[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 3d@$iAw1<  
j4G?=oDb  
清除方案： ;^j2>Azn  
$5)ZaYx<  
(1) 首先关闭病毒进程 HC*V\vz  
d,9YrwbD
 
(2) 删除病毒文件： )cX6o[oia  
406.6jmv  
_U`_;=(  
　　　　　c:\Program Files\Common Files\inexplore.pif 1"Z61gXrz  
　　　　　c:\Program Files\Internet Explorer\inexplore.com :7+E fu  
　　　　　%windir%1.com $'2yPoR  
　　　　　% windir%\Debug\DebugProgram.exe * -Kf  
　　　　　% windir%\exerouter.exe {|~22UkF[V  
　　　　　% windir%\EXP10RER.com hVAP )"5  
　　　　　% windir%\finders.com _jW}p-j  
　　　　　% windir%\Shell.sys s1eGItx[w  
　　　　　%system32%\smss.exe ?!J{Mrdn  
　　　　　%system32%\dxdiag.com m pWmExQ  
　　　　　%system32%\MSCONFIG.COM K8UgP?c;0  
　　　　　%system32%\regedit.com kM,$0@  
　　　　　%system32%\rund1132.com naT;K0T=  
=fZ)2q  
nUL8*#p-  
g0!{CW  
HjO-6F#s  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： u~9gR@e2{  
W
s;}D}+  
aQK>q. t  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ )`ZTu -|  
　　　　　CurrentVersion\Run yUb$EMo\  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" FgILQ"+  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main MHN?ZHC)  
　　 　　 键值 : 字串 : "Check_Associations"="No" *B7+rd  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： u<x2"0f  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew k}-@N;zq  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe S/}6AX#F4  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" :DP%
>H|  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ B3V:?#  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, <qD/ #$  
　　　　　Briefcase_Create %2!d! %1" J:  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe GzJLG
=M  
　　 　　 新键值 : 字串 : @="WindowFiles" 0MK|spc  
　　 　　 原键值 : 字串 : @="exefile"　　　　 G1 ?."  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ +8e~jf3E1  
　　 　　 shell\open\command | ,bCYK  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ __p\`3(,'  
　　　　　inexplore.com" %1" E DuLgg@  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet T+z]ztO  
　　　　　Explorer\iexplore.exe" %1" O)ks  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 6"^Yn.  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ wB6ILTu1  
　　　　　shell\OpenHomePage\Command ViV"+b#gu  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ }."3&u't  
　　　　　inexplore.com"" Ue:'55  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ j4wcxZYY~  
　　　　　iexplore.exe" d,}fp)  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 6Z~u2&  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" Lpw9hj|  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" K~"J<798{  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command }mRus<Ax  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE l4+!H\2  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ^06f\7A  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE IYm~pXg^0  
　　　　　NETSHELL.DLL,InvokeDunFile %1" M17oAVN7D  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command #3@ Du(_n  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ?Xm!;sS0  
　　　　　inexplore.com" %1" ?bc-?<Xk  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ %u\Oj \8U  
　　　　　iexplore.exe" %1" -"qw5Y_oF?  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command ]>fAV(ix  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ "0o1M\6Z  
　　　　　inexplore.com" -nohome" l2uh"!
 
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ (4_7ICFI  
　　　　　iexplore.exe" -nohome" |
FZ)5  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ UW7*,Bq  
　　　　　command < aeBhg%  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" T'9I&h%\  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ":E^&yQ  
　　　　　iexplore.exe"" !g}?x3  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ %2Q:+6)  
　　　　　command d (Ufj|;  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ SH>L3@Za  
　　　　　mshtml.dll,PrintHTML "%1"" b_=$W  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ +jzwi3B`  
　　　　　mshtml.dll, PrintHTML"%1" fl| 8#\r  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command A4RA5N/}  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ W.OcmA>x  
　　　　　inexplore.pif" -nohome" *0>![v  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ m~;fklX S  
　　　　　iexplore.exe" -nohome" }*.S=M]y$  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ <<#-IsT  
　　　　　command 5\RTy}w3x  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe x] [/9e  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" d-e6hI4b  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe DG& ({vy  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" z%xWP&3%"  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ $OI 6^  
　　　　　command 7_Yxz$m  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe +<5q8{]Pk  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" H&K(,4u^  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe 3IXai)6U  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" nx#0*r}5  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ 6H+'ezM  
　　　　　CurrentVersion\Winlogon /.1c<!  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" G-`4TQ  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" 7!%/vO0m  
Dep.Qfv{-