[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 .nr%c*JUp  
6;Izw$X  
清除方案： !U5Cwq  
 svo%NQ  
(1) 首先关闭病毒进程 h Q Att  
1\-lAk!   
(2) 删除病毒文件： aG"  
)jI4]6  
6UN{Vjr%`  
　　　　　c:\Program Files\Common Files\inexplore.pif (q7;/n  
　　　　　c:\Program Files\Internet Explorer\inexplore.com N<(rP1)`v  
　　　　　%windir%1.com ]%7m+-h@  
　　　　　% windir%\Debug\DebugProgram.exe Yo5ged]i  
　　　　　% windir%\exerouter.exe Qmd2C&Xw  
　　　　　% windir%\EXP10RER.com +CEt:KQ  
　　　　　% windir%\finders.com #I ,c'Vj  
　　　　　% windir%\Shell.sys %D7^.  
　　　　　%system32%\smss.exe /ORK9g  
　　　　　%system32%\dxdiag.com pOy(XUV9O  
　　　　　%system32%\MSCONFIG.COM |<]wM(GxE  
　　　　　%system32%\regedit.com %RIu'JXi  
　　　　　%system32%\rund1132.com UGOe(JB  
4`CO>Q  
(s1iYK  
F":dS-u&L  
`ER#S_}  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： i+-=I+L3  
^y&2N  
kYS\TMt,C  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ ojWf]$^y}  
　　　　　CurrentVersion\Run ^*NOG\BK@  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" A?ESjMy(R  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main z1e+Ob&  
　　 　　 键值 : 字串 : "Check_Associations"="No"  Mv%B#J  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： A[88IMZs  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew GO#eI]>/r  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe g[{rX4~|  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" ,;= S\  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ iQh:y:Jo1&  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, 2JHF*zvO-  
　　　　　Briefcase_Create %2!d! %1" Y^?PHz'Go  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe HRd02tah  
　　 　　 新键值 : 字串 : @="WindowFiles" :OaGdL   
　　 　　 原键值 : 字串 : @="exefile"　　　　 v<} $d.&*  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ &M\qVL%w  
　　 　　 shell\open\command Wu?[1L:x  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ wzI*QXV2s  
　　　　　inexplore.com" %1" d D^?%,a  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet 1kc{`oL  
　　　　　Explorer\iexplore.exe" %1" n u>6UjV  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ Iak06E  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ xUs1-O1i  
　　　　　shell\OpenHomePage\Command H#`&!p  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ su=]gE@  
　　　　　inexplore.com"" \y/0)NL\  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ 1N8YD .3  
　　　　　iexplore.exe" BGT`) WP  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command ^
F"eHUg  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" 6:TA8w|  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" i\L7z)u
 
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command ^\PNjj*C i  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE G>^ _&(c@2  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 1UH_"Q03  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE R<>uCF0  
　　　　　NETSHELL.DLL,InvokeDunFile %1" KU0;}GSNX}  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command Pu
rY_  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ x A ZRl  
　　　　　inexplore.com" %1" WoMMAo~  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 0[OlJMVf  
　　　　　iexplore.exe" %1" .V^h<d{  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command HtI>rj/\ x  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 2f0_Xw_V_  
　　　　　inexplore.com" -nohome" |i'w"Tz4  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Uv3Fe%>  
　　　　　iexplore.exe" -nohome" ~!dO2\X+  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ (7PVfS>;  
　　　　　command E+aE5wmr  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" Luh*+l-nO  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\
4vPKDd  
　　　　　iexplore.exe""
cT^x^%  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ 'P >h2^z  
　　　　　command O%s?64^U  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ rOq>jvy  
　　　　　mshtml.dll,PrintHTML "%1"" $-]PD`wmY  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ MW.,}f  
　　　　　mshtml.dll, PrintHTML"%1" !L'O")!3  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command U| 1&=8l
 
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ {B\lk:"X  
　　　　　inexplore.pif" -nohome" oth=#hfU^  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ K}Pi"Le@W  
　　　　　iexplore.exe" -nohome" 6~(
iLtd#  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ ^F$iD (f  
　　　　　command kv3V|  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe &uv7`VT  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" >:U{o!N`#_  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe 6?jSe<4x  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" W#[3a4%m  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ ^cYt4NHXn  
　　　　　command PxZMH=  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe xXc3#n  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /T/7O  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe t.m C q4{  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" so\8.(7n  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ xHdv?69,  
　　　　　CurrentVersion\Winlogon !p"Ijz5  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" [kg*BaG:  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" [U?a %$G>  
0\^K\J,.