|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".), t% y9 Y6 _% L
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
1 `7 e0 u% f: ]- ^% ] t3.千万不要再重装系统.7 ]; u$ N) S5 P4 j5 T' p& `* T% L, @
) |9 }/ |9 b. Y. K# Y( D7 m: |
高级办法:
: s7 Z! \$ N! ltel.xls.exe的查杀方法0 p' H- w0 b1 g- m @% A
病毒类型:木马
) P% r1 T# E2 r- z5 |% L影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003( Q" K- i+ y' s: b
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
1 @9 W9 D& g; I1 D害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件 l. E$ ^& h6 D5 \. n6 y8 z5 y
发送到指定邮箱。+ `( z% k% Q( w9 S; W0 `- z8 ~9 W
; b' k, E# } Q) D/ Q2 D9 R1.生成文件
4 {- H6 \+ a% w2 I$ Z! b%systemroot%\SocksA.exe
- B9 r8 x! j% |' h非系统盘下 tel.xls.exe和autorun.inf Z9 R5 d" C1 G5 V2 x4 l
autorun.ini内容:
* k3 }, K+ B5 f) E( g) J" R4 ~[AutoRun]& O1 Z' r+ H$ K1 g
open=tel.xls.exe6 g2 C/ ~9 J2 I0 ]+ z
shellexecute=tel.xls.exe
6 w# ?. M$ N3 O) Q: c0 T! z: r" V6 ]) N9 L1 r
2.注册表6 i4 |. N* B/ b( l2 S4 d9 o3 e
(1)添加启动项+ B1 E' C+ @. `% `9 h3 c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [7 ]; }4 M- W9 `3 f. }
"ASocksrv" = "SocksA.exe"
$ \1 \) N; ~1 |, F( ]0 R0 m& B更改文件夹选项中显示隐藏文件的值9 F% b l& Y: b% o W( Z
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F) K8 g2 }8 U8 B
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
7 T( O1 f' i/ Y2 U, d4 z; v. u" w$ m; u0 G2 B
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
% h8 p4 }: X7 {,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
1 V( e: ^7 ?2 g. {% R行。: s1 d* \, r# o3 X$ e2 k8 F/ `
5 B# K: X/ i3 B" Y7 a5 g8 o查杀方法
4 r' y& I( A6 J2 H, F3 j% Y# W1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们7 [- @3 ?: |2 [; Q; Q5 X" n
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
# z( V7 b4 }+ Z P4 _killbox选择重启删除,或进入安全模式删除。: A Q& s4 R G# _. f
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
9 B& T0 ]: C) [3 A& ^% r6 gnoautorun.reg,导入注册表即可。7 G i+ ~2 z6 K9 i9 a8 ~
1 q$ N" k, O; I4 I7 CWindows Registry Editor Version 5.00
; O' b( J9 s+ a6 V+ M& W9 q# t$ j. ~) a( }& u, i3 g, }4 F
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
4 n6 e0 I$ I( e d U+ j* D"NoDriveTypeAutoRun"=dword:000000ff0 p# W& v7 {; ^4 b9 D
1 ~& F; d, t l- d: F b/ X+ z& A
3.恢复显示所有的文件项:打开regedit,找到6 _$ k/ S3 L1 E7 u# b$ D' a3 H& T. Z- {
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\6 t- N! l _5 v& j3 ~! ?( ^5 T
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如5 J; e8 T" R4 C
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
9 z" O; Y5 Y; P: L2 A# g* x,然后修改它的键值为1。
6 @$ z4 j. d7 J2 e. T
+ K- o! t7 z' u9 \' p* p4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏. R: j9 d- C5 B& ^9 _) p5 C, J
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
- K1 m4 F$ J; Q) h+ W) U目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
