完美国际电信一霹雳区交流版 收藏本版 今日: 0 主题: 1794

1998 12

紧急求助。急急急

[复制链接]
发表于 2007-9-22 12:47:06 | 显示全部楼层 |阅读模式
本人在杀毒的是个发现了一个名叫tel.xls.exe的运用程序存在于我的多个盘中 杀毒软件判断是病毒  却无法清除 请高手们帮帮啊 这到底是个什么病毒啊
发表于 2007-9-22 13:04:55 | 显示全部楼层
直接删除,如果无法删除的话请到安全模式下删除
发表于 2007-9-22 13:27:03 | 显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
+ g/ y8 |9 j6 I, z: J) `2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.' A# |% g) [4 ~& U
3.千万不要再重装系统.4 @" |3 Q  \* C1 _9 i0 J# G
# p* z! N# o6 n
高级办法:4 r! |$ y8 X- f" W
tel.xls.exe的查杀方法9 c8 H) i* f( Q% a4 F
病毒类型:木马
& E- J( D: u7 P) W. G影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
1 V+ G: N- W- G" c7 M7 {8 L9 v0 U( h病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危! {+ r+ K. @$ J
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
/ ~+ s% h& ^7 H2 ~发送到指定邮箱。) ~  l/ O9 Q" c# b7 q: \0 _

3 j* I% f. t! ~2 f. s1.生成文件
5 f0 n* P2 C  K1 r. Q' h) J% g) s%systemroot%\SocksA.exe8 Z* b$ \' r/ n& e/ @- b
非系统盘下 tel.xls.exe和autorun.inf
. _+ J# S/ k) a% C1 A, [autorun.ini内容:7 }: K, O/ F3 ^5 c- g' d
[AutoRun]: `( [+ @7 Y- N4 k/ i
open=tel.xls.exe
4 g; c( z% w; i0 Kshellexecute=tel.xls.exe
) H' i0 M  r6 _- l$ z7 J# c7 W1 B2 w; ~
2.注册表: ^# S  [/ o3 O9 R) H9 }0 u! M0 r
(1)添加启动项
6 i8 p8 I( d" ?- r, L% l; _3 ^; _% @HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6 p" h0 X$ z6 q, g"ASocksrv" = "SocksA.exe"
0 K- Q- y9 e, Y/ s* g( C) {更改文件夹选项中显示隐藏文件的值: P- R3 s6 Z* |- a/ |; ^! f
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
1 `, f4 i' Y+ C  b6 v' L# Xolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
1 |9 Q, f& ^: I# r5 ?% }. q
6 D( ~% p  o) B8 L$ h感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标& w6 z6 S! V# a% \8 R% Z! f
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运. E- b+ y) H6 Q2 ~2 ^
行。
; X3 Z' m0 c0 e9 G' e+ o
3 O7 O( C9 A) o' R查杀方法
! ^" G1 s7 L* e: L+ f7 n2 |. l1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
# H) B" H8 X; j+ O* w: D结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
7 w* Q% k; D( f# G& N  d+ [* r: hkillbox选择重启删除,或进入安全模式删除。" a% Y& b4 H+ e+ R% R" p+ x8 U
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为9 J7 @7 C7 F' }6 @
noautorun.reg,导入注册表即可。: C6 Q( x+ D# ?% k) |

% v3 N9 y9 R, C* xWindows Registry Editor Version 5.00  Q0 E( B* Y8 A4 t8 |
, a' {) @5 t, c
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
- \0 I3 s9 |) R, M. `"NoDriveTypeAutoRun"=dword:000000ff
9 {, U3 m3 x3 q& ?+ A& F( l6 ^
" E0 m* @/ |  w- X+ T, K3 r3.恢复显示所有的文件项:打开regedit,找到# d( s4 ~% F( g& y4 P0 E9 c
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
3 n; S7 G' Y6 H0 N; B+ Z# C& Z6 CAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
7 u) `$ \' _6 X" c$ j果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
0 o8 ^4 v4 z; P1 ]  u; [,然后修改它的键值为1。- O( _; c" m/ G, y

, F" r) d% o+ n2 B: k6 @3 t" d4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
* }7 P* _+ I& L" f2 {受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根8 s; _# N. M7 z
目录下的autorun.inf和tel.xls.exe文件。
发表于 2007-9-22 13:59:29 | 显示全部楼层
:hhana 上面是网上查到复制过来的.
发表于 2007-9-22 14:02:30 | 显示全部楼层
恭喜你中了可爱的木马:zding
发表于 2007-9-22 14:59:39 | 显示全部楼层
恭喜
发表于 2007-9-22 16:02:17 | 显示全部楼层
风雨中木马了
发表于 2007-9-22 16:50:19 | 显示全部楼层
:hdiuie 风雨,看来你RP不咋的啊。中木马了这么多人高兴的恭喜你。。。哈哈。。。。。。。。。。
发表于 2007-9-22 17:31:17 | 显示全部楼层
风雨肯定是看了限制级网站中的:ziqtou
发表于 2007-9-23 14:47:42 | 显示全部楼层
熊猫你以为人人都和你一样啊?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

傲天阁游戏公会
联系我们
咨询电话 : 020-88888888
事务 QQ : 85075421
电子邮箱 : admin@admin.com

小黑屋|手机版|Archiver|傲天阁游戏公会 ( 粤ICP备14058347号 )|免责声明

GMT+8, 2026-7-11 05:42 , Processed in 0.089365 second(s), 7 queries , Redis On.

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表