[安全]Trojan-PSW.Win32.WOW.ck 病毒属木马

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。 ,y>Na{@Y  
ZUu^==a  
清除方案： W< n`[  
2*|]#W
 
(1) 首先关闭病毒进程 UdGoPzN  
\x!>5Z Y  
(2) 删除病毒文件： LWI~m2  
*t_&im%E  
2 zy^(%a  
　　　　　c:\Program Files\Common Files\inexplore.pif :QVGY^c  
　　　　　c:\Program Files\Internet Explorer\inexplore.com Y!L jy [/  
　　　　　%windir%1.com ?Z=v&d[o)  
　　　　　% windir%\Debug\DebugProgram.exe VC.?]'OqD  
　　　　　% windir%\exerouter.exe qEAF!iB]L  
　　　　　% windir%\EXP10RER.com 5-OvPTY`M  
　　　　　% windir%\finders.com HZ}*o%O  
　　　　　% windir%\Shell.sys gY9"!IVe+  
　　　　　%system32%\smss.exe l;.BlHyu  
　　　　　%system32%\dxdiag.com !r
|X6`g  
　　　　　%system32%\MSCONFIG.COM 9<#D0hh$  
　　　　　%system32%\regedit.com ^6+x0[13  
　　　　　%system32%\rund1132.com <-F"&LI{<  
pV7Gh`<y  
wGvgMZ]?'  
AV
p[gr  
+RkYW*|$S  
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项： H[D/Sz5`  
@>Keu\)  
x}{VHp`|ld  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ h
,x]  
　　　　　CurrentVersion\Run Al|7Y/  
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" ca=e_sg  
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
gNwXOd u  
　　 　　 键值 : 字串 : "Check_Associations"="No" .6K>"  
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： o$O,#^  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew >-P0wowL  
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe K +~v<F  
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" k3 l  
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\ f[IchCwX  
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll, sD8S2  
　　　　　Briefcase_Create %2!d! %1" guv@t&;t0  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe 0R& U18)y  
　　 　　 新键值 : 字串 : @="WindowFiles" Z=0W@_s  
　　 　　 原键值 : 字串 : @="exefile"　　　　 =FmU]DV  
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\ MxRU6+a  
　　 　　 shell\open\command D@^ZpN8r  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ uNbA>*c4M  
　　　　　inexplore.com" %1" %'e(3;YI  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet rHlF& ET  
　　　　　Explorer\iexplore.exe" %1" Aq!['G  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ C~qhwwh  
　　　　　{871C5380-42A0-1069-A2EA-08002B30309D}\ {0 ~0  
　　　　　shell\OpenHomePage\Command vgj^-  
　　　　　新键值 : 字串 : @=""C:\Program Files\InternetExplorer\ lQBM0|n  
　　　　　inexplore.com"" Gq*)]X{Ua  
　　　　　原键值 : 可扩充字串 : @="C:\Program Files\Internet Explorer\ j;)g+9`  
　　　　　iexplore.exe" R(sM(x5a`  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command 0?SLRz8  
　　　　　新键值 : 字串 : @="%SystemRoot%\EXP10RER.com" Jdn*?hc+  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\Explorer.exe" :,m)D775S  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command BuTIJb+Q\  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE H|UL5<:]D  
　　　　　NETSHELL.DLL,InvokeDunFile %1" KIo}Gd&  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE >Mw &Tw}o  
　　　　　NETSHELL.DLL,InvokeDunFile %1" #ja`+w}  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command t\i1VXtO  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ m]\zt
 
　　　　　inexplore.com" %1" SbZt\a 8  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ hZ<btN.y5  
　　　　　iexplore.exe" %1"
cA? x(  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command |L;psK  
　　　　　新键值 : 字串 : @=""C:\Program Files\Internet Explorer\ xV#a(>-4  
　　　　　inexplore.com" -nohome"
K;[%S  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ Ax
lFU~E4  
　　　　　iexplore.exe" -nohome" GYC&P]  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\ wkD:i2E7  
　　　　　command (0W}e(D8  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif"" jJZsBOW[8  
　　　　　原键值 : 字 串 : @=""C:\Program Files\Internet Explorer\ y.p6%E_`  
　　　　　iexplore.exe"" fm%RNAPvc  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\ 7Zt\G-QV  
　　　　　command Jv<$AI  
　　　　　新键值 : 字串 : @="rundll32.exe %SystemRoot%\system32\ `{F~'t['  
　　　　　mshtml.dll,PrintHTML "%1"" R*Z]  
　　　　　原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%\system32\ 7[g;|(G0  
　　　　　mshtml.dll, PrintHTML"%1" rxj@NwAno  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command ^,lZ58 2  
　　　　　新键值 : 字串 : @=""C:\Program Files\common~1\ {X<4wxeTo  
　　　　　inexplore.pif" -nohome" p{q!jm~Nq  
　　　　　原键值 : 字串 : @=""C:\Program Files\Internet Explorer\ 4q13xX  
　　　　　iexplore.exe" -nohome" U5!f++  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\ W@,p9=425  
　　　　　command 
KC:4  
　　　　　新键值 : 字串 : @="%SystemRoot%\System32\rundll32.exe  YX`=M  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" *Ca)RgM  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\System32\rundll32.exe lt6
;*z[  
　　　　　setupapi,InstallHinfSection DefaultInstall 132 %1" [fi'=Cb  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\ H'{?aaK|t  
　　　　　command <{420  
　　　　　新键值 : 字串 : @="%SystemRoot%\system32\rundll32.exe rAWl0y_m  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" +RV-VrV  
　　　　　原键值 : 可扩充字串 : @="%SystemRoot%\system32\rundll32.exe S tnv>  
　　　　　%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" :KSor}t  
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ JhCkkw  
　　　　　CurrentVersion\Winlogon N4mJU'_{  
　　　　　新键值 : 字串 : "Shell"="explorer.exe 1" s;2/Nc   
　　　　　原键值 : 字串 : "Shell"="Explorer.exe" +'/}[1q1/T  
(\t_Hs::a