server.exe进程分析以及该病毒手动查杀方法

server.exe
server - server.exe - 进程信息
进程文件： server 或者 server.exe
进程名称： Novell server licensing

描述：
server.exe是Novell服务组件相关程序，用于Novell服务监听。注意：server.exe也可能是Kodorjan后门的一部分，允许攻击者访问你的文件和计算机。

出品者： Novell Inc.
属于：Novell server licensing

系统进程： 否
后台程序： 否
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
广告软件: 否
广告软件： 否
木马: 否

关于查杀：
运行后
在SREng.exe日志看到这2项
浏览器加载项
[google bar]
{607E95A1-8F89-4343-B9BC-2EFC2B291BB4} <C:\WINDOWS\system32\googlebar.dll, Google Inc.>
正在运行的进程
PID: 1000][C:\WINDOWS\system32\server.exe] <Microsoft Corporation><5, 1, 2600, 2180>
另在C:\WINDOWS\system32\能找到checknetwork.exe

说明，C:\WINDOWS\system32\server.exe正常情况下是系统的东东，（具体比较看图）只所以说这个病毒诡异，其一是病毒运行后会替换正常的server.exe。用任务管理器可以终止它的进程，但立即会死灰复燃。
在安全模式下删除checknetwork.exe，server.exe，googlebar.dll也是如此。看来有其它在监视，苦于找不到幕后的黑手！！！

多种方式后，开始试用IceSword（建议去华军搜索下载)，终于找到了方法。
力求简单明了。
打开IceSword，点“文件”“设置”勾选“禁止进线程创建”，终止server.exe进程，点“文件”（注意不是右上的“文件”而是右下方的“文件”）找到C:\WINDOWS\system32\checknetwork.exe，server.exe，googlebar.dll逐一删除。
完后打开IceSword，点“文件”“设置”清除勾选“禁止进线程创建”，退出，
打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，浏览器加载项”来删除以下选项。
C:\WINDOWS\system32\googlebar.dll
病毒清除完毕。

挺简单的吧，但这还得一些小插曲
删除checknetwork.exe，server.exe，googlebar.dll时，一定要按以上顺序来删除，如果先删除server.exe，再删除checknetwork.exe，googlebar.dll，无需重启，退出IceSword后病毒立即死灰复燃。这就是它另一个诡异的地方。
这个病毒卡巴不报，NOD32不报，买咖啡也不报。我也不清楚它在系统中要干什么
修复后，最好复制一个正常的server.exe
这你要细心观察了
正常的情况下C:\WINDOWS\system32\server.exe是不会出现在任务管理器的，如果你在你任务管理器中看到了它，终止后又会立即出现，那就是有问题。
另外注意的是，正常的系统都有C:\WINDOWS\system32\server.exe，它的体积只是11K左右，病毒上百K。