[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） zM&ro,W  
病毒别名：Backdoor.Jusi.i（瑞星） K\U`gTGc  
病毒大小：216,576 字节 ^t gjs$M|  
加壳方式：SVKP -`\rDPGf  
样本MD5：e17774b70be4427768180286a6889fae |*g#7YL  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d vMou`[\WlJ  
传播方式：恶意网页、其它病毒下载 ,s3|  
6&SNFOX{@  
技术分析 ANw1P{9*  
========== Q2m
[XcnX  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： m6BUKX\m  
文件版本：5.2.3790.1830 ~210O5^  
描述：Generic Host Process for Win32 Services MjC<N[WO>N  
版权：(C) Microsoft Corporation. All rights reserved. }'x)e  
产品.名称：Microsoft(R) Windows(R) Operating System Z!|r>  
公司：Microsoft Corporation .p e3L7g  
木马运行后复制自身到系统目录： Q34u>VkdQI  
%System%NeroCheck.exe gF)-Ci  
释放dll注入进程： V>)/z|[  
%System%NeroCheck.dll j`.&4.7+  
以及%System%SVKP.sys文件。 # f-hI  
使用%temp%delmeexe.bat批处理删除自身： G2I%^.s  
@echo off y<- ]'Yts  
:loop gtMR/P:S  
del "exe" Fik;hB  
del "%temp%delmeexe.bat" |wuTw|  
if exist %temp%delmeexe.bat goto loop 字串9 A)
n_ST0  
木马创建以下服务： LZ_VLW9wE  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ,S`n?.&& 7  
显示名：Indexing Services 5O]tkHYR  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. U~ a\v8l~  
可执行文件的路径：%System%NeroCheck.exe @Drl5C}+  
清除步骤 #!O)-dyF  
========== Jaw1bUP!oK  
1. 删除木马的.服务项： !|4]V}JQ  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 06AgY0\  
2. 重新启动计算机 Pa d)|  
3. 删除.木马文件： vf.MSk?~ar  
%System%NeroCheck.exe Ij4q &i
"  
%System%NeroCheck.dll Posz|u<x  
%System%SVKP.sys J
Y8Rk=