Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身,生成14个病毒文件;修改注册表,添加启动项,以达到随机启动的目的;将IE更改为非默认浏览器;修改大部分文件的启动方式,和文件关联,并创建新的文件类型。 MdLj,1_T
P1$f}K}
清除方案: M\I_{Q?_
fH&zR#T7U4
(1) 首先关闭病毒进程 ubD#I{~J
OthG7+eF
(2) 删除病毒文件: 61G|?Aax
-H4PRCDH
JW-|<CJ
c:\Program Files\Common Files\inexplore.pif k@7kNMl
c:\Program Files\Internet Explorer\inexplore.com !!9{U%s
%windir%1.com .-J`d=Krp
% windir%\Debug\DebugProgram.exe 8`a,D5U:
% windir%\exerouter.exe S3; lKr
% windir%\EXP10RER.com L+Eu
d
% windir%\finders.com 9wzwY[{
% windir%\Shell.sys !`Le`c
%system32%\smss.exe b"^\)|*4;
%system32%\dxdiag.com Xp#~N_S$
%system32%\MSCONFIG.COM fa"\=V2S
%system32%\regedit.com ZH% we
%system32%\rund1132.com v< Ty|(gd
K@HLIuz4t
W.IH#`-9E
Vw7WK
O
/vWd"
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项: @#A!w;bz
T=.-Cl1A
UBa-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ bZu$0IG
CurrentVersion\Run L,6MF,vx
键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" 6I"C~&dt
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main ad9EG#mD#
键值 : 字串 : "Check_Associations"="No" f:S}h-AL&
恢复注册表原键值(如果有组册表备份可以直接将其导入): Trpgx
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew )x)gHY8;
新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe ,|A{!j`
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" $<:'!#%
原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ vpi l$Uq
rundll32.exe %SystemRoot%\system32\syncui.dll, &