[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 \VAS<?3  
=#I/x=
L:  
清除方案： KW3
6nY\7  
ph7]*W-  
(1) 首先关闭病毒进程 r;zG  
7x$VH5jie#  
(2) 删除病毒文件： Fy^8]u*Fu  
f F9=zrW  
Is ( Ji  
　　　　　c:\Program Files\Common Files\inexplore.pif Ez^wK~  
　　　　　c:\Program Files\Internet Explorer\inexplore.com Q"GZh.m  
　　　　　%windir%1.com Lnltt86  
　　　　　% windir%\Debug\DebugProgram.exe 9iK%@k  
　　　　　% windir%\exerouter.exe 5.U|CL  
　　　　　% windir%\EXP10RER.com 0*/[z
~Z-1  
　　　　　% windir%\finders.com 7nawnS  
　　　　　% windir%\Shell.sys pc](  
　　　　　%system32%\smss.exe `jGG^w3  
　　　　　%system32%\dxdiag.com l4E0/F  
　　　　　%system32%\MSCONFIG.COM b5
%T)hn=  
　　　　　%system32%\regedit.com ~5~Cpu
2v7  
　　　　　%system32%\rund1132.com =%crSuP  
#t&L}=G{%  
@w;&:J9m
 

KD..X~Me  
=|3*Y0  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： T$Rf  
to] ~$~Q|>  
 }}d,xI  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ W
Sx0o}  
　　　　　CurrentVersion\Run vSJ# }&  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" I^gLiLUN*6  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 6PRP&|.#  
　　 　　 键值 : 字串 : "Check_Associations"="No" AUm5$;o,/  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： y?xFF9W@H  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew Zx%6pZ(.  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe e:;u_be~  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" r)f+j@KF  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ Wtj*Z.=:  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, TDW\
n  
　　　　　Briefcase_Create %2!d! %1" v6'k`HnK  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe @VKN6yHH  
　　 　　 新键值 : 字串 : @="WindowFiles" B d?{ldg  
　　 　　 原键值 : 字串 : @="exefile"　　　　 3TnrPO1E  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ o;{BI
Q1  
　　 　　 shell\open\command zHQSx7Ow 5  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 6tBe,'*  
　　　　　inexplore.com" %1" u'"]{.K>fb  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet = _/XFN  
　　　　　Explorer\iexplore.exe" %1" /G!M\teeF  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 39Tlt~Psz  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ 9h0Y">}`b  
　　　　　shell\OpenHomePage\Command Au{J/G<W@  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ c[4I> "w  
　　　　　inexplore.com"" E Ks4N4k  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ M:.0]'[s5  
　　　　　iexplore.exe" t``q_!s}
F  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command "VQ7Y`,+  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" @`:z$52  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" 7SJtW`~  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command 3|1v)E  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE Qis/'9a  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 1c*XmMB  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE \) g?mj^  
　　　　　NETSHELL.DLL,InvokeDunFile %1" cFloaCz  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command 9<1dps=c  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ q3/ 0xN+?  
　　　　　inexplore.com" %1" Xny{8Oo<1?  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ '>#8 F.  
　　　　　iexplore.exe" %1" ,^&amWey  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command ->a|  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ Ox&]{  
　　　　　inexplore.com" -nohome" 8QFg6#"O  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ {*K7P>&  
　　　　　iexplore.exe" -nohome" *w23(f  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ X~ g9TUv8  
　　　　　command qW|_|%{U+  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" !4(QeV-=  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 1
R7w  
　　　　　iexplore.exe"" cP>[H:\Xc  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ a3SBEkC  
　　　　　command Q-y`IPtA<  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ J*+[?FXRL  
　　　　　mshtml.dll,PrintHTML "%1"" Ew*SA  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ irKM?#h  
　　　　　mshtml.dll, PrintHTML"%1" {Z^q?~zC[  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command e#z#bz2<  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ $'93:9tg
 
　　　　　inexplore.pif" -nohome" F0/!+ho  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\
T3h1eU  
　　　　　iexplore.exe" -nohome" ^.@F1k  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ kJ.0|l0  
　　　　　command 0K^?QM|S  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe K5}0!_)G  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" b VcA#7 uA  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe ~Nn}FNe  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" #7p!xf^  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ oR'u&\mB  
　　　　　command 
^BhS*  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe }sW%i#CV  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" ibh,d.*~g  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe |a>,FZv8e  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" ;]^% 6B n  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ dnCurWjdk  
　　　　　CurrentVersion\Winlogon .g!K| c  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" ZFRKzPc {V  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" 80 ckh  
OzAxnd\.N