|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
- H9 T- o7 l7 I/ n+ f# \2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
: p9 a) h1 k2 O& p; q" P* ?7 x# v3.千万不要再重装系统.4 I# p4 J: v( L
0 M! A3 Q7 l- Z6 @7 G8 D高级办法:8 x* X" O$ _3 ]# P% g
tel.xls.exe的查杀方法
* l. O" i ~# m/ G. v" J( L病毒类型:木马
2 z# Y6 a: q: v! Q) U2 Y3 |/ }影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
( J! f/ t- R- b病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危- ]+ V/ m) v/ I) n3 l4 p0 S
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件5 \) g% V2 {* [ ?
发送到指定邮箱。% ~- u* z4 {4 K& @
g6 {- S0 q7 E$ A1 ~3 _
1.生成文件+ m% b# H" Y5 o9 y7 b3 ~/ D
%systemroot%\SocksA.exe
& I2 A; @6 G [2 E; [: R非系统盘下 tel.xls.exe和autorun.inf. O+ T9 b! I! `1 V) F5 x& A5 G
autorun.ini内容:" }2 L/ T' g5 \& v/ p9 F! L \" v
[AutoRun]5 [. D! l, k% S: q
open=tel.xls.exe
" }4 T, ?; u k& a3 B+ {" v. r3 }shellexecute=tel.xls.exe: P% n- s( X% Y. v4 d4 l7 \# v5 M1 p
5 l: x+ J" c; k. O# Q. f6 I: b0 `
2.注册表
; x3 u+ S" _! y# s6 o4 k- \(1)添加启动项
, Q8 ^+ v9 R M1 G; K- p `7 v8 SHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
, p: G% |% Z- J, |"ASocksrv" = "SocksA.exe"
C8 n. X3 V6 m5 E; z% U更改文件夹选项中显示隐藏文件的值
}* \2 s i; U+ _8 rHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
1 v7 C! O' W4 B6 R0 A6 d: ?older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)+ [8 R; y [) e* M `" l; P }5 U
! ~6 c, {+ }0 H感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标" K- E; H' Y V4 g
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
2 q) K" d" R1 O9 Y( Y0 @$ c行。. h/ _; }! M+ B2 ]
8 t" _4 Q! j! J7 q8 r查杀方法% S9 |( @' n: m" d- Y0 b- x6 T6 e7 k
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们( M% J4 q( V* R' T. q
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用( a9 m# ]( a Z/ r2 j: n
killbox选择重启删除,或进入安全模式删除。8 X+ q' Y# j- _8 t7 Y( y
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为* @: l+ o( N* m6 ?5 e5 r
noautorun.reg,导入注册表即可。* I1 J0 P# U! I: w) w! a% L- P
0 H+ o4 e/ c0 j5 O* zWindows Registry Editor Version 5.00: g! [7 [1 C0 c# Q d2 J6 ~* S
: ]+ a) ~; ^3 ~, v7 `
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]* \; C2 w8 h8 {* w l
"NoDriveTypeAutoRun"=dword:000000ff
$ n$ `5 z6 b' N# B' }- |, N4 T8 b7 C0 Q9 ?' i
3.恢复显示所有的文件项:打开regedit,找到6 y- Y8 L& B& D1 X6 s' r; M) v( o
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
6 l0 @: A1 d* t: I4 \( ~( XAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如( L# |2 Q- f, c: U
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue% x# }3 U t" V2 J9 x9 A) X( |
,然后修改它的键值为1。
+ H2 }& X; _' |' k# @
8 C4 l% k- x4 D3 r1 [' F4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
7 o9 U9 @! c8 ~, j4 L# }; b受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
# e/ e) `2 I x目录下的autorun.inf和tel.xls.exe文件。 |
|