[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 cj#.
Oaeq*  
=%[vHQ\%  
清除方案： m^tf=O<  
%~lTQCPE  
(1) 首先关闭病毒进程 zmFKd5  
3JF" O+@  
(2) 删除病毒文件： UH5A;SrTqR  
O;(
n[k  
~Hb0)M@y7  
　　　　　c:\Program Files\Common Files\inexplore.pif ZJjm r,1  
　　　　　c:\Program Files\Internet Explorer\inexplore.com Vk1 c14i>  
　　　　　%windir%1.com `@<)#9'A  
　　　　　% windir%\Debug\DebugProgram.exe h4~VzCR4x\  
　　　　　% windir%\exerouter.exe 5
F 8'f)  
　　　　　% windir%\EXP10RER.com %=vU Z4  
　　　　　% windir%\finders.com iVM% ]\  
　　　　　% windir%\Shell.sys O&dh<  
　　　　　%system32%\smss.exe W#x~x|(c  
　　　　　%system32%\dxdiag.com HJe6h. P  
　　　　　%system32%\MSCONFIG.COM Fa X3@Sd!  
　　　　　%system32%\regedit.com 0v3
8LBH)  
　　　　　%system32%\rund1132.com '|yBz1uL  
j4(f1  
VY!A]S"  
IfCa6g<&(  
0A75)T=lQ  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： Bthp_cSmLs  
?y[i6yN9  
4(8BWP~.y2  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ O<?.iF%  
　　　　　CurrentVersion\Run 7VfPS5se  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" U\"FYTC  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main v dU)
  
　　 　　 键值 : 字串 : "Check_Associations"="No" o
fCN[u  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： pEG!j ~  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew srS5-fs  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe ,esUls'nz'  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" [O3)s]|  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ z{U^j:A
 
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, % )}rQqQ  
　　　　　Briefcase_Create %2!d! %1" (/_w23rr  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe [](] "r  
　　 　　 新键值 : 字串 : @="WindowFiles" C'joJEo  
　　 　　 原键值 : 字串 : @="exefile"　　　　 O F?o  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ ^`9O$.'@  
　　 　　 shell\open\command .H86f !=  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ A] f^9F@  
　　　　　inexplore.com" %1" H+N6VVnO  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet wJWofFz  
　　　　　Explorer\iexplore.exe" %1" B(R$5Xp  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ -JdNA2P  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ h,i=Y+1  
　　　　　shell\OpenHomePage\Command 2)|G%f_lS  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ Okd7ua-f  
　　　　　inexplore.com"" *
UdP1?Y  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ p2wDk^$  
　　　　　iexplore.exe" )JR&  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command =$< .:b  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" }I~)o!N%7  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" R'B-$:u  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command $69d9g8-(!  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE p!`S]\XEB  
　　　　　NETSHELL.DLL,InvokeDunFile %1" D+4$l+\u  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE G,@Jo[e  
　　　　　NETSHELL.DLL,InvokeDunFile %1" /+
?eSgM/  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command kclZ+E  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ iGIry^D  
　　　　　inexplore.com" %1" Rw`64L_
  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ wG&rkg";#  
　　　　　iexplore.exe" %1" <im<0;i&e  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command 3'tq`t:SQ  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ e,@5`aYHM@  
　　　　　inexplore.com" -nohome" bxAHzOB(\  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 7$JE+gL/7  
　　　　　iexplore.exe" -nohome" {$_Gjv  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ .oe\wJS6  
　　　　　command 2<uBC  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" 8qv>C)~~
`  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ |I=GI]I  
　　　　　iexplore.exe"" 7n'Ww=ttI  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ %u*H
No  
　　　　　command G~zP&9N|  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ slG%o5|m  
　　　　　mshtml.dll,PrintHTML "%1"" Vx=tP.BO]  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ qfgw^2aUa  
　　　　　mshtml.dll, PrintHTML"%1" wF{M"$am  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command LcmZ"M6  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ 8 v<*xy  
　　　　　inexplore.pif" -nohome" ce1U}">11
 
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ -nGLmMvd  
　　　　　iexplore.exe" -nohome" P,K^oz}  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ EnYEAjX  
　　　　　command ^-qz!ib  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe F<Z13]|  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" idY Xv)R  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe +-MieiKv  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" ;^so;>F  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ 8MBvp*  
　　　　　command ?l](RI   
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe xPP]RoPR  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" a}kPc}n\  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe 3q0S}<h al  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" #i-b|J+%  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ U{8x.
CJ]  
　　　　　CurrentVersion\Winlogon 7m;<b$  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" )xYGJq4  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" 0 TOw4pC  
vH>s2\V"