Trojan-PSW.Win32.WOW.de手动清除方法--电脑应用,电脑维护,故障修复,系统优化,硬件故障,软件故障,电脑病毒,电脑应用,办公应用,电脑常识

病毒描述：

该病毒属木马类，是专门盗取游戏魔兽世界账号密码的病毒。病毒运行后释放病毒文件，修改注册表键值，新建注册表，添加启动项，以达到随机启动的目的，病毒进程伪装系统进程lsass.exe，区别是系统进程名为小写lsass.exe，用户名为system，而病毒进程名为大写LSASS.EXE，用户名为用户机器名。并且在任务管理器中不能关闭病毒进程，需要用其他工具关闭。当用户登陆魔兽世界时，病毒会记录用户输入的账号和密码，放在病毒释放的病毒文件%WINDIR%\io.sys.bak中。并以FTP的形式发送给病毒作者。

行为分析：

1、病毒运行后释放病毒文件：

%WINDIR%\exert.exe

%WINDIR%\io.sys.bak

%WINDIR%\lsass.exe

%system32%\dxdiag.com

%system32%\msconfig.com

%system32%\regedit.com

%Program Files%\Internet Explorer\intexplore.com

%Program Files%\Common Files\intexplore

其中除%WINDIR%\io.sys.bak外均为病毒自身。

2、病毒运行后修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe

新建键值: 字串: "默认"="WindowFiles"

原键值: 字串: "默认"="exefile"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications \iexplore.exe\shell\open\

新建键值: 字串: " command "=""C:\Program Files\Internet Explorer\ INTEXPLORE.com" %1"

原键值: 字串: " command "=""C:\Program Files\Internet Explorer\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA

08002B30309D}\shell\OpenHomePage\Command

新建键值: 字串: "默认"=""C:\Program Files\Internet Explorer\INTEXPLORE.com""

原键值: 字串: "默认"="C:\Program Files\Internet Explorer\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command

新建键值: 字串: "默认"=""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"

原键值: 字串: "默认"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command

新建键值: 字串: "默认"=""C:\Program Files\Internet Explorer\INTEXPLORE.com" -nohome"

原键值: 字串: "默认"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command

新建键值: 字串: "默认"=""C:\Program Files\common~1\INTEXPLORE.pif" %1"

原键值: 字串: "默认"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command

新建键值: 字串: "默认"=""C:\Program Files\common~1\INTEXPLORE.pif" -nohome"

原键值: 字串: "默认"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

新建键值: 字串: "默认"="INTEXPLORE.pif"

原键值: 字串: "默认"="IEXPLORE.EXE"

3、新建注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run\

键值: 字串: "ToP "="C:\WINDOWS\LSASS.exe"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

键值: 字串: "Check_Associations "="No"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\ShellNoRoam\MUICache\

键值: 字串: "C:\Program Files\common~1\INTEXPLORE.pif

"="INTEXPLORE"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles

\DefaultIcon

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\S

[1] [2] [3] [4] 下一页