|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
" v- W1 Z( |2 x3 Y& V/ w3 Z2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.4 E/ a5 b }, s! J
3.千万不要再重装系统.
8 b V$ s1 P0 O- ]) {8 N! l/ @% C6 k( ?0 H% D2 B
高级办法:3 k. u! B3 ^, W1 `: \
tel.xls.exe的查杀方法
' z7 B+ `, D9 w) B病毒类型:木马9 Y* |1 D( k9 a
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
% I l7 [8 s8 L+ m病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
2 W: w" H G. F, A( O2 b: y) B1 J害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
& s! S/ g& e2 a+ k/ j( q发送到指定邮箱。$ C' n. `3 z& k& C! f' H
& q$ I$ V. e$ N! B5 h1.生成文件
5 ?( P( `1 w5 H+ i v b%systemroot%\SocksA.exe9 M& E0 b) o1 ^6 l4 r+ h2 r$ @: f
非系统盘下 tel.xls.exe和autorun.inf
$ K) V, x6 D% d# U0 Gautorun.ini内容:" j& K' A4 p9 w
[AutoRun]
% @ I/ W' \4 L- G) s* T! hopen=tel.xls.exe2 N% f2 K. r3 V( Z% O, ]/ G& B
shellexecute=tel.xls.exe- K! q8 Y9 m9 Y" M
5 ~8 [) [0 E, T' [: H6 G/ r) Y
2.注册表+ v5 ~5 l8 \# M8 P3 `& M) u B7 ^
(1)添加启动项
) W1 ?9 X0 X% E7 L) BHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run; j& V4 m ] d* D8 O9 Z
"ASocksrv" = "SocksA.exe"
4 ?% y. e4 K$ X& w更改文件夹选项中显示隐藏文件的值 e0 S. k/ @8 R) i
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F) | e' x3 W; O! K4 k6 m3 b
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD). V$ T) y3 P. l$ V0 L+ ]& N
, v( O9 p; k% d, R% X感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
$ c1 d0 I4 R1 w: g1 Q,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
) s1 U0 Z( E4 X' n. ~8 z, k1 e( ]行。" b C/ S- i( l' S
3 Q9 m6 N& n$ O8 q$ R1 Q/ i查杀方法2 R# `4 r d# R% \+ ]. i+ o
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
b. {5 c4 m% Q$ S! U: q7 p# Z- ~结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
8 h9 `" O. F( hkillbox选择重启删除,或进入安全模式删除。
3 y! _ q: k9 O7 c# @8 h2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
# H% W. j; m6 G6 {$ L2 Bnoautorun.reg,导入注册表即可。9 t" T" U; r# `! i* A6 E' H
2 N6 M |( w) a8 W
Windows Registry Editor Version 5.00
; L+ x. N4 |0 C& p" S
; I8 L e" j- L% }) h[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]; a3 `- c v4 }
"NoDriveTypeAutoRun"=dword:000000ff, @! z; h8 R4 N, j; A: b m, p, U+ q
8 C& |0 A2 N; n" L* _& a
3.恢复显示所有的文件项:打开regedit,找到
+ H- J" `$ ~: D* m3 }0 Y5 qHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
1 g7 J4 Y6 ^$ }) x" p$ SAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如0 u/ ~6 y) D; _/ T8 i8 _2 s
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
1 [6 A5 g2 t0 L2 q/ T; M, T' e" Z, O+ H,然后修改它的键值为1。+ e- w9 Y6 u: j! x
8 J+ \ o; r9 v* I; m
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
8 _2 I6 o: o" u# `/ d受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
$ c9 {8 d9 r# G; a; C" i目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
