[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） K8$Hg:Ky-/  
病毒别名：Backdoor.Jusi.i（瑞星） 8*;G\$+  
病毒大小：216,576 字节 f\!*%xS;  
加壳方式：SVKP L~cswG'K  
样本MD5：e17774b70be4427768180286a6889fae k
Zs  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d hY7Q$B<  
传播方式：恶意网页、其它病毒下载 ?C(Z\"IX  
3Wr
l_V  
技术分析 YQG[8I  
========== 4NMv7[r  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： su<_?'uH  
文件版本：5.2.3790.1830 y@ J\h8_  
描述：Generic Host Process for Win32 Services &THM]3:  
版权：(C) Microsoft Corporation. All rights reserved. h6}oRz9=g  
产品.名称：Microsoft(R) Windows(R) Operating System ;'{:}K=h  
公司：Microsoft Corporation C"PN3>x}j  
木马运行后复制自身到系统目录： 6A7UW7/  
%System%NeroCheck.exe 7uFM)b@.
P  
释放dll注入进程： 6|r` k75.  
%System%NeroCheck.dll =i~/.Nu&  
以及%System%SVKP.sys文件。 j1/J9F'  
使用%temp%delmeexe.bat批处理删除自身： <6(u%t0k5  
@echo off CuuHRvU8  
:loop >{m>&u;Cc  
del "exe" "G`)x+<~Z8  
del "%temp%delmeexe.bat" l l&iMj]  
if exist %temp%delmeexe.bat goto loop 字串9 >Pv%E  
木马创建以下服务： <~: g  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] DCwldkdJN  
显示名：Indexing Services u=ENf1{ $>  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. &mY<e4  
可执行文件的路径：%System%NeroCheck.exe :Ur%.0  
清除步骤 g1&GX(4[  
========== P6IhpB59  
1. 删除木马的.服务项： 4<lZ;M"  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] C}+(L3Z  
2. 重新启动计算机 ia?8Z"&lK  
3. 删除.木马文件： A;2?!i#f  
%System%NeroCheck.exe hTg%T#m  
%System%NeroCheck.dll ]^j)4us  
%System%SVKP.sys i(U*<1y