[安全]NeroCheck.exe NeroCheck.dll手动清除

病毒.名称：N/A（Kaspersky） Stpho4+/y  
病毒别名：Backdoor.Jusi.i（瑞星） Rwk|

cqr  
病毒大小：216,576 字节 K`3cH6"L6  
加壳方式：SVKP -B!pg7>'##  
样本MD5：e17774b70be4427768180286a6889fae qB`P7!VN^]  
样本SHA1：408004ef3de3eb50dd0ebfc3885ed319301e223d 38^_(N  
传播方式：恶意网页、其它病毒下载 I+SL0  
__[q`  
技术分析 hJ :+*46  
========== f5v|}gMAX  
这又是一个版本信息模仿微软的木马，在文件属性的.版本里可以看到如下版本信息： !bg3  
文件版本：5.2.3790.1830 g(Nf.hko  
描述：Generic Host Process for Win32 Services 8*ysuL#  
版权：(C) Microsoft Corporation. All rights reserved. R_}(p2  
产品.名称：Microsoft(R) Windows(R) Operating System :OM>z4mQ  
公司：Microsoft Corporation V{r@D!}  
木马运行后复制自身到系统目录： q ^?{6}sy  
%System%NeroCheck.exe %/y/,yd  
释放dll注入进程： =&'j;j  
%System%NeroCheck.dll "%Ak[04'  
以及%System%SVKP.sys文件。 /~Iy1L#  
使用%temp%delmeexe.bat批处理删除自身： '*:YC  
@echo off RVe3@|9(G  
:loop KpL82  
del "exe" }m?L/Y'}  
del "%temp%delmeexe.bat" n8Fi?/  
if exist %temp%delmeexe.bat goto loop 字串9 FoLwS%+yO  
木马创建以下服务： UJI1n?~  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] T+fU+GLD  
显示名：Indexing Services li[g =A,  
描述：Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 9}-,dgAB  
可执行文件的路径：%System%NeroCheck.exe C~B^sG@;  
清除步骤 +^.(3Aw  
========== >jcNo3S  
1. 删除木马的.服务项： = ~yh[@R)  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] O_033&  
2. 重新启动计算机 J_,y?}.e3  
3. 删除.木马文件： AjpQb~\  
%System%NeroCheck.exe {`:!=  
%System%NeroCheck.dll XjC+kH  
%System%SVKP.sys SE\`JGA[