[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 wPE\?en  
|LLDaA-=0  
清除方案： ,*kh{lJ  
XN^l*Q?3n  
(1) 首先关闭病毒进程 Q]{`m  
^7Rc\  
(2) 删除病毒文件： JT p+&NS  
9,?7mgZp  
a.z)m}+  
　　　　　c:\Program Files\Common Files\inexplore.pif Z35(f0b  
　　　　　c:\Program Files\Internet Explorer\inexplore.com [C#H _y(  
　　　　　%windir%1.com }`pxs  
　　　　　% windir%\Debug\DebugProgram.exe OZR{+YrB^  
　　　　　% windir%\exerouter.exe gy`WBg(7x  
　　　　　% windir%\EXP10RER.com ["_+~*  
　　　　　% windir%\finders.com e?7Oom  
　　　　　% windir%\Shell.sys Xaw ~Hh)  
　　　　　%system32%\smss.exe ^]NFr*'!  
　　　　　%system32%\dxdiag.com #|"M  
　　　　　%system32%\MSCONFIG.COM Xqy9D ZIn  
　　　　　%system32%\regedit.com :w<Ga8\tZ  
　　　　　%system32%\rund1132.com 9vckQCLM  
Z8ds`KZM  
#9glGPR(  
msVi3`q~  
hLr\;Swyp  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： Aw]kQ\P&  
Ys0N+  
@R_ON"h  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ FN/siw(?3  
　　　　　CurrentVersion\Run x }@P  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" U1W8f|u  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main (h|E@gRa  
　　 　　 键值 : 字串 : "Check_Associations"="No" &;naaV_2T  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 5]*!N  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew fZp3g%u  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe Qd/x{a8  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" aL&nD1f=!-  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ >QdT7gB  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, l<;~sag  
　　　　　Briefcase_Create %2!d! %1" w$Z%RF'p  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe }tO>&$ Z6f  
　　 　　 新键值 : 字串 : @="WindowFiles" CiV^bYi  
　　 　　 原键值 : 字串 : @="exefile"　　　　 ^fQa whub  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ &3OV|ly]  
　　 　　 shell\open\command w6h*dh$w  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ :=*V i`  
　　　　　inexplore.com" %1" H*P[tyz$  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet 1ozb tn  
　　　　　Explorer\iexplore.exe" %1" v_Hy:O}R  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ *L~?.9R  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ 8#w%qij  
　　　　　shell\OpenHomePage\Command Yd(<;JKF[  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ (((|vI3 <  
　　　　　inexplore.com"" M.HMnN#  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ !4T!@"#  
　　　　　iexplore.exe" ?G<ISiABQC  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command xE{slDl  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" g;Zy3   
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" tAPf#7{|   
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command gquvVj1oT  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE oQA,57B  
　　　　　NETSHELL.DLL,InvokeDunFile %1" OIIA^QyV  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE }>EWFE`  
　　　　　NETSHELL.DLL,InvokeDunFile %1" E $P?%<o  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command FU(2,V
l  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ MxH |y
o[  
　　　　　inexplore.com" %1" * F_KOf9p  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ LpL$=9  
　　　　　iexplore.exe" %1" kZ PL$\/A  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command }KO <II  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 06M?ecN  
　　　　　inexplore.com" -nohome" &F:.OVzX  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 0":k[y  
　　　　　iexplore.exe" -nohome" mlPvF%Ba  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ VkO*+"cGv  
　　　　　command Yep~C%/}  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" &8Z.m,s]  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ l|{[vZpT  
　　　　　iexplore.exe"" ef)zf+o  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ :wN!E{0j  
　　　　　command C#4_
`4{  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ oh@Ha?  
　　　　　mshtml.dll,PrintHTML "%1"" >t<\zC|~w  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ dWY{x47  
　　　　　mshtml.dll, PrintHTML"%1" L^zh|MEyzk  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command AWE ab  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ -SfU.XlZl  
　　　　　inexplore.pif" -nohome" 1/~=61msc  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 9UVT]acq  
　　　　　iexplore.exe" -nohome" l^$'6q"  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ U82mO+}  
　　　　　command ;TS%e[lFhQ  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe N'-[>w7vK2  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" GKjtX?~1  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe RKE"}|i+S  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 1q@R04i  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ ,Si{]y  
　　　　　command "*.N'J\  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe vf$IF|  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" E4>}O;m0  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe ,lStT+A  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" @K+gh
#  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ .c~z^6x  
　　　　　CurrentVersion\Winlogon z#ki# o  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" "bDj00nwh  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" RRB=JP{r  
fU?#^Lg