|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
; @. h1 \ v( c& h8 D2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.) F$ h& ?3 q/ L0 W P k5 \
3.千万不要再重装系统.- U1 r8 F+ E" A4 ?: M, y) l
3 L# r) P8 T! w& J: A! \高级办法:3 o, ^ u& W( a0 o* I. I6 D$ C/ D
tel.xls.exe的查杀方法
3 S8 C: Q* Q0 o% r0 B6 ^病毒类型:木马3 T, k S; p9 G8 h. J0 p% K
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
) W/ U! N, @1 f病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危% f' o$ V9 Q) l; t
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件3 G2 V1 e5 m1 T9 A; L7 k
发送到指定邮箱。
7 S7 H& P- {# X ~/ s
% y( k1 m. F; b1.生成文件4 Q0 I& {) c( x
%systemroot%\SocksA.exe3 `8 W; W* Y0 N6 t" e. C4 g
非系统盘下 tel.xls.exe和autorun.inf! A c+ g5 r) |& ^
autorun.ini内容:
% |& g: v0 C2 n' x7 q[AutoRun]
' p# Q% G1 [8 g( N/ Mopen=tel.xls.exe
' N7 a. k+ k9 A2 v% `shellexecute=tel.xls.exe! C$ U9 A5 B$ m0 i
2 ?1 z& d+ h3 a2.注册表' g+ W+ F; H( Q* x% |
(1)添加启动项1 u" h( S& ^# f3 J- {
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run$ t1 G6 j9 l5 U$ F) X
"ASocksrv" = "SocksA.exe"
+ ^7 Q: S$ Q; q( R7 w更改文件夹选项中显示隐藏文件的值
4 @$ N' ?2 e7 U3 y4 Y7 f# k1 IHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
' B0 G) W9 p: M1 P; J# `0 Molder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
7 k# ], X4 z- H, S% |( {1 z
& B; c- V. I4 n, W7 G* o感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标) }3 d. I2 _8 J+ e( k
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
! \5 s8 t/ S$ [行。
7 H( J/ F! H8 d% s, u( p& O8 P7 }: E+ m9 P# ~, c& D* p
查杀方法
, F+ _, v0 W+ F- X- q8 \0 F1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
; v* N' [# s& p- h* x" r/ Y结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用. Z7 Y- E) p5 g: h3 C3 v1 G' O
killbox选择重启删除,或进入安全模式删除。
9 B" ?' O g9 ^; a9 q2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
8 S4 Y w- K/ U0 H# w5 z) `noautorun.reg,导入注册表即可。
5 W4 U' R% [) J! N7 u% s7 y
8 e1 U) H8 y6 [) P6 @- cWindows Registry Editor Version 5.00 Y- j2 S+ }0 S7 H; v
$ C3 V" [2 @6 s# x3 l+ v! q[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]( x \/ R$ s* }# J( p; a
"NoDriveTypeAutoRun"=dword:000000ff
9 ?' \$ }8 ^0 H* w" Y( ^* T/ l
6 V9 A/ @. S& `6 U9 F3.恢复显示所有的文件项:打开regedit,找到* v& J6 t% Q5 C" A6 e1 l+ O
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\' o0 R8 ~! i* n) ]; `) D' E9 i. J! x
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
. N' d: R0 n9 n |2 S果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue" c% u" O* b* ]. ?8 ~2 r n
,然后修改它的键值为1。
4 }# R' B+ s- R# ~/ F
( L$ C7 d$ Z! V1 ]8 s8 m% M Y" a4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
5 p5 m) H9 \) S受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
0 j1 P1 o8 x0 L6 l: `9 Z目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
