[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 x$\w^h\F  
_q dLA  
清除方案： \mp5G&+/Q  
&C7HG^;W9  
(1) 首先关闭病毒进程 BY^5z<^.  
O/2Jz  
(2) 删除病毒文件： i7(\i2_P  
vAp?Zl?g  
uA2-&smw  
　　　　　c:\Program Files\Common Files\inexplore.pif
f$^+;j  
　　　　　c:\Program Files\Internet Explorer\inexplore.com [?Ub =sp  
　　　　　%windir%1.com `T;Y%
"X!  
　　　　　% windir%\Debug\DebugProgram.exe n32.W?9  
　　　　　% windir%\exerouter.exe esVZ2_eL  
　　　　　% windir%\EXP10RER.com 3teanU`  
　　　　　% windir%\finders.com f.SmCgG  
　　　　　% windir%\Shell.sys =3?"s(9  
　　　　　%system32%\smss.exe =c(3EI'w  
　　　　　%system32%\dxdiag.com Kp_^ 2V?  
　　　　　%system32%\MSCONFIG.COM fnm:Wa|,%|  
　　　　　%system32%\regedit.com IB+)2`  
　　　　　%system32%\rund1132.com C2 ] x  
>E3 lY/[  
<<[hZ$.  
'U'#_mYG  
wam-=3W  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： 86,$ I+  
-P3;7_}]:h  
,dIo\Lm
 
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ "G`8>1tO_  
　　　　　CurrentVersion\Run Z w&_Wt
 
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" _{5t/^w&!  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 15^5yRXC  
　　 　　 键值 : 字串 : "Check_Associations"="No" CAD:ifV  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： X@n\~[.B  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew AE"E($S`  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe L/R ES  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" @)YQiE$  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ XUyoZl?  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, a\PvRW*I  
　　　　　Briefcase_Create %2!d! %1" M:Aik&  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe JKsdPW<?  
　　 　　 新键值 : 字串 : @="WindowFiles" d4#Ra%  
　　 　　 原键值 : 字串 : @="exefile"　　　　 d@72z r  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ ^BFD -p  
　　 　　 shell\open\command 0fTEb%z8  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ !bi}9w  
　　　　　inexplore.com" %1" 9k@`{+wmZ  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet X519} l3  
　　　　　Explorer\iexplore.exe" %1" Qb;5:U/x  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ g6. =(je  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ \!tS|h  
　　　　　shell\OpenHomePage\Command Lx"a#rZ  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ 4{r_EV[(  
　　　　　inexplore.com"" q;V1fogqI)  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ $iblLZhj  
　　　　　iexplore.exe" %aszZP  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command :9E_L2M  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" 5vso%}c  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" FiQx5}MMhu  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command 5E+k}S]M$  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE KQ x<{-G6  
　　　　　NETSHELL.DLL,InvokeDunFile %1" +i[w& P  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE Xkv+"F=-  
　　　　　NETSHELL.DLL,InvokeDunFile %1" Qb|.;_  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command CXsi  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ h8yv:}XU*  
　　　　　inexplore.com" %1" .ZxH#l _  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 6GD Uo}.  
　　　　　iexplore.exe" %1" S0ct;CS  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command Y
{8L ~U:  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ ^8V cm*  
　　　　　inexplore.com" -nohome" U&|$B|[  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ PUN.nt  
　　　　　iexplore.exe" -nohome" D=fB&7%@  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ fV;&)7d&  
　　　　　command 0P_Y6w+  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" QJG]z'c+  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ 63$ R')  
　　　　　iexplore.exe"" 2ju1<t,8)  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ }fo?K|Xx  
　　　　　command 79^on8k}  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ swDSV1alMB  
　　　　　mshtml.dll,PrintHTML "%1"" 6L6
Lk  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ Hf/2KYZ  
　　　　　mshtml.dll, PrintHTML"%1" lE54RX}e4  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command ?ExfxR!~  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ \\D~Yg\#  
　　　　　inexplore.pif" -nohome" A*h)p@3t<  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ [^gSWU  
　　　　　iexplore.exe" -nohome" '7F`qL\/#(  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ H\kqmPl&  
　　　　　command ^/Hj^4~_U  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe 1?(mE7H#  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" e;=G|E  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe b*6c.  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" NRKAEf_#w  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ uREc9z`Q'  
　　　　　command ~P5!VNJ;r  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe Ej1 [ry  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" Dz&4za+{  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe b)u9#%Q  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" d]e`t"Aj  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\  <C4^Vem  
　　　　　CurrentVersion\Winlogon K@{jY\AZNx  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" !UUh7'W4u  
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" @T1>%oi  
p;n)YY$