|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)6 I7 e, q1 Y" B% r! n) q" d
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.( b& V5 g7 C4 m9 N- X0 ?4 u/ t
3.千万不要再重装系统.4 O+ `$ V9 r2 e2 A7 `7 |
; o* A! T, x" s6 {. j0 a/ G/ L
高级办法:
$ C# E, n$ f5 S( ~2 Xtel.xls.exe的查杀方法6 m: e, c1 Z) W4 W
病毒类型:木马
! I! J3 A2 @1 p; a) X影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003" N- E/ O! N. d5 I
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
' q2 d9 p; ]- G. @9 w! g) _: c害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
- g: r% R. [# e5 t$ Y, a# |发送到指定邮箱。
4 j* Z, \8 Y, m+ n }& T+ }6 r: b/ j. s2 k, |# m6 ~9 j8 P- m
1.生成文件
. b& @$ L) K; `2 Y& b! d( ~%systemroot%\SocksA.exe4 i! U& r$ |) l# }" u" B. T
非系统盘下 tel.xls.exe和autorun.inf
5 N9 z; r0 \# k/ yautorun.ini内容:* `3 E' G- x2 |# S
[AutoRun]
! e3 l: o" }. [; c# d. O2 i# l. Popen=tel.xls.exe2 n: P' P. `5 u* e) \
shellexecute=tel.xls.exe
& E- R2 k ~0 V7 Y5 M& M8 y
. Q, M' P6 |0 P2 l2 p. c' N, w2.注册表
2 a* O$ B) W `! N/ ^" `, m& b9 R(1)添加启动项
* C2 v3 r; L1 ]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
' m6 H$ f! B% S( k% ?"ASocksrv" = "SocksA.exe"
* {, \5 c& ]" U1 E0 T: ^$ j更改文件夹选项中显示隐藏文件的值 X+ X+ J8 `5 d, o
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F/ _- {- _4 t1 ]7 W+ T& }' Z: Q
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)+ i/ l/ }! [$ u( f! D T8 Q( F; J
+ {5 \% S2 K7 q
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
& i( I, ?! u0 a0 ~8 I1 d4 R* R& y' l,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
* V' j( i* |1 k- w行。6 Z1 U9 e5 B8 J
# M0 Y2 O, j; M* e
查杀方法/ ]' B( }$ N# ~/ j1 J# ?0 ]
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们1 P" S- \. T! x5 i8 Y) { J7 {
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用$ h8 J: c, x7 O! R& v4 N
killbox选择重启删除,或进入安全模式删除。) Q" N; d/ l- h5 d' j. n
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为) U. B; [" w' ^- |
noautorun.reg,导入注册表即可。! ]6 M& d, ?$ A" i1 I; |
8 y ?) U4 ^8 Z) l# J. `9 t* }
Windows Registry Editor Version 5.00! c+ H; ~6 x* G0 V
1 K1 x" r9 t! e0 X$ _8 \: B0 @( [- I
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]( m( D" b4 M+ E" Q! _
"NoDriveTypeAutoRun"=dword:000000ff2 u" r0 U8 m6 c' w; X
4 Z( E8 {6 q- h1 U' B# ^
3.恢复显示所有的文件项:打开regedit,找到( w" I( S' X8 K$ c4 c1 Q0 u
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
0 s4 i- q7 u; U/ {; BAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如$ B1 {) \" j; C: g4 T H
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue4 w( q' o. w3 K" _
,然后修改它的键值为1。
* x4 b( ~; h( h) c7 H
: j4 t# [, {( [+ h' _2 s) M, ?4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏- e' j7 y! C& F2 H
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根1 d+ t7 H0 ?8 n P
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
