[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 d&4ve Lu  
NQz*P.q  
清除方案： )=;GQ*<8Zs  
Wf/r@/q  
(1) 首先关闭病毒进程 f_Ma~'3  
dKTyh:_{  
(2) 删除病毒文件： V zuW]"  
:m]~o3KRy  
f6vhW66:?x  
　　　　　c:\Program Files\Common Files\inexplore.pif #<s6L"Z-  
　　　　　c:\Program Files\Internet Explorer\inexplore.com 2-728  
　　　　　%windir%1.com ukpbx;O:hc  
　　　　　% windir%\Debug\DebugProgram.exe [Ul"I-K  
　　　　　% windir%\exerouter.exe "s]r"(MX  
　　　　　% windir%\EXP10RER.com T\I}s"d  
　　　　　% windir%\finders.com 3)88B"E  
　　　　　% windir%\Shell.sys g>-pC a  
　　　　　%system32%\smss.exe 3O7]~5 j1  
　　　　　%system32%\dxdiag.com pYf57u  
　　　　　%system32%\MSCONFIG.COM S[JeW  
　　　　　%system32%\regedit.com 3u#bx1  
　　　　　%system32%\rund1132.com U$v|c%6  
CuC1s>  
 a?S5 =  
E-IVv  
N;4bEcWjp  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： nF>41 K  
3.@"GS#"[  
m0QE S  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ )UbPG`x8  
　　　　　CurrentVersion\Run TwlX'iI_;  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" 7'Z-VO  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main YbtsJ <w  
　　 　　 键值 : 字串 : "Check_Associations"="No" g xY6M4  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 3}dTbr4y  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew VK*Dm:G0  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe waI?X2  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" [p3{d\=*?  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ .a2b&}/.d  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, 
?lq  
　　　　　Briefcase_Create %2!d! %1" B|pO2de  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 5;'(^z-bL  
　　 　　 新键值 : 字串 : @="WindowFiles" VzfaUAIZl  
　　 　　 原键值 : 字串 : @="exefile"　　　　 h ` qlI1]  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ fh_+M"Y0`  
　　 　　 shell\open\command \c}_!.xj"  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ N8x[8Rp  
　　　　　inexplore.com" %1" k%uR!cL  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet xfoQx_]$Im  
　　　　　Explorer\iexplore.exe" %1" p 4_j>JPv5  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ ~MWI-oK  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ #lAC:>s3U  
　　　　　shell\OpenHomePage\Command uN>JX/-  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ oCfO:7  
　　　　　inexplore.com"" 94^)Ar~O
 
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ T5nBvSVv'  
　　　　　iexplore.exe" 9gq+,g>E_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command #1*
#3p9UL  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" [wU e"{  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" ,ZGU\t  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command V=^B7a.;>  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE U\*]cw  
　　　　　NETSHELL.DLL,InvokeDunFile %1" VyX5MVh  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 6$CwH!42F  
　　　　　NETSHELL.DLL,InvokeDunFile %1" Jq>rA  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command Z$?(~ln  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ F+o4f3N  
　　　　　inexplore.com" %1" %,T=|
5  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ M[ {O%!  
　　　　　iexplore.exe" %1" WC0z'N({W  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command Kb
X&E0  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ M~%P1@%  
　　　　　inexplore.com" -nohome" m`i_O0T  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 88Nx/:#Y*  
　　　　　iexplore.exe" -nohome" '8J!(+  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ YRg"{[+#]k  
　　　　　command <OY (y#x  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" [|".j#ZlK  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ $%B
I8_  
　　　　　iexplore.exe"" <W] RyEg`  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ o|:c{pwq  
　　　　　command nTsKJX%\  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ Pi+p
QFz5  
　　　　　mshtml.dll,PrintHTML "%1"" %
k%%3L,  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ wZ4w`|'  
　　　　　mshtml.dll, PrintHTML"%1" WwsH7X)  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command >|X )  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ )]}G
8A  
　　　　　inexplore.pif" -nohome" D:] QBA)C  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ wE[gp+X~  
　　　　　iexplore.exe" -nohome" yPrF2@#XZ/  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ Sq&r ;  
　　　　　command ?f}?I`S,  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe J':X$>
E|  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" r[?GO"ej5  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe $
RH.  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" _(zZrUHB  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ YMN=1Zuj?  
　　　　　command fj|b;8_}l  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe |`ya+/ff+  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" ?(Se$iTZ  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe OZc4 -5  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" }y%c.  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ 8)lrQvZ  
　　　　　CurrentVersion\Winlogon apOXcZ  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" :Kmn
wYm  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" &(7=NAQsE  
dI%?uk