[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 8RWfv}:X  
AEx I!  
清除方案： +[*VU2f t  
}\}pSqW  
(1) 首先关闭病毒进程 |n=m{JX\m  
![3#([>4>  
(2) 删除病毒文件： xRYL{+  
t9SzZ2E  
C{!L +]/  
　　　　　c:\Program Files\Common Files\inexplore.pif /%|JP{  
　　　　　c:\Program Files\Internet Explorer\inexplore.com r(iT&uz  
　　　　　%windir%1.com aYr?J Ol  
　　　　　% windir%\Debug\DebugProgram.exe 02:]  
　　　　　% windir%\exerouter.exe A,i.1U"w8  
　　　　　% windir%\EXP10RER.com "Wr5:T-;  
　　　　　% windir%\finders.com c4ptY5R),  
　　　　　% windir%\Shell.sys q}>1Rr|U`  
　　　　　%system32%\smss.exe ?D-1xnxep  
　　　　　%system32%\dxdiag.com duB{1  
　　　　　%system32%\MSCONFIG.COM BJ!b LQ  
　　　　　%system32%\regedit.com ?|'+5$  
　　　　　%system32%\rund1132.com B1T:c4:N  

:@)UI,  
SA&0f&07i  
F>Rz}-Fy  
x@I*(I  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： <l]P <N8^  
py.lGywb_  
/%9D$\  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ K: g_M  
　　　　　CurrentVersion\Run Nq1la8oQ3  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" }#'wy  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Kk1591'  
　　 　　 键值 : 字串 : "Check_Associations"="No" HQ~`ha.  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： %JM:4G|q  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew $ysemDq-a\  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe `Bk7W]{L  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" R>SS\YC'X  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ )I'?]p<  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, C( 8i0(1  
　　　　　Briefcase_Create %2!d! %1" W[BZ/  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe )=l~XV  
　　 　　 新键值 : 字串 : @="WindowFiles" "a))TV%N  
　　 　　 原键值 : 字串 : @="exefile"　　　　 1oD,E!+^d  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ E8gXa-hv  
　　 　　 shell\open\command B*btt+6  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ _#@n^c  
　　　　　inexplore.com" %1" k`JP  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Y$hYW  
　　　　　Explorer\iexplore.exe" %1" ~$n4Yuu2[  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ `v3WJ>Q!N?  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ H-A?F^#  
　　　　　shell\OpenHomePage\Command |D+"+w/
 
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ d4KTwn5g  
　　　　　inexplore.com"" IWcgh`8  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ OV3l)73?t  
　　　　　iexplore.exe" v+uq  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command i^Vb42%y  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" M#X8Rs1`  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" 51j5AbFQ"  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command \MBbZB9@  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE -
V0_%Smc  
　　　　　NETSHELL.DLL,InvokeDunFile %1" HA&7 ybl  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE Jb~$Vrdy  
　　　　　NETSHELL.DLL,InvokeDunFile %1" :8b{|}aYV  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command 3qJOE6[}%  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ITJ{]7N  
　　　　　inexplore.com" %1" BrF/-F  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ nMXk1`|/)x  
　　　　　iexplore.exe" %1" A>WMPe:sSS  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command _DsA<SJ]  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ |/<,71Ae  
　　　　　inexplore.com" -nohome" %B?@le+%  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ws8@yr<R  
　　　　　iexplore.exe" -nohome" abiZ"?(  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ 'i5 VU4?K  
　　　　　command `)V1GR2 ES  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" -n&g**\w  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ e$]`  
　　　　　iexplore.exe"" 8*7t1$  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ .4on7<-a  
　　　　　command <=.0 P/N  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ 0_'(w;!wq:  
　　　　　mshtml.dll,PrintHTML "%1"" m,}0p  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ < kyT{[e+6  
　　　　　mshtml.dll, PrintHTML"%1" Zjqa n  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command )!6
JSMS  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ ro|mWP0  
　　　　　inexplore.pif" -nohome" -]""Jl^  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ Zjis0a]v~k  
　　　　　iexplore.exe" -nohome" MMlryn||1  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ kQ~2mU  
　　　　　command {!!
df.h  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe !5,>[^y3  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" |^fubQs;2  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe ql"&E{u?  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" gc(Gc vdB\  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ ]0v;;PfVl6  
　　　　　command ^b|Z<oF  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe 3m3ljy  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" U\aP  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe <Sds5 d  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
Ed
GA#i3  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ ,fWQSc\}  
　　　　　CurrentVersion\Winlogon <0lXJqd  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" ^(z7?T  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" s18o,Zs'  
m2c>RCq