[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 l!}7GWj  
EDA6b]  
清除方案：  b|Eo\l2  
3E8 Gh>J_  
(1) 首先关闭病毒进程 t0T#Xb  

R>,_C7]u  
(2) 删除病毒文件： '5 9{VA6h  
qp/nWGj  
P_ b8_ydU  
　　　　　c:\Program Files\Common Files\inexplore.pif #5^S@}e  
　　　　　c:\Program Files\Internet Explorer\inexplore.com >V&GL{  
　　　　　%windir%1.com @^b>S6d"  
　　　　　% windir%\Debug\DebugProgram.exe {ka={7  
　　　　　% windir%\exerouter.exe YXGxE&!  
　　　　　% windir%\EXP10RER.com s 8lfW6  
　　　　　% windir%\finders.com h-*h;Uyc  
　　　　　% windir%\Shell.sys _^F%$K6  
　　　　　%system32%\smss.exe =jRC4]M})  
　　　　　%system32%\dxdiag.com (abtCuZ8z  
　　　　　%system32%\MSCONFIG.COM ?"p.Gy)  
　　　　　%system32%\regedit.com 8oJp_sw  
　　　　　%system32%\rund1132.com Z%VgAV>>  
,Aq |IH3j  
rX|{
nb  
W!a'KI'  
FOuPj+}F  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： B)&z% +  
|eej}G(,m}  
sTi3x)#xB  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ #-g2p?+i&  
　　　　　CurrentVersion\Run HU-#xK  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe"
?a~#`<  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main -L2%,.E>4  
　　 　　 键值 : 字串 : "Check_Associations"="No" zY&/lWW._  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： OUm,;WNLf  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew F'njtrO3  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe sfCU"O2G  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" ^<Sy{KY  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ t\-;n:p-  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, sTECNY=l  
　　　　　Briefcase_Create %2!d! %1" EB5^eNdL  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe x<) T,c5Y  
　　 　　 新键值 : 字串 : @="WindowFiles" ODPWFdRar  
　　 　　 原键值 : 字串 : @="exefile"　　　　 i0
[mU,  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ ezr'"1Ba}  
　　 　　 shell\open\command >NBwtF>  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 2| ERif;)  
　　　　　inexplore.com" %1" -p20UP 1I  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Gq.fQ_oOb  
　　　　　Explorer\iexplore.exe" %1" C33=<r[;N<  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ xx[l#+:c  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ bm(.(0MI  
　　　　　shell\OpenHomePage\Command K1-y[pS]E  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ bHmn0fZ9  
　　　　　inexplore.com"" o@r~KFIe  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ u%nhQ%  
　　　　　iexplore.exe" g|x*sZR~Y  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command oMF[<Xf  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" +J:wAmY4  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" z;EDyd,O>  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command TiSV`V
q  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE ??g = `yH  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ]goPjfWvU"  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE ~P+;_  
　　　　　NETSHELL.DLL,InvokeDunFile %1" iiV'-!3w  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command ~@'DYZb- H  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ jN sM&s,  
　　　　　inexplore.com" %1" w#RfD  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ gPy}.g{tH$  
　　　　　iexplore.exe" %1" 7^Y`'~Y^  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command ?xzDz  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ NE-c[|rq  
　　　　　inexplore.com" -nohome" r?=3TA
A  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ nbU?:=P  
　　　　　iexplore.exe" -nohome" jGOE CKP  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ 4Kn)5>  
　　　　　command +(##B pC  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" QQX7p!~E  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ {
3\{aZ8)  
　　　　　iexplore.exe"" a O(&<  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ |=sjGf  
　　　　　command b@)nB  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ #e$vv!&}  
　　　　　mshtml.dll,PrintHTML "%1"" *uvE`4V^Jg  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ ]0myoWpi3  
　　　　　mshtml.dll, PrintHTML"%1" r$;u4FR  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command Ve\P,.  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ u$y5?n|  
　　　　　inexplore.pif" -nohome" lgh+\pj  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 3b1%^@,ACy  
　　　　　iexplore.exe" -nohome" ci{WyIh  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ xU$15|ny  
　　　　　command '=>l& ;  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe k\lU Q\/O5  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" =42NQ{%@;  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe .Wvg{ S-  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" !v]~ut !p  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ _Wo(;'.  
　　　　　command j9$kaEf  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe 8jU6N*p/  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" {$)pkhJ  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe %51HJB}C]  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" -v?)E S  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ <~35tOpv  
　　　　　CurrentVersion\Winlogon )r:gDd#/X  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" ?F@X>zR2  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" +We=- e7  
hquN+eIDH