[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 pNUe|b+P  
zu/BDyF  
清除方案： YOOcHo.F  
cvOCBg38BH  
(1) 首先关闭病毒进程 m4\e`nl  
BN7]u5\7  
(2) 删除病毒文件： &6="r}  
0nr5(4h  
J(>T&G;  
　　　　　c:\Program Files\Common Files\inexplore.pif (}B3df  
　　　　　c:\Program Files\Internet Explorer\inexplore.com ~}"5KX\=#  
　　　　　%windir%1.com &ci;0P#Q  
　　　　　% windir%\Debug\DebugProgram.exe /aV;EkyO,  
　　　　　% windir%\exerouter.exe UpTVLx^c  
　　　　　% windir%\EXP10RER.com ^=Dz)95c  
　　　　　% windir%\finders.com x3AAn,m8  
　　　　　% windir%\Shell.sys +h]~m_O  
　　　　　%system32%\smss.exe gUr#3#  
　　　　　%system32%\dxdiag.com DbWaF5\yD  
　　　　　%system32%\MSCONFIG.COM (zr2b  
　　　　　%system32%\regedit.com 1R.|j_HYy  
　　　　　%system32%\rund1132.com XgI;2Be+&a  
Y~TD)c=  
1S+lHG92I  
]A&pXAM  
Y;)l  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： ;IOM3'5T@  
'vwu^u?  
eC{St0  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ vc%=V^)N7U  
　　　　　CurrentVersion\Run <EKTFHJ!  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" ^]5^p9Jt"e  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main $;pHv<  
　　 　　 键值 : 字串 : "Check_Associations"="No" Np"~1z.(b  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： XjXz#0nR  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew Y{d-k1?s5  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe H-,p.$3}  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" 6Vgxfic  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ ^ItL_4  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, dOT7;@  
　　　　　Briefcase_Create %2!d! %1" ;I9g;}  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe |b4f3n  
　　 　　 新键值 : 字串 : @="WindowFiles" &g"`J`  
　　 　　 原键值 : 字串 : @="exefile"　　　　 S3UJ)@ E  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ )7C+hQe  
　　 　　 shell\open\command ~ <36vsk  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ SM8f"H28  
　　　　　inexplore.com" %1"
p`2Q6  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet ZaYUf  
　　　　　Explorer\iexplore.exe" %1" y?V^S
;}&]  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ [sNvCE$\]  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ 3#?53s  
　　　　　shell\OpenHomePage\Command UHgW-N"  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ @_$Un&eo  
　　　　　inexplore.com"" */HW]x|?V~  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ Q@1SqK#-DQ  
　　　　　iexplore.exe" v|
MT^.  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command R=<%!  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" a/</P |UG  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" 6 w'))Z  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command Wo(m:q(Om  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE U.WXh(`%  
　　　　　NETSHELL.DLL,InvokeDunFile %1" a!EW[|[Q  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE F`La_]f?b\  
　　　　　NETSHELL.DLL,InvokeDunFile %1" $V!25jQ  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command o%!s/Z1  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ I7W`\d)  
　　　　　inexplore.com" %1" IhN^*P:Fo  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ R.?PD$;_M  
　　　　　iexplore.exe" %1" GYg.B<Q.  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command u* G+=aV.6  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ jgiS/oW  
　　　　　inexplore.com" -nohome" ][KlEE>W2  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ D|amKW7  
　　　　　iexplore.exe" -nohome" (*b<IGi;  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ +/bD9x1H  
　　　　　command z%1e>`\E  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" +v~x_E5FP  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ :`4F0
 
　　　　　iexplore.exe"" mE=Ur  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ FJ^\K+;  
　　　　　command N~0ihTG5  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ G[*z,2Kb>  
　　　　　mshtml.dll,PrintHTML "%1"" 3IJ0 P.x!o  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ )dFPfu&HL  
　　　　　mshtml.dll, PrintHTML"%1" 5dhy80|g]  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command #.!#"8{0_  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ I

Mncl=1  
　　　　　inexplore.pif" -nohome" |Y8}*C\M.h  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ as'yYn8  
　　　　　iexplore.exe" -nohome" 6O,:I  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ [?hvx}  
　　　　　command BY&{fWUo  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe Y mL{uV$  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" MV
??S{^4  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe PU[<sr#,  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" Faa>bc~E  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ 0w:
3/WO  
　　　　　command s7HKgj  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe d3|/&gDBK  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" Bz <I7h  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe :p,|6~b$  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" i
E}] E  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ SO.u0!  
　　　　　CurrentVersion\Winlogon `U b*rOMu  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" x=IZ0@p  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" l S3LX  
>~Xe` }'