[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 NKh{iSLm  
~F6gF7]z  
清除方案： 4gNRln-
 
tLXw&hFk`g  
(1) 首先关闭病毒进程 6OW-Dif^AG  

._nKM5.  
(2) 删除病毒文件： >o=p5#{  
.v&h>@'m  
nY0UnlB`  
　　　　　c:\Program Files\Common Files\inexplore.pif ,DOmh<b  
　　　　　c:\Program Files\Internet Explorer\inexplore.com |6Z MxY  
　　　　　%windir%1.com ? UDvFQ&  
　　　　　% windir%\Debug\DebugProgram.exe >RnMzH/9  
　　　　　% windir%\exerouter.exe <vuX " 8  
　　　　　% windir%\EXP10RER.com 25[/'7_"  
　　　　　% windir%\finders.com ?a9k5@s  
　　　　　% windir%\Shell.sys `5&V}"lB  
　　　　　%system32%\smss.exe W)~.o/;  
　　　　　%system32%\dxdiag.com M\6v}kUY  
　　　　　%system32%\MSCONFIG.COM A>2p/iMc  
　　　　　%system32%\regedit.com JU.%;e7  
　　　　　%system32%\rund1132.com z$5C(!)  
$NRb'  
sYP@>tHC  
MW>28  
OkUpgXU  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： !Qzp!k9d  
/j@r~mt/pA  
GLF"`M/g  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ <%7 V`,*g/  
　　　　　CurrentVersion\Run cT
TE]ix]  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" sZDJ+  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main .u?$h0u5  
　　 　　 键值 : 字串 : "Check_Associations"="No" Y/(-mcR  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 1*CWHs  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew  nGd  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe {f3fc8(p  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" dw!Eao47  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ lhj2u]yU0S  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, gI3rF=  
　　　　　Briefcase_Create %2!d! %1" OF
bg]{ub?  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 6|Q'
\  
　　 　　 新键值 : 字串 : @="WindowFiles" 5/ju i
t  
　　 　　 原键值 : 字串 : @="exefile"　　　　 .)zISa*Xy  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ c3t8yifQ  
　　 　　 shell\open\command "?,6{\y,  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ (\>'yW{f  
　　　　　inexplore.com" %1" -Lb^O/  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Rw 8o]  
　　　　　Explorer\iexplore.exe" %1" ZHasDZ8  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ +eXfT*=u5  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ uy:=V}p  
　　　　　shell\OpenHomePage\Command <J`xCm K  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ d~8~RT2m  
　　　　　inexplore.com""  RZ%X1$  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ `0D1Nh"%k  
　　　　　iexplore.exe" n82Q.M-H  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command V~Lq,oth  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" `ay
cYoD  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" VC7F#a*V  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command ! fc)  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE MT0{hsuK9  
　　　　　NETSHELL.DLL,InvokeDunFile %1" sdD[`#  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE = h( n+y<  
　　　　　NETSHELL.DLL,InvokeDunFile %1" Ti'kn{ Zv  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command s+- aHn  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ?!oa15  
　　　　　inexplore.com" %1" 1?\
Y,+  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ >cL2PN_y  
　　　　　iexplore.exe" %1" w%n]~w=8  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command ,2bAKa  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ +Bfi/>  
　　　　　inexplore.com" -nohome" }C.{+U  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ =rF8[Q0K  
　　　　　iexplore.exe" -nohome" :5J6rj;_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ 3kY4V*9@-  
　　　　　command >t(@?*ZFT  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" %'z3es0  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ ): C4}&l  
　　　　　iexplore.exe"" q+~CA[H5K  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ {Z.@-Tl_  
　　　　　command 2A+,. S_!x  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ J3;KQ}F.I  
　　　　　mshtml.dll,PrintHTML "%1"" @D=`iG%  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 7d)' y  
　　　　　mshtml.dll, PrintHTML"%1" ;i>E@  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command |lV9?#!  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ Bx4GFCdifC  
　　　　　inexplore.pif" -nohome" ]E^f8s0#V  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ U^\~{X  
　　　　　iexplore.exe" -nohome" I1O?)x~  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ /vu!5?S  
　　　　　command wP"|$HN  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe F\bI6gj  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" GGtrH~zx
  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe Sw'?$j^3  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" lJ#>Y5Qg  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ k)Wz b  
　　　　　command F DX+  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe 2Zip8f!  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" Iq\oB  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe G|_aU8b|t  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" G.
TX1  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ f4}6$>)  
　　　　　CurrentVersion\Winlogon "@$STptkc  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" ?UDO%`X  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" #"-^;Z  
V"iLeC