[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） >kLUQ%zE@  
病毒别名：Backdoor.Jusi.i（瑞星） Bn5O;I13  
病毒大小：216,576 字节 
mg)ZoC  
加壳方式：SVKP M2.Pf s  
样本MD5：e17774b70be4427768180286a6889fae @/w($w"  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d 8!T6N2O6d  
传播方式：恶意网页、其它病毒下载 xMb)4cw}  
_eE hIQ9  
技术分析 )l|/lj  
========== 7a4b,-93  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： VEuT!^0Z  
文件版本：5.2.3790.1830 h)MU^aP  
描述：Generic Host Process for Win32 Services %O!~!'
 
版权：(C) Microsoft Corporation. All rights reserved. :JEzfI1  
产品.名称：Microsoft(R) Windows(R) Operating System Buue][[  
公司：Microsoft Corporation u$"dL=s!  
木马运行后复制自身到系统目录： me7?  
%System%NeroCheck.exe h5x_Vjj  
释放dll注入进程： "i}?jf {a  
%System%NeroCheck.dll vuOixAkw  
以及%System%SVKP.sys文件。 y7s:Buyc  
使用%temp%delmeexe.bat批处理删除自身： Fk(+S:{yQ  
@echo off |BO!q9633V  
:loop 4}4K6y<q  
del "exe" t81}jD  
del "%temp%delmeexe.bat" {!$E\e^d  
if exist %temp%delmeexe.bat goto loop 字串9 aQzu[N  
木马创建以下服务： EqN_VT@  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] I1IuvH6  
显示名：Indexing Services aMxg6\8  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. zJ*|tw4  
可执行文件的路径：%System%NeroCheck.exe rhLm2q  
清除步骤 u+&t"B  
========== LFi8@  
1. 删除木马的.服务项： O e-FI+7  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] efK|)_i :  
2. 重新启动计算机 aQMUC6cPM@  
3. 删除.木马文件： ,<pk&54.@'  
%System%NeroCheck.exe Jj_ t0"  
%System%NeroCheck.dll x9,X0JO  
%System%SVKP.sys
 Stzv