[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 ZJeTx.Gi6  
!mLD`62.  
清除方案： 1xF<c<  
Z$&i"1{  
(1) 首先关闭病毒进程 dJYQdo^X  
Bm&%N?9  
(2) 删除病毒文件： X9xXL%Q  
!mtq?LV  
Rr0@F`"R  
　　　　　c:\Program Files\Common Files\inexplore.pif PK7 kpC  
　　　　　c:\Program Files\Internet Explorer\inexplore.com %.3]F2_Q  
　　　　　%windir%1.com IoI ,IX]i)  
　　　　　% windir%\Debug\DebugProgram.exe jQLiqi`  
　　　　　% windir%\exerouter.exe %.+#e  
　　　　　% windir%\EXP10RER.com "Ooc;xD3<  
　　　　　% windir%\finders.com (aa}0r5  
　　　　　% windir%\Shell.sys AyUiX2=w1  
　　　　　%system32%\smss.exe 3Az7urIY  
　　　　　%system32%\dxdiag.com !1s^TB>N  
　　　　　%system32%\MSCONFIG.COM Rh.CnCbM  
　　　　　%system32%\regedit.com 5,n{-V  
　　　　　%system32%\rund1132.com m:A1wL4c6  
hB:}0@l6p=  
aE'nW@YL
.  
GDMg.w4Yk  
%Yi^{ZrM  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： pg;y\}  
y@?t[A#v  
:-Al}7  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Z?}yPsOb  
　　　　　CurrentVersion\Run f.cQp&&]r  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" a6&+>\o  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main %W[#60  
　　 　　 键值 : 字串 : "Check_Associations"="No" O3>m,v  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： TUaW'  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew "X7;^yY  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe Q lg~S1D_v  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" C0bOPn  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ %m5&U6  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, I/ q>c2Pw$  
　　　　　Briefcase_Create %2!d! %1" 'eRJQ*0F  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe %Qc5_of  
　　 　　 新键值 : 字串 : @="WindowFiles" #^FDFl  
　　 　　 原键值 : 字串 : @="exefile"　　　　
B}YpIb]d  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ ozr82  
　　 　　 shell\open\command |`50Tf\J  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ u^!c:RfE?  
　　　　　inexplore.com" %1" 861!p%y5  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet [c=T)]E1  
　　　　　Explorer\iexplore.exe" %1" n6f  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ @h&crI[c  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ ?UPZ49y  
　　　　　shell\OpenHomePage\Command KNw{\Pz~w  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ @Ht7^rz+S  
　　　　　inexplore.com"" :J{| /"==  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ H^<LnYZ  
　　　　　iexplore.exe" 609_ZW;)  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 5lc%GJybV  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" FNyr0!t,  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" Bh\>2]~@a  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command ;HPQhN_  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE <7;AK!BH  
　　　　　NETSHELL.DLL,InvokeDunFile %1" !PIpvx{aX  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE )GpH5N'EI  
　　　　　NETSHELL.DLL,InvokeDunFile %1" z:_o3W.E  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command U=a'(fX  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ g;Lk 'Ky6  
　　　　　inexplore.com" %1" j$z<
wR7j0  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ '.mHx#?7  
　　　　　iexplore.exe" %1" V>YZ^>oeH  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command Ym WVb  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ;HOOo>%_K  
　　　　　inexplore.com" -nohome" %di]1vQ  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ zL<<`u?  
　　　　　iexplore.exe" -nohome" [4_JK  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ ;F;"Uw  
　　　　　command JGB 9Z   
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" 1Y-m=~J7  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ wCwJ#-z.=  
　　　　　iexplore.exe"" C25r3bj  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ mx'!I7b(L/  
　　　　　command Qmk}smvH  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ cxNb!G  
　　　　　mshtml.dll,PrintHTML "%1"" ba-J-G@YW  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ P})Iwk|Z  
　　　　　mshtml.dll, PrintHTML"%1" 8<VO>WA>E  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command L:(>O
N  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ F{g^4  
　　　　　inexplore.pif" -nohome" {4@+ 2)l  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ LXm5f;  
　　　　　iexplore.exe" -nohome" d\R]>  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ w!=Fi  
　　　　　command p? dXs^ c  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe I,:R~^qJ8v  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" G q" [5r"  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe EPZ^I)  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" FccT@,.F  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ .Kn)sD1  
　　　　　command x'.OLXx>  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe
b"t<B2N  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" H)Zb_>iV  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe g@<E0 q&`$  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" bHi0N@W!vG  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ oBm^RHTZ  
　　　　　CurrentVersion\Winlogon z/,qQVv=}4  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" 1ud+~y$K  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" NiCH$+c\  
WI?iz-,](