[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 3z!^UA>q  
P] Xl  
清除方案： o>y@1%aU  
dG%{&W9  
(1) 首先关闭病毒进程 D%h_V>#z  
!U~S7h}  
(2) 删除病毒文件： MmW]U24s  
 Eikt,
 
Kj6@=  
　　　　　c:\Program Files\Common Files\inexplore.pif R[!%d6jDE  
　　　　　c:\Program Files\Internet Explorer\inexplore.com Ze3sc$fG2  
　　　　　%windir%1.com $
sb `BS  
　　　　　% windir%\Debug\DebugProgram.exe 2T-3rC)  
　　　　　% windir%\exerouter.exe WjF#YW\  
　　　　　% windir%\EXP10RER.com xX\A&9m  
　　　　　% windir%\finders.com c#T0n !}  
　　　　　% windir%\Shell.sys ,H5o/qNU`{  
　　　　　%system32%\smss.exe 9@8)ZHf  
　　　　　%system32%\dxdiag.com GQ1m h*4$  
　　　　　%system32%\MSCONFIG.COM RsnFjfb'  
　　　　　%system32%\regedit.com r^+n06[  
　　　　　%system32%\rund1132.com wyUfmk_}  
: G0^t
 
FK,Jk04on  
dRXdV7-!  
x}jiHV@=  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： F=V_ACU  
pTE.,~-J^j  
B0ZLGB  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ vf h*`G$  
　　　　　CurrentVersion\Run ]3~X!(
O  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" 1*]@1DJ
t  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Q_FL8w9D~8  
　　 　　 键值 : 字串 : "Check_Associations"="No" Vv.q{fRvYB  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 5`f\[oA  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew D
|"^ :Gi  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe H  2UR  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" k^Uk=)9  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ ~.<}/GP]_  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, fR,7l9<%Zp  
　　　　　Briefcase_Create %2!d! %1" V6tUijz  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe G-G\l?R(  
　　 　　 新键值 : 字串 : @="WindowFiles" q Qc-;|8  
　　 　　 原键值 : 字串 : @="exefile"　　　　 ez^b{s`  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ H JjW  
　　 　　 shell\open\command (!dwUB
  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ rtk1 8U-
 
　　　　　inexplore.com" %1" j(`V&S
 
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet jWerX -$  
　　　　　Explorer\iexplore.exe" %1" SkMBdkS9z[  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ $6yr:2Xvt  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ XV0t 8#T2  
　　　　　shell\OpenHomePage\Command 42 &m)  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ o,DI7sb  
　　　　　inexplore.com"" GFO(O  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ :~B'6b  
　　　　　iexplore.exe" \t+q1S1  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command |p @,]cz  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" m;m4/z3U  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" o3xfif  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command KI8Q =*  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE qh~S)^zFJ  
　　　　　NETSHELL.DLL,InvokeDunFile %1" rR3(yy0L  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE z9P;HGuZ  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 7Hp~:i30  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command ,?>:Cdz4  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ te8lF{R  
　　　　　inexplore.com" %1" ]x`I@vSf7R  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ m~l[Y  
　　　　　iexplore.exe" %1" x\!Uk!fM  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command e!|T Tap  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ P1}Fn:Xe%7  
　　　　　inexplore.com" -nohome" N!#TK9  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ pk2}]jx"  
　　　　　iexplore.exe" -nohome" S1a}9Z|  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ xN]88L}Tn  
　　　　　command 1F58 2 l  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" a>/jW-?  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 2=ZZR8v  
　　　　　iexplore.exe"" o9D]\PdL>  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ DeL7sU  
　　　　　command nLv"ON~  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ yct^AN|%  
　　　　　mshtml.dll,PrintHTML "%1"" /Jw65 e  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 4e55  
　　　　　mshtml.dll, PrintHTML"%1" ziBg'  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command L?p,Sy<RI  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ d!]fou  
　　　　　inexplore.pif" -nohome" V;t8v\  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ $l!+SLK  
　　　　　iexplore.exe" -nohome" D_4UM#Tw  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ =#ls<Zo:  
　　　　　command nolLeRE1  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe ~i)IY1m"  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" =lqBRut  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe *Mr?}_,X*  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 84$#!=v  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ om'DaG`A  
　　　　　command +:fr(s!OE  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe ??.9`3CYo  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" 7Yrp#u1!  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe H3Z"u  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" K=mW`XXup  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ WQT;k0;T]  
　　　　　CurrentVersion\Winlogon p 6FPdt)  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" K,\Bj/V(  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" rxJWU JMxK  
^@0-E@ {c