Trojan.PSW.Win32.Wowar.tp

“魔獸世界木馬變種TP（Trojan.PSW.Win32.）”病毒：警惕程度★★★，木馬病毒，通過網路傳播，依賴系統：WIN 9X/NT/2000/XP。

該病毒運行後會釋放wodoor0.dll檔案到系統檔案目錄下（默認為C:\Windows\system32），同時修改註冊表，實現隨系統啟動自動運行。它會自動在後台對用戶進行監視，當發現用戶運行“魔獸世界”遊戲時，自動記錄用戶的賬號、密碼等信息，並把這些信息傳送給黑客，從而給用戶帶來損失。

反病毒專家建議電腦用戶採取以下措施預防該病毒：1、建立良好的安全習慣，不打開可疑郵件和可疑網站；2、很多病毒利用漏洞傳播，一定要及時給系統打補丁；3、安裝專業的防毒軟體升級到最新版本，並打開實時監控程式；4、安裝帶有“木馬牆”功能的個人防火牆軟體，防止密碼丟失。5、為本機管理員賬號設定較為複雜的密碼，預防病毒通過密碼猜測進行傳播。

清除方案： （建議先下載個UNLOCKER）

1、關閉系統還原（一定要關閉，建議刪掉所有的系統還原檔案），結束兩個進程rundll32.exe；

2、打開選項“顯示受保護的作業系統檔案”“顯示隱藏檔案”（我的電腦--工具--資料夾選項--查看--）

刪除以下檔案：（檔案刪不掉的 安裝UNLOCKER 右鍵--UNLOCKER後--再刪除）

！！（打不開隱藏檔案的）：

把下面的內容保存成 a.reg 檔案後，雙擊導入註冊表即可！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"）

C:\WINDOWS\Microsoft\rundll32.exe

C:\program files\internet explorer\use6.dll

C:\WINDOWS\system32\dt.dll

WINDOWS資料夾內的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe之類檔案手動刪除,

TEMP資料夾下的upxdnd.exe和upxdnd.dll檔案手動刪除。

C:下的SYS...之類包含ghook.dll和svchost.exe的2個文的資料夾刪除;

（也可以進安全模式下直接刪除）

3、修改註冊表，刪除以下兩項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

<Micro><C:\WINDOWS\Microsoft\rundll32.exe>

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

<main><rundll32.exe "C:\program files\internet explorer\use6.dll" mymain>

4、使用unlocker刪除C:\\WINDOWS\system32\drivers\etc\hosts

5、使用資源管理器（開始-所有程式-附屬檔案-windows資源管理器）打開各個分區，刪除所有分區下面的Autorun.inf及（也可右鍵打開進去，但不要雙擊進入）

6：檢查並清理啟動項，（開始--運行--輸入“MSCONFIG”--啟動），

7：重起