[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 K_%gda|l+  

|%@pjJ`3  
清除方案： yM*_"z!L  
Rbcu5.6  
(1) 首先关闭病毒进程 H@'u$qr$:  
~:99 )AOM  
(2) 删除病毒文件： O@a7MzJ  
O+t'E9Fa  
Iz8gZ:rd0  
　　　　　c:\Program Files\Common Files\inexplore.pif iN
1_T  
　　　　　c:\Program Files\Internet Explorer\inexplore.com ijmGk:L(  
　　　　　%windir%1.com mXI'=Vo!S  
　　　　　% windir%\Debug\DebugProgram.exe @4Lol2  
　　　　　% windir%\exerouter.exe yC7lR#N8j0  
　　　　　% windir%\EXP10RER.com *fI\|%K  
　　　　　% windir%\finders.com
n( zzH
  
　　　　　% windir%\Shell.sys t@jke  
　　　　　%system32%\smss.exe u<EPK*O*  
　　　　　%system32%\dxdiag.com L=&}s[5  
　　　　　%system32%\MSCONFIG.COM ; jrmr`l=  
　　　　　%system32%\regedit.com n&8SB'-r  
　　　　　%system32%\rund1132.com !:a^f2^=  
m2[J5n?zLL  
JvYs6u  
gnlU  
;&XC*R+  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： i<*W,D6  
meZZQ:eSl  
c9Q_Qr0'  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ .gY=<bG/fA  
　　　　　CurrentVersion\Run 2:&L|;  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" xXCsJ9]  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main ne%(`XY{Q]  
　　 　　 键值 : 字串 : "Check_Associations"="No" 0F6~S   
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： P?+ VR=t  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew r%%@~ \z  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe @ssT$#)$!  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" ]>[0DX]j  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ j+Q+.39s-~  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, XQZiJ %'  
　　　　　Briefcase_Create %2!d! %1" c|X}[  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe Q}#xfrprF  
　　 　　 新键值 : 字串 : @="WindowFiles" y<PQ$D)  
　　 　　 原键值 : 字串 : @="exefile"　　　　 zA|)9Dq  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ 6 2t9SY  
　　 　　 shell\open\command !J[!i"e  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 3\K;y>NK  
　　　　　inexplore.com" %1" e8{!Kjiz  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet oE)xL%*  
　　　　　Explorer\iexplore.exe" %1" %$=2tfR  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ fni7HBV?  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ szp.\CMz  
　　　　　shell\OpenHomePage\Command J:G{  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ W&7(  
　　　　　inexplore.com"" eQ<GNvm  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ yh{U!hG  
　　　　　iexplore.exe" AsR}qqG  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command Wz;@Rl|F  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" y 7z)lBy\  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" %`lLX/4~  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command x M{SFF  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 6uxF<  
　　　　　NETSHELL.DLL,InvokeDunFile %1" M|7][!<G!  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE )NO,G  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 4)Ew rU  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command l7U<]i GL  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ YMj iJTl  
　　　　　inexplore.com" %1" TWdhl9Ot  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Bnw^W_  
　　　　　iexplore.exe" %1" )lP(isFP  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command (&M,rW~Qxs  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ bjq.nn<=  
　　　　　inexplore.com" -nohome" ps*iE=D  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ={50>WXE  
　　　　　iexplore.exe" -nohome" G`f|#-}  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ ?O0,)hro  
　　　　　command $g\p)- aU  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" eF?jNO3  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ t-SZBNb  
　　　　　iexplore.exe"" 3&R1C>JS ]  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ WLH ;{  
　　　　　command 4@0Z<8Mo  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ CIz_v.&:  
　　　　　mshtml.dll,PrintHTML "%1"" SVPksr  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ h~q5GhY!9  
　　　　　mshtml.dll, PrintHTML"%1" ]'Gz~Z%>F  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command Mtn{63cK  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ RY\0d
v>  
　　　　　inexplore.pif" -nohome" =FQH5iSd  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ :\^jIKvZ  
　　　　　iexplore.exe" -nohome" k<RaC=   
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\
#;h> x  
　　　　　command M$} AJS%8  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe kJ)Z{hy  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 67U6`
9d  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe )U{\c
2b  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" $5DlCN  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ I")mg~f  
　　　　　command g|j15&x  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe {uxTgX  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" W)L*zVj~  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe [4+I1UR`  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" $Qxy@vU  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ eKRE1
DK  
　　　　　CurrentVersion\Winlogon m14'u GC  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" +mYK  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" (/ -90u  
x#hSN|'"