[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 Cv~hU%1T  
`_'Dj>  
清除方案： Uu X"AFy~\  
s4$m<"~  
(1) 首先关闭病毒进程 S<_pGz$V  
9Bk}g50$#  
(2) 删除病毒文件： be/1-=m  
n`}&,UA$4  
N 9&@,3  
　　　　　c:\Program Files\Common Files\inexplore.pif :b;1P@W<  
　　　　　c:\Program Files\Internet Explorer\inexplore.com NACY;XQ%  
　　　　　%windir%1.com 5dp#\J@  
　　　　　% windir%\Debug\DebugProgram.exe "J5Pwvs-  
　　　　　% windir%\exerouter.exe GF!{SO4  
　　　　　% windir%\EXP10RER.com GnOo+hB  
　　　　　% windir%\finders.com v,+l xY  
　　　　　% windir%\Shell.sys h<K;VpL6  
　　　　　%system32%\smss.exe N ]7a=  
　　　　　%system32%\dxdiag.com zsXH{atY  
　　　　　%system32%\MSCONFIG.COM a1`cI5
n  
　　　　　%system32%\regedit.com .:ZXtU  
　　　　　%system32%\rund1132.com &iOtw0E  
Hm*vKFhz  
L||yQH7n  
ZY!pw6R1>*  
02^(z6K'&?  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： 1:!rw,Jzl`  
I=%sDn  

4@e!D Du  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ [T}]Ma*CS  
　　　　　CurrentVersion\Run =+h!JgY/L  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" rgzI  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main dO4#BDn"=  
　　 　　 键值 : 字串 : "Check_Associations"="No" ]0i2]=J&,  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： pmyM&'#Id  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew Au._n,<  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe +@uC:3jM  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" >
v_5xd9  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ thPH_DW>eb  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, !;*2*WuO;  
　　　　　Briefcase_Create %2!d! %1" ,*Z[P%<9  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe WJU NJN  
　　 　　 新键值 : 字串 : @="WindowFiles" OPY/XKyY,  
　　 　　 原键值 : 字串 : @="exefile"　　　　 'HWgvmw(  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ bus=LAJt=  
　　 　　 shell\open\command _ 1{5~  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 0bxvM  
　　　　　inexplore.com" %1" ,okJ eZ  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet .&x?`pER  
　　　　　Explorer\iexplore.exe" %1" -mHhB(Td'  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ [a)~Dui0@\  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ +R#`j r"  
　　　　　shell\OpenHomePage\Command ptcLJ]+)  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 8*#][wC2  
　　　　　inexplore.com"" ]az} n(B,  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ ,L{o,qzC  
　　　　　iexplore.exe" b#;N!VX
 
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command \Tf{ui  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" UeQ9G  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" D'[P,v;Q  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command _Q}RElA  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE 9;Pu9s[q2  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ls"\YSq$  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE V=4u7!ha  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ;k&k#>L!K  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command #Wm@&|U  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ROt0<^<  
　　　　　inexplore.com" %1" vx5o k1UY  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ tbzvO<~  
　　　　　iexplore.exe" %1" q\b ?o!#_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command ,o>pmaoLs  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ eN<pU%7  
　　　　　inexplore.com" -nohome" \m~\,em  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ v6P~XK}G  
　　　　　iexplore.exe" -nohome" R`C_CsXir  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ "">fn(  
　　　　　command %cr]ZR  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" PDq}Tq  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 8P<UO  
　　　　　iexplore.exe"" 9MtJo.A  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ /IJ9_To  
　　　　　command 88np/jvC{  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ -KwL9J4u  
　　　　　mshtml.dll,PrintHTML "%1"" aBVEk2 p  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 3@
F+E\k  
　　　　　mshtml.dll, PrintHTML"%1" c7l!G~yx'  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command So\|Ye  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ X|damI%  
　　　　　inexplore.pif" -nohome" !Zyx$2K  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ e7bT%h9i  
　　　　　iexplore.exe" -nohome" &^3~=$   
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ ?` eYWZ">  
　　　　　command 9{UP)17  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe ptWG@"j/b  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" BtpjQNN  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe x:n9dm  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1"
 TCKI  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ 2.Eu+*UC  
　　　　　command kJvy<(iG  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe ngkeJ)M0$  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" '^F|k`$r  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe \;B$hT7z*  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" Q 9gFTLQ  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ (:y,CsR}4  
　　　　　CurrentVersion\Winlogon }Uwkef.Q  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" 27*(oT  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" 1Oca@E\Z.  
^Azt.\fMX