警惕Trojan-PSW.Win32.WOW.ck木马病毒

日期：2008年6月15日作者：

Trojan-PSW.Win32.WOW.ck 病毒属木马类。病毒运行后在 program files、%windir%、%system32% 文件夹下复制自身，生成14个病毒文件；修改注册表，添加启动项，以达到随机启动的目的；将IE更改为非默认浏览器；修改大部分文件的启动方式，和文件关联，并创建新的文件类型。

清除方案：

(1) 首先关闭病毒进程

(2) 删除病毒文件：

　　　　　c:\Program Files\Common Files\ineXPlore.pif 
　　　　　c:\Program Files\Internet Explorer\inexplore.com 
　　　　　%windir%1.com 
　　　　　% windir%\Debug\DebugProgram.exe 
　　　　　% windir%\exerouter.exe 
　　　　　% windir%\EXP10RER.com 
　　　　　% windir%\finders.com 
　　　　　% windir%\Shell.sys 
　　　　　%system32%\smss.exe 
　　　　　%system32%\dxdiag.com 
　　　　　%system32%\MSCONFIG.COM 
　　　　　%system32%\regedit.com 
　　　　　%system32%\rund1132.com

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：

　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　CurrentVersion\Run 
　　 　　 键值 : 字串 : "TProgram"="C:\WINNT\smss.exe" 
　　 　　 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 
　　 　　 键值 : 字串 : "Check_Associations"="No"
　　 　　 恢复注册表原键值（如果有组册表备份可以直接将其导入）： 
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew 
　　 　　 新键值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe 
　　 　　 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1" 
　　 　　 原键值 : 可扩充字串 : "Command"="%SystemRoot%\system32\
　　　　　rundll32.exe %SystemRoot%\system32\syncui.dll,
　　　　　Briefcase_Create %2!d! %1"
　　 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
　　 　　 新键值 : 字串 : @="WindowFiles"