Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身,生成14个病毒文件;修改注册表,添加启动项,以达到随机启动的目的;将IE更改为非默认浏览器;修改大部分文件的启动方式,和文件关联,并创建新的文件类型。  "ju'UOcS/  
 uLR<FpM  
清除方案:   G`0V)S  
 A8r^)QJP{  
(1) 首先关闭病毒进程  %aRT>_6"  
 E_T2z4lw  
(2) 删除病毒文件:  N2C7[z+l`  
 0#_'o	,  
 j<<3Pr  
     c:\Program Files\Common Files\inexplore.pif  Yk!/ow@.  
     c:\Program Files\Internet Explorer\inexplore.com  XvTCK>1  
     %windir%1.com  yx38g
ca  
     % windir%\Debug\DebugProgram.exe   Smw QET<H  
     % windir%\exerouter.exe  p>w]rE:}  
     % windir%\EXP10RER.com  $g0+,ll[6  
     % windir%\finders.com  V!_71x\-Q  
     % windir%\Shell.sys  WJH\~<{mP  
     %system32%\smss.exe  yLE7>48  
     %system32%\dxdiag.com  g4p  
     %system32%\MSCONFIG.COM  58Xzup_"  
     %system32%\regedit.com  2_^aw[-  
     %system32%\rund1132.com H,unpZ(  
  i%m"@7.kk  
 Pz*_)N}j	>  
 /AY4M;}p  
 {76c%<`WaP  
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:  dO>	 VwP  
 GzXUU@p  
  t]jFo  
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ nn/?fIZN4  
     CurrentVersion\Run  H	%JaZ?(  
      键值 : 字串 : "TProgram"="C:\WINNT\smss.exe"  ?'86d_8  
      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main  S{pXs&4O  
      键值 : 字串 : "Check_Associations"="No" U4f5xUY0)  
      恢复注册表原键值(如果有组册表备份可以直接将其导入):  g9D^) V  
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew  .	o7m!  
      新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe  gI^oU4mq  
      %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"  )a9 ]US^  
      原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ IN8>ZV`j)  
     rundll32.exe %SystemRoot%\system32\syncui.dll, ~(!XY/0e  
     Briefcase_Create %2!d! %1" %VYAd)gC  
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe %~L>1ShtU  
      新键值 : 字串 : @="WindowFiles" AjcX		N  
      原键值 : 字串 : @="exefile"     U*Ge<(v$  
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ k.("3R6v:  
      shell\open\command  r.3/F[.  
     新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ xh7c VE[UM  
     inexplore.com" %1"  ,@1p$n  
     原键值 : 字串 : @=""C:\Program Files\Internet t!*+8Q!e  
     Explorer\iexplore.exe" %1"  ];.pK  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 8Ac)'2t;U  
     {871C5380-42A0-1069-A2EA-08002B30309D}\ g?-lk5  
     shell\OpenHomePage\Command  zi`b2h  
     新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 	M@ed>.  
     inexplore.com""  5N%93{L  
     原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ )*4fzo  
     iexplore.exe"  |D, +P  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command  DXz}YIEC  
     新键值 : 字串 : @="%SystemRoot%\EXP10RER.com"  !vG'J\*xc  
     原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe"  ml \4xp,  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command  mM`wITy  
     新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE *OuStr \o  
     NETSHELL.DLL,InvokeDunFile %1"  :Ad&$eg+  
     原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE X]\	\,  
     NETSHELL.DLL,InvokeDunFile %1"  PaV-F_2  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command  EEGy!bff  
     新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 5:'hj$~|\1  
     inexplore.com" %1"  V(Ub!n:j  
     原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ iD<(b`S  
     iexplore.exe" %1"  W5SJ^,d)J  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command  E b=}FuV  
     新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ v\p;SwI  
     inexplore.com" -nohome"  H54R8O$  
     原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ /_`lz^  
     iexplore.exe" -nohome"  um9_ru~  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ 5nsq[Q`  
     command  v{}#?=I5  
     新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif""  7Hm3;P.  
     原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ *Z|y'<s  
     iexplore.exe""  <~ Sz04  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ jQ:OKh<Y  
     command  hWX%	66  
     新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ N!g9*Z  
     mshtml.dll,PrintHTML "%1"" m=YU2!Mb  
     原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ rF]h$Z8o  
     mshtml.dll, PrintHTML"%1"  r/SG 4  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command \hB5@e4i2  
     新键值 : 字串 : @=""C:\Program Files\common~1\ ?M[ A7?  
     inexplore.pif" -nohome"  Q[nEsYP  
     原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ )I3NeKWz  
     iexplore.exe" -nohome" LqA@&H  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ rwGKfoKI  
     command  j$+nKc$  
     新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe  7}X[
4("bB  
     setupapi,InstallHinfSection DefaultInstall 132 %1"  t+eVR8  
     原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe  ]MxC_V+P`  
     setupapi,InstallHinfSection DefaultInstall 132 %1"  )b:7-}d  
     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ p\bDY  
     command  /n>qCuw  
     新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe #FNcF>3>  
     %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"  1PpyV f  
     原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe  }I
:OsAw  
     %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" ~J P=T  
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ $C	`;fA  
     CurrentVersion\Winlogon  (;q;E\Ejq  
     新键值 : 字串 : "Shell"="explorer.exe 1"  >/8y GBD  
     原键值 : 字串 : "Shell"="Explorer.exe" %HL*c=  
  B&@?*^.