Trojan-PSW.Win32.WOW.de手动清除方法

　　病毒描述：

　　该病毒属木马类，是专门盗取游戏魔兽世界账号密码的病毒。病毒运行后释放病毒文件，修改注册表键值，新建注册表，添加启动项，以达到随机启动的目的，病毒进程伪装系统进程lsass.exe，区别是系统进程名为小写lsass.exe，用户名为system，而病毒进程名为大写LSASS.EXE，用户名为用户机器名。并且在任务管理器中不能关闭病毒进程，需要用其他工具关闭。当用户登陆魔兽世界时，病毒会记录用户输入的账号和密码，放在病毒释放的病毒文件%WINDIR%\io.sys.bak中。并以FTP的形式发送给病毒作者。

　　行为分析：

　　1、病毒运行后释放病毒文件：

　　%WINDIR%\exert.exe

　　%WINDIR%\io.sys.bak

　　%WINDIR%\lsass.exe

　　%system32%\dxdiag.com

　　%system32%\msconfig.com

　　%system32%\regedit.com

　　%Program Files%\Internet Explorer\intexplore.com

　　%Program Files%\Common Files\intexplore

　　其中除%WINDIR%\io.sys.bak外均为病毒自身。

　　2、病毒运行后修改注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe

　　新建键值: 字串: "默认"="WindowFiles"

　　原键值: 字串: "默认"="exefile"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications \iexplore.exe\shell\open\

　　新建键值: 字串: " command "=""C:\Program Files\Internet Explorer\ INTEXPLORE.com" %1"

　　原键值: 字串: " command "=""C:\Program Files\Internet Explorer\iexplore.exe" %1"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA