[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 itmQH\9 8  
3t^r;b  
清除方案： dab[x@#r>  
gt= _;KZ  
(1) 首先关闭病毒进程 Tx!
c}  
Y/aNrI
K7  
(2) 删除病毒文件： p/GYfa dU  
AroXf#.  
]'a9>o  
　　　　　c:\Program Files\Common Files\inexplore.pif <+2M,fq+  
　　　　　c:\Program Files\Internet Explorer\inexplore.com "Ca?liy  
　　　　　%windir%1.com 2 - ?  
　　　　　% windir%\Debug\DebugProgram.exe 5qW*/  
　　　　　% windir%\exerouter.exe v\gCgx=%j  
　　　　　% windir%\EXP10RER.com -+#g.1UL/  
　　　　　% windir%\finders.com 7<?~A6  
　　　　　% windir%\Shell.sys Z-BPC|e  
　　　　　%system32%\smss.exe ;q6FdS  
　　　　　%system32%\dxdiag.com B\z4o\am%  
　　　　　%system32%\MSCONFIG.COM #H1ng<QV  
　　　　　%system32%\regedit.com E%E3h1Ua  
　　　　　%system32%\rund1132.com g,seqh%  
j)[ wX  
'5vgpm
n  
4lqowg0  
sG~5O\,E  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： h0)Wy>B=,  
qp@:Zqz8  
BHW8zY=F  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ XCTee  
　　　　　CurrentVersion\Run s]p3dB#  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" B{0m0-l  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main zXHCP.Rmg  
　　 　　 键值 : 字串 : "Check_Associations"="No" (!0=~x|Z[  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 5$ra4+k0  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew e2?7>?  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe D; 0iNcit  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" <Hq|<^_K  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ X(;,-7Jw  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, T;u>]"S  
　　　　　Briefcase_Create %2!d! %1" !pNY`sw}  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 8yDu(.Q  
　　 　　 新键值 : 字串 : @="WindowFiles" 1Lf:TQB  
　　 　　 原键值 : 字串 : @="exefile"　　　　 C$1}c[  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ k^IC"pUc  
　　 　　 shell\open\command XdDy0e4{%<  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ .CL\``
  
　　　　　inexplore.com" %1" 6jRUkI-!  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet 1x^(vn#=  
　　　　　Explorer\iexplore.exe" %1" |<n+6  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
k8;  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ U_UX *  
　　　　　shell\OpenHomePage\Command W&U Nk,  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ =N9a!ii|  
　　　　　inexplore.com"" fi2@`37PM  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ n>Rt9  
　　　　　iexplore.exe" x@I(G "  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 6BJPQdqSl  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" LI&+5`  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" o!3-=<^  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command YAIDSZ&l[  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE U[a;eOLx  
　　　　　NETSHELL.DLL,InvokeDunFile %1" Ba\l`$%X  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE T`;>Kq:s  
　　　　　NETSHELL.DLL,InvokeDunFile %1" s9wcZO  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command @Ee'nP   
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ hoc$aqP6pp  
　　　　　inexplore.com" %1" <Cvlz^K[  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ueiXY|  
　　　　　iexplore.exe" %1" Q`Q%;%t  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command tBp146`  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ SY` U]-h  
　　　　　inexplore.com" -nohome" A(mU,^  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ T>&d/$;]  
　　　　　iexplore.exe" -nohome" <
.0-K_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ |8$x  
　　　　　command \S)\~>.`y!  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" NY'sZTM&  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ (o1*7_]e  
　　　　　iexplore.exe"" S
3[rv  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ +oZq~2?*S6  
　　　　　command K.Tfu"6  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ .O{2]e$  
　　　　　mshtml.dll,PrintHTML "%1"" 4dXuy>Km  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 2z7+@!w/  
　　　　　mshtml.dll, PrintHTML"%1" =8r%zLDw  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command h7NS9CgO  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ O;9'0-F ?  
　　　　　inexplore.pif" -nohome" -;TqdL@  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ?*
~W  
　　　　　iexplore.exe" -nohome" bUf2uWy7  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ ?v>!wuiP  
　　　　　command x.CNDG  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe /HsJyp+t  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" b8QA>]6A  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe %pNK ?M+  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" -v4kW0G  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ Lt+ Cm$3  
　　　　　command ngprTMO$&  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe h&+dIk\[3  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" Ji_3*(  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe 3[E3]]OVa  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" u=h:d+rq@  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ kzG mDi  
　　　　　CurrentVersion\Winlogon {$,e@nn  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" TKpka]nJ  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" njv
eZ
av  
r^
mP'#