[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 <\eHK[_*  
O&!>C7  
清除方案： Ta`=c0  
s<Pk[7`*  
(1) 首先关闭病毒进程 }+G6`Zd  
'qwFVP  
(2) 删除病毒文件： 
]u 4  
]f#ZU{A'mt  
hE0 p>R8  
　　　　　c:\Program Files\Common Files\inexplore.pif 0FD#9r  
　　　　　c:\Program Files\Internet Explorer\inexplore.com bDVz+*bU}  
　　　　　%windir%1.com ~K]5`(KV  
　　　　　% windir%\Debug\DebugProgram.exe J[2c[|[-  
　　　　　% windir%\exerouter.exe H(9%SP@[c  
　　　　　% windir%\EXP10RER.com wR +C>  
　　　　　% windir%\finders.com W- 5Z"m1I  
　　　　　% windir%\Shell.sys pe$" nUy|  
　　　　　%system32%\smss.exe AeR3wua  
　　　　　%system32%\dxdiag.com Q$Qs$  
　　　　　%system32%\MSCONFIG.COM Mu$9
#[/  
　　　　　%system32%\regedit.com XoEiW R  
　　　　　%system32%\rund1132.com aF1i!Z  
tQE=c7/M  

*-"DZ  
rKg~H=4x2  
ee}&~%  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： 5:v"^"Sz  
'*H&s  
Bc3(xI'>J  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ de{@u<YZb  
　　　　　CurrentVersion\Run {#"[h1  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" 9nF;$HB  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main #AHX{<  
　　 　　 键值 : 字串 : "Check_Associations"="No" 'k[d&sR  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： <yzgZXxIaS  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew A3D"b9<D  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe TpXbJ]o9  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" +|(-7"  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ l%XuYYQ  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, 1}nrVn[B9  
　　　　　Briefcase_Create %2!d! %1" ~5LlIpf36|  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe zzOc # /  
　　 　　 新键值 : 字串 : @="WindowFiles" j_L1KB*  
　　 　　 原键值 : 字串 : @="exefile"　　　　 _"Yi>.{]  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ a;Q
6S  
　　 　　 shell\open\command v1yNVs\}  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ ;Cdrjx  
　　　　　inexplore.com" %1" .0:twj  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet 'H<0:bQ=I  
　　　　　Explorer\iexplore.exe" %1"
sXm/+I^  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ R 2uo ZA,  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\  _2VL%  
　　　　　shell\OpenHomePage\Command <im BFw  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ /jQW4eW0  
　　　　　inexplore.com"" 6,sZo!G  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ (yv&&Jc  
　　　　　iexplore.exe" DUc -D==  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command -MV</  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" vu[+UF\G  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" #`5{?2gS9  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command k&4@$;Ap  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE HTK79 +  
　　　　　NETSHELL.DLL,InvokeDunFile %1" ,[}5@cS  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE q;a`*gX^  
　　　　　NETSHELL.DLL,InvokeDunFile %1" P SDzs\s  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command ;7"}I  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 1;<J] S$$  
　　　　　inexplore.com" %1" OPR+K ?  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ xmxfXW  
　　　　　iexplore.exe" %1" [?mDTD8zU  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command Qi',[Xmf  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ f}g)3+i  
　　　　　inexplore.com" -nohome" &B\tcF  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 7pDov@K<{  
　　　　　iexplore.exe" -nohome" LuQ4TT  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ Yhl {'  
　　　　　command 7u]0dHj  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" \TSt  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ $}0q=Lg%wv  
　　　　　iexplore.exe"" D;.O#bS  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ F23/|q{{
 
　　　　　command n*G[ZW*Uc  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ 1\:puC\)  
　　　　　mshtml.dll,PrintHTML "%1"" w*`5b!+/  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ i|PQNhUe  
　　　　　mshtml.dll, PrintHTML"%1" })O^xF~  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command O;c;>x_dA  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\  *r Y6  
　　　　　inexplore.pif" -nohome" YRF%].A%2  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ :9N~wd  
　　　　　iexplore.exe" -nohome" EotZ$O=  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ 9E^IEwq'  
　　　　　command sXp>4MomV  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe ab8uY.j  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 1UX"iOx(  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe BX&bhWYGFX  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" 9\RSJGx6  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ YXxaD@  
　　　　　command U2z1HIs  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe }Z*@EWc>  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" p_S8m|%  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe ?1JVzZ4H  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" U^SJWYi<Y  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ ?ihkV?;)  
　　　　　CurrentVersion\Winlogon Reca5r1O  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" g#qt<d}j  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" h')@NnFP1  
@O9.~6