[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 ]CDUHz  
xdh%mG:?  
清除方案： \027>~u {  
QUDpAW  
(1) 首先关闭病毒进程 NAOCQDk{  
7^C&2k5G  
(2) 删除病毒文件： iN_P25Z<r  
/[!<rhY  
g(i8HU*{q  
　　　　　c:\Program Files\Common Files\inexplore.pif $LVzhQlD  
　　　　　c:\Program Files\Internet Explorer\inexplore.com [eFJ+|U9  
　　　　　%windir%1.com .DM-&P  
　　　　　% windir%\Debug\DebugProgram.exe \h?6/@3ob  
　　　　　% windir%\exerouter.exe @VQ<X4Za  
　　　　　% windir%\EXP10RER.com l{*Ko~g  
　　　　　% windir%\finders.com _*Ej3=u  
　　　　　% windir%\Shell.sys e.fxB  
　　　　　%system32%\smss.exe &+3RsIlW  
　　　　　%system32%\dxdiag.com H5*#=It  
　　　　　%system32%\MSCONFIG.COM 5_1\{lP  
　　　　　%system32%\regedit.com biV NZdA  
　　　　　%system32%\rund1132.com gwr?(:?  
<[K3Prf C  
@`ii3&W4  
2R W~jn"  
^SK!?M  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： *c 9S.  
/vC!__K9:  
}X. Fm'`  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ @^/aS;B$>  
　　　　　CurrentVersion\Run ^7yaMB!  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" hkdF  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main FY`t7_Y?GV  
　　 　　 键值 : 字串 : "Check_Associations"="No" +X`&VO6~  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： #8~ygEa}  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew KTBtLUH]*F  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe }I1j#d0.  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" sOb]o[=  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ *Q
#oV}D_  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, q]Kv.x]$R  
　　　　　Briefcase_Create %2!d! %1" bGkLa/?S  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 56Z  
　　 　　 新键值 : 字串 : @="WindowFiles" E#,\[<pc  
　　 　　 原键值 : 字串 : @="exefile"　　　　 U8-OQ:2.  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ o2cc3`*8d  
　　 　　 shell\open\command 7!wc'~;  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ P
- +]4\
 
　　　　　inexplore.com" %1" xGFbh4H=8p  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet O3mw5<%15  
　　　　　Explorer\iexplore.exe" %1" T8&eaAoo  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 97~>gFU77#  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ TZGk[u^*  
　　　　　shell\OpenHomePage\Command s6r(\L_Im  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ Mdh]qKw  
　　　　　inexplore.com"" +v$W$s&b-h  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ u-tD_U
Ick  
　　　　　iexplore.exe" ^qi+Y)dU|  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 9hssIZO  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" KuW>^mF(I  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" #c":y5:  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command v+}${h9  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE :L
lZ#V2  
　　　　　NETSHELL.DLL,InvokeDunFile %1" A}}dc:$C  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 6nREuT'k  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 3SI0etVr  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command HA7%8R*.2i  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ Q*M(d\Vs  
　　　　　inexplore.com" %1" f:y1eLl3  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ M2c7|  
　　　　　iexplore.exe" %1" .;qh>Gt  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command R$66F>Jz^  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ xR8.1T?8  
　　　　　inexplore.com" -nohome" c{ +bY.J  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 8vtembna4  
　　　　　iexplore.exe" -nohome" ,LP^v'[V7  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ \Rb:t}  
　　　　　command ^do6?e`?-  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" k2tSgJW  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Od^Sr4C  
　　　　　iexplore.exe"" |
)C*i  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ Dv L8}dz  
　　　　　command 8Lgm50bs  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ S4?WR+:h  
　　　　　mshtml.dll,PrintHTML "%1"" OZd (~E  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ Pf<yLT]  
　　　　　mshtml.dll, PrintHTML"%1" |i#06jIq  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command =FI[/"476  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ bC~I}^i\  
　　　　　inexplore.pif" -nohome" 5pC}ZgEa<  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ mlCg&fnDB  
　　　　　iexplore.exe" -nohome" 1
e7I2g  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ ekU%^R<  
　　　　　command (9kR'kr  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe WUo\jm[yr  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" >\3\&[#"  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe Ok|Dh;1_  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" VIN0kRQ#  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ RgW#z-PZF  
　　　　　command mwyB~,[d+W  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe 3Zl:rYD?  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" I8`$a  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe nm
& pn*1  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" MB $aN':  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ <VQ)}HW;k  
　　　　　CurrentVersion\Winlogon k`A39ln7wu  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" -%gEND-AP  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" eO(U):C2  
hqlQ-aytS