[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 IVAmV!.z  
2AO~HxF  
清除方案： 'a\%L:`  
G}ob<`o|"  
(1) 首先关闭病毒进程 >8qQK r\"  
@CZT  
(2) 删除病毒文件： E:
$P=%b  
Lcg)UcB-#  
-T[lx\}  
　　　　　c:\Program Files\Common Files\inexplore.pif yL2o}ZbS  
　　　　　c:\Program Files\Internet Explorer\inexplore.com F)'.g d  
　　　　　%windir%1.com 0a-0Y&lQm  
　　　　　% windir%\Debug\DebugProgram.exe Stu4t==U  
　　　　　% windir%\exerouter.exe \uza=e  
　　　　　% windir%\EXP10RER.com ,v';>.]  
　　　　　% windir%\finders.com $**r(HV  
　　　　　% windir%\Shell.sys v33dxZ'  
　　　　　%system32%\smss.exe 1ke g
9]  
　　　　　%system32%\dxdiag.com LQngK7>  
　　　　　%system32%\MSCONFIG.COM 8q,6}mV  
　　　　　%system32%\regedit.com <cqbUL  
　　　　　%system32%\rund1132.com A*}.EClH  
Dk(1}%0U/  
>JC
  
{ZI)nQ{  
^]W<X"H+Z  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： {6_|/KE9_  
--|Wh^i>?  
Zw ^kmSL"  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ !AKg m'Nw  
　　　　　CurrentVersion\Run 3G`aHTWk  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" z6w3"9Um  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main M>i9i-dU  
　　 　　 键值 : 字串 : "Check_Associations"="No" >76\nGO  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： VBcy9|lD  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew OeS\7  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe  ng_^  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" o!{w"K  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ 2M68CE  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, Q2F+?w;,  
　　　　　Briefcase_Create %2!d! %1" o'f?YZ$.  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe t ]_VG  
　　 　　 新键值 : 字串 : @="WindowFiles" Pyb Z)5u  
　　 　　 原键值 : 字串 : @="exefile"　　　　 LRb{hUt=  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ TiO"xMX  
　　 　　 shell\open\command jN6uT&{T  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ "6us#T  
　　　　　inexplore.com" %1" FMClSeO7  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet S=e{MI  
　　　　　Explorer\iexplore.exe" %1" uoX:^'q   
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ y6[IfcN  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ a6WI170^1  
　　　　　shell\OpenHomePage\Command Z`KC%!8K  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ Nz],IG.  
　　　　　inexplore.com"" RWgNo#<  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ t 0|
!(3  
　　　　　iexplore.exe" oIb|*gX^  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command fM^qQM[lG  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" PSZL2iGj9V  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" zY('t!u8  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command WqXbI4;pJ  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE H=Y{rq@  
　　　　　NETSHELL.DLL,InvokeDunFile %1" :=\Hoz  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE E~gyy]8&  
　　　　　NETSHELL.DLL,InvokeDunFile %1" f,:9N5Z  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command Ire\i7MF:  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ Z3&_  
　　　　　inexplore.com" %1" w &(|e <  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ f=mZu1(FZ  
　　　　　iexplore.exe" %1" 2|}+T6_q  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command Q^e}?v%=%3  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 5Drq
9B9;  
　　　　　inexplore.com" -nohome" 6T#+V37  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ -Ty*aov  
　　　　　iexplore.exe" -nohome" D~$r\]av  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ #R.-KUW:  
　　　　　command }#Qc \eud  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" .[JYj(p  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Bb}fj28  
　　　　　iexplore.exe"" A3iFI9Iv  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ HFaj-~b  
　　　　　command "huFA|`  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ dK2p7xo  
　　　　　mshtml.dll,PrintHTML "%1"" 4
*cU<  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ B3 5E8/  
　　　　　mshtml.dll, PrintHTML"%1" m/y2WlcRx  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command li 6%)  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ }` != m  
　　　　　inexplore.pif" -nohome" JAX*hGhkh  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ A?t%e  
　　　　　iexplore.exe" -nohome" ?`#/ 8PN  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ ,}))u0q+:  
　　　　　command 5yiK+-iTs  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe KjE+QUa  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" Y~(Md@!0S  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe <c,u3cp  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" DFd%9*N  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ NF0%}II&xK  
　　　　　command o)2W`i&  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe \DD0s8  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" thvYL.U:  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe Hqn#yInA7~  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" rjPL+T_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ +[tE^`-F  
　　　　　CurrentVersion\Winlogon v>-VlQ  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" CCWg{*og  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" `/ q|@B7  
,J{ei7TN