[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 i%133in  
\)28,`  
清除方案： *=@8t^fa86  
Ut~YvWc9  
(1) 首先关闭病毒进程 TSFrv8L  
\Nik`v*Pd  
(2) 删除病毒文件： LeN }Q  
2f:hz  
:c]y/lQmV  
　　　　　c:\Program Files\Common Files\inexplore.pif Eo$l-Hl5=  
　　　　　c:\Program Files\Internet Explorer\inexplore.com \&vXp"-@  
　　　　　%windir%1.com MMa`}wSs  
　　　　　% windir%\Debug\DebugProgram.exe s8(Z&pQ  
　　　　　% windir%\exerouter.exe XzV>q~I3|E  
　　　　　% windir%\EXP10RER.com Jy:@&c  
　　　　　% windir%\finders.com $]?pAqU\  
　　　　　% windir%\Shell.sys E7h@c>I
K  
　　　　　%system32%\smss.exe /w dvm4  
　　　　　%system32%\dxdiag.com 0D4 4  
　　　　　%system32%\MSCONFIG.COM (1S9+H>g  
　　　　　%system32%\regedit.com j\KOKvY)  
　　　　　%system32%\rund1132.com C|H`.|Q  
mu0L_u(P  
~C 3Y/}  
fPN/Mxu  
GAH<  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： o$bQ-_B`  
7y&=YCkc7  
LL:N/1ysG  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ 8u[.s`^  
　　　　　CurrentVersion\Run 1;./e&%%  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" b?=r%D->w  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main q:>`|~M
X  
　　 　　 键值 : 字串 : "Check_Associations"="No" miBCq
l@x  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： ajRht+{  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew aU +uPP  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe uR")@Tc  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" $igMk'%Nmb  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ SN[yC  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, `o_i+?E  
　　　　　Briefcase_Create %2!d! %1" X%!?\3S  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe U#Kw+slM  
　　 　　 新键值 : 字串 : @="WindowFiles" cJT_Qfxx  
　　 　　 原键值 : 字串 : @="exefile"　　　　 LCRWC`%&  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ ,EH-Sf2Cb  
　　 　　 shell\open\command 9[{q5  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ ;,/G*`81B  
　　　　　inexplore.com" %1" :'
t"kS  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet (q7;/n  
　　　　　Explorer\iexplore.exe" %1" x6T$HN/2  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ LfnQcI$kO  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ t(,2x%{  
　　　　　shell\OpenHomePage\Command M9Z9s11{H  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ mV7_O//  
　　　　　inexplore.com"" Zjc/GO  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ <1sUK4nQ,  
　　　　　iexplore.exe" 1:h(8%H@"  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command fb8xs<  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" Oa5-^&I  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" ^s8JW"H  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command qqYQ/4Ajw  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE m&*0<N  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ^*NOG\BK@  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 4mGRk)hk:>  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 1{xkAy0  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command $H,9GIivD  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ u7wZPIC{_  
　　　　　inexplore.com" %1" w `M/0.)V  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ usugjx^p  
　　　　　iexplore.exe" %1" $iy(+}  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command 9zehwl]~  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ )A;jBfr  
　　　　　inexplore.com" -nohome" :OaGdL   
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ fb]=MoiJ  
　　　　　iexplore.exe" -nohome" Q!fk|D+j  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ |Pse=_
i  
　　　　　command b!;WF  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" 1kc{`oL  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ]%5gPfv[T  
　　　　　iexplore.exe"" j1@PfKh  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ RoD9  
　　　　　command l~`JFWur]  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ \y/0)NL\  
　　　　　mshtml.dll,PrintHTML "%1"" |R Qa.^.  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ kdm@1x  
　　　　　mshtml.dll, PrintHTML"%1" ^
6,}*@  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command 3t]0  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ =?B[oq  
　　　　　inexplore.pif" -nohome" `? f sU  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 0c#|LF_  
　　　　　iexplore.exe" -nohome" XOY\NMo  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ "FfP&lF/  
　　　　　command ?7*J4.  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe WoMMAo~  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 5sMyH[5zY  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe +m6acu)N.  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" ^6^A/]v  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ zL:k(7E   
　　　　　command Ef6LBNWY.  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe "CT`]:GGK  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" dC}4Er  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe t9kqX(!  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" O6!:Qd  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
cT^x^%  
　　　　　CurrentVersion\Winlogon NEM
C  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" h6gtO$A|p=  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" cp 7;~i3  
g>Kh?(