[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 `V&1]C8x  
~{4n}*  
清除方案： PUP"ky^q"  
e"fN~`NhY  
(1) 首先关闭病毒进程 "!%wh6`>Md  
tyEPU^PM  
(2) 删除病毒文件： I/O
n3"U%  
#v4LoNm  
sTtX$&Qu  
　　　　　c:\Program Files\Common Files\inexplore.pif )u8*zwq  
　　　　　c:\Program Files\Internet Explorer\inexplore.com W|25t)cJ8h  
　　　　　%windir%1.com ^sifEgG*d  
　　　　　% windir%\Debug\DebugProgram.exe Qz@IK:B}  
　　　　　% windir%\exerouter.exe ?< cM^$lI>  
　　　　　% windir%\EXP10RER.com @~k5+Z  
　　　　　% windir%\finders.com 6Wpxp\  
　　　　　% windir%\Shell.sys WR/o @$/  
　　　　　%system32%\smss.exe V#0 dGP-Z  
　　　　　%system32%\dxdiag.com U@6jOZ  
　　　　　%system32%\MSCONFIG.COM PS=e\(6QC  
　　　　　%system32%\regedit.com #wenX$UTh3  
　　　　　%system32%\rund1132.com UvxSMD:A  
qKdS7SoS  
N0Efw$u  
Vi|7%!j<  
H
Dmx@E.@  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： M18qa,fK{  
+Edzjf~Tt  
9u,8q:I.?  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ G'f9N^w  
　　　　　CurrentVersion\Run w66v\x~  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" u8YB)kG  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 7tSJniB  
　　 　　 键值 : 字串 : "Check_Associations"="No" /O|:{LQ  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： )Hbb&F  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew ~|r~N
O 7[  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe mn]-rTr  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" t;8\fIW5  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ Al7<s  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, [o2w1R\H+x  
　　　　　Briefcase_Create %2!d! %1" d2rL 8jW  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 0"EoC  
　　 　　 新键值 : 字串 : @="WindowFiles"
XTJvV  
　　 　　 原键值 : 字串 : @="exefile"　　　　 vSOT*0r  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ 01udlW.  
　　 　　 shell\open\command bfgz1 `u  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ ao#!7F  
　　　　　inexplore.com" %1" OAv>g pw  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet `SV"ElRV  
　　　　　Explorer\iexplore.exe" %1" Sd},_Kh  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ /X4yB"J>  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ zfhTc=(/  
　　　　　shell\OpenHomePage\Command v`JF\"}S  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ N.Dhu~V  
　　　　　inexplore.com"" *E:x E/M!2  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ }e<'BIME  
　　　　　iexplore.exe" }N3V
5cab  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 3bC+Mco  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" ><;Q@u5~  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" GCT@o!  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command D+Cm<ZT~  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 5h0>!0  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 5m4DS:&  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE !(Krf  
　　　　　NETSHELL.DLL,InvokeDunFile %1" b"``D ?  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command KP3n^ $~  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ x97L6!  
　　　　　inexplore.com" %1" W9Nmx3ve  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ JqEW=5  
　　　　　iexplore.exe" %1" u~W{RHClW  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command -G9|n#zCU  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ G.g|jP'n  
　　　　　inexplore.com" -nohome" iq?l#}]  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ y&"!m}  
　　　　　iexplore.exe" -nohome" n~tqO!q  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ $X*mdji  
　　　　　command oid[syPB  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" $;2)s}ci  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ rK7W(D
}  
　　　　　iexplore.exe"" $I@GUtzjp  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ ,CciTXf  
　　　　　command z}ElpT[(;  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ 0DNU,u  
　　　　　mshtml.dll,PrintHTML "%1"" z8HsYf(!  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 9R p2W  
　　　　　mshtml.dll, PrintHTML"%1" )MZC>
:  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command !VwmPAMr#v  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ y4@gGC=  
　　　　　inexplore.pif" -nohome" $Pxb1E  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ d?A}qA[(  
　　　　　iexplore.exe" -nohome" -v+&pG?m  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ B5ea(j  
　　　　　command fW?
sYC'  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe  ~,"N[Q  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" j!\dn!Xwt  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe ?}}qu'N:N  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" $5AC1g'  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ c%z'xM  
　　　　　command 8d!GZgC8R  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe !aPD}xCH#  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" o}8I_o&]U  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe BkawL,  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" vE%s,E,  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ ~6`iY@)  
　　　　　CurrentVersion\Winlogon *5k+t  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" FJeiY#us  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" gAt~?HvW6  
AF}gSNX