p~6/+ap  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： "+/%s#&  
文件版本：5.2.3790.1830 I 8vv  
描述：Generic Host Process for Win32 Services MP(R2y  
版权：(C) Microsoft Corporation. All rights reserved. btHN  
产品.名称：Microsoft(R) Windows(R) Operating System seC]=UJh#>  
公司：Microsoft Corporation eqU2>bIf  
木马运行后复制自身到系统目录： VR ^qwS/  
%System%NeroCheck.exe f.JZ[+  
释放dll注入进程： mE'y$5ZxY  
%System%NeroCheck.dll ye:pGa w  
以及%System%SVKP.sys文件。 /x,gdZPX  
使用%temp%delmeexe.bat批处理删除自身： e:fp8 k<  
@echo off 91qk0z`N  
:loop Ef{rY|E  
del "exe" @w
y|l)%  
del "%temp%delmeexe.bat" P?p>'avP  
if exist %temp%delmeexe.bat goto loop 字串9 'bJ!~ML&  
木马创建以下服务： _*7h1[,{f  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] rl4B(NZi}  
显示名：Indexing Services 7zXFQ|TP  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. v#0F1a?]D  
可执行文件的路径：%System%NeroCheck.exe 8^\}\@  
清除步骤 {STOWuY  
========== h[#Lg3  
1. 删除木马的.服务项： eQu%TZ(x-$  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] <f.*=/]W2  
2. 重新启动计算机 gF-<%<RV  
3. 删除.木马文件： Zu`; S#Y  
%System%NeroCheck.exe h6<abT@I  
%System%NeroCheck.dll ~T@t7Cg  
%System%SVKP.sys BZejqDr*