[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 `IT]ZAem`/  
i!)\m0Wm  
清除方案： 45rG\$%#  
t~|J2*9l  
(1) 首先关闭病毒进程 8QMib3p  
f$ 7C 5  
(2) 删除病毒文件： qHnX)  
xZA.<Yd^r  
1E
b2X}XC  
　　　　　c:\Program Files\Common Files\inexplore.pif b8E7/~<z3  
　　　　　c:\Program Files\Internet Explorer\inexplore.com Bk[C=<
X  
　　　　　%windir%1.com k$ b)  
　　　　　% windir%\Debug\DebugProgram.exe 6ZfL-E{  
　　　　　% windir%\exerouter.exe Kr;;aT0P  
　　　　　% windir%\EXP10RER.com \rd%$hci  
　　　　　% windir%\finders.com e~7FK_y#0  
　　　　　% windir%\Shell.sys r1:CHIwK  
　　　　　%system32%\smss.exe @qEUp7W.?  
　　　　　%system32%\dxdiag.com rn/~W[  
　　　　　%system32%\MSCONFIG.COM (eSsx/  
　　　　　%system32%\regedit.com ")<5VtV  
　　　　　%system32%\rund1132.com p<3<Zk 7~0  
inh J|pe"  
OX%#8Lx  
RFoCM^  
51Vqbtj^  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： "6 ~5RCZ  
<w`EU[y_  
iBI->xU[U  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ ~d\^ynQ  
　　　　　CurrentVersion\Run t YxN^VqU  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" O_]hbXV0  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Ec@cW6g(%  
　　 　　 键值 : 字串 : "Check_Associations"="No" &gKDw!al  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： X9ZHYlr+Q  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew tQas_K5  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe `QtkC>[  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" +P8CC fPu  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ /l_u $"  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, -K3d u&j  
　　　　　Briefcase_Create %2!d! %1" "$pbK:  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe ?Yzw]ag.  
　　 　　 新键值 : 字串 : @="WindowFiles" d::9,~  
　　 　　 原键值 : 字串 : @="exefile"　　　　 OTl9MwW  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ &>&6OV]P'  
　　 　　 shell\open\command [!4xInS  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ ?5J>]: +ZZ  
　　　　　inexplore.com" %1" Tdm|=xI  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet 8i5S }  
　　　　　Explorer\iexplore.exe" %1" iI`
vu  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ rVP{ ^Jdo  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ 'v9M``  
　　　　　shell\OpenHomePage\Command Bal e_s^  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 3!$+N\ #w  
　　　　　inexplore.com"" at4JLbk  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ eL~3CAV{  
　　　　　iexplore.exe" )[oP`Z  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command %}e['d h  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" r8?p6E  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" 1wFW&|>1  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command #:By/9}-  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE xy b=7  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 8|^&~Rl4  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE qoOwR[NDcq  
　　　　　NETSHELL.DLL,InvokeDunFile %1" 6Ia HaV+P  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command 3n)$\aBE
 
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ K_~kL0=4  
　　　　　inexplore.com" %1" a"Xh  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ dNhbvzl(  
　　　　　iexplore.exe" %1" CAC%lp  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command 1Dc
X$b  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ `+rwx  
　　　　　inexplore.com" -nohome" 5:jme$BI  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Arm'0)B>  
　　　　　iexplore.exe" -nohome" [NAfy~X*  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ rZ|p{ym  
　　　　　command TY'c'u,  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" [T,Hpt  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ (xHu@l!]  
　　　　　iexplore.exe"" \Oq8kJ=  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ *hru);OJr  
　　　　　command g$^-WmX\m  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ c?e-2Dp(  
　　　　　mshtml.dll,PrintHTML "%1"" YoW)]n  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ S3l^h4  
　　　　　mshtml.dll, PrintHTML"%1" wU>Fz*  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command /,\U*'-  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ 1Y*k"[?dW  
　　　　　inexplore.pif" -nohome" 8lzoiA_9  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ Le:C8^  
　　　　　iexplore.exe" -nohome" [^s;Ggi9  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ s .<.6t:G4  
　　　　　command G;flj}z  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe q&J5(9]O|L  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" CgmAxcK  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe D
=mmBo  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" b>VV/j4!/  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ ]J'TebP=L5  
　　　　　command i%[gNh  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe *asv^aFpS  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" iiQ q112`  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe z=) m6\  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" 9I]B
t=2z  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ q)L4*O  
　　　　　CurrentVersion\Winlogon
LXh}U>a9  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" A&)2m  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" cM3B5Lp  
Q"C*j'n