完美国际电信一霹雳区交流版 收藏本版 今日: 0 主题: 1794

1687 12

紧急求助。急急急

[复制链接]
发表于 2007-9-22 12:47:06 | 显示全部楼层 |阅读模式
本人在杀毒的是个发现了一个名叫tel.xls.exe的运用程序存在于我的多个盘中 杀毒软件判断是病毒  却无法清除 请高手们帮帮啊 这到底是个什么病毒啊
发表于 2007-9-22 13:04:55 | 显示全部楼层
直接删除,如果无法删除的话请到安全模式下删除
发表于 2007-9-22 13:27:03 | 显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
" v- W1 Z( |2 x3 Y& V/ w3 Z2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.4 E/ a5 b  }, s! J
3.千万不要再重装系统.
8 b  V$ s1 P0 O- ]) {8 N! l/ @% C6 k( ?0 H% D2 B
高级办法:3 k. u! B3 ^, W1 `: \
tel.xls.exe的查杀方法
' z7 B+ `, D9 w) B病毒类型:木马9 Y* |1 D( k9 a
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
% I  l7 [8 s8 L+ m病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
2 W: w" H  G. F, A( O2 b: y) B1 J害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
& s! S/ g& e2 a+ k/ j( q发送到指定邮箱。$ C' n. `3 z& k& C! f' H

& q$ I$ V. e$ N! B5 h1.生成文件
5 ?( P( `1 w5 H+ i  v  b%systemroot%\SocksA.exe9 M& E0 b) o1 ^6 l4 r+ h2 r$ @: f
非系统盘下 tel.xls.exe和autorun.inf
$ K) V, x6 D% d# U0 Gautorun.ini内容:" j& K' A4 p9 w
[AutoRun]
% @  I/ W' \4 L- G) s* T! hopen=tel.xls.exe2 N% f2 K. r3 V( Z% O, ]/ G& B
shellexecute=tel.xls.exe- K! q8 Y9 m9 Y" M
5 ~8 [) [0 E, T' [: H6 G/ r) Y
2.注册表+ v5 ~5 l8 \# M8 P3 `& M) u  B7 ^
(1)添加启动项
) W1 ?9 X0 X% E7 L) BHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run; j& V4 m  ]  d* D8 O9 Z
"ASocksrv" = "SocksA.exe"
4 ?% y. e4 K$ X& w更改文件夹选项中显示隐藏文件的值  e0 S. k/ @8 R) i
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F) |  e' x3 W; O! K4 k6 m3 b
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD). V$ T) y3 P. l$ V0 L+ ]& N

, v( O9 p; k% d, R% X感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
$ c1 d0 I4 R1 w: g1 Q,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
) s1 U0 Z( E4 X' n. ~8 z, k1 e( ]行。" b  C/ S- i( l' S

3 Q9 m6 N& n$ O8 q$ R1 Q/ i查杀方法2 R# `4 r  d# R% \+ ]. i+ o
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
  b. {5 c4 m% Q$ S! U: q7 p# Z- ~结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
8 h9 `" O. F( hkillbox选择重启删除,或进入安全模式删除。
3 y! _  q: k9 O7 c# @8 h2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
# H% W. j; m6 G6 {$ L2 Bnoautorun.reg,导入注册表即可。9 t" T" U; r# `! i* A6 E' H
2 N6 M  |( w) a8 W
Windows Registry Editor Version 5.00
; L+ x. N4 |0 C& p" S
; I8 L  e" j- L% }) h[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]; a3 `- c  v4 }
"NoDriveTypeAutoRun"=dword:000000ff, @! z; h8 R4 N, j; A: b  m, p, U+ q
8 C& |0 A2 N; n" L* _& a
3.恢复显示所有的文件项:打开regedit,找到
+ H- J" `$ ~: D* m3 }0 Y5 qHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
1 g7 J4 Y6 ^$ }) x" p$ SAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如0 u/ ~6 y) D; _/ T8 i8 _2 s
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
1 [6 A5 g2 t0 L2 q/ T; M, T' e" Z, O+ H,然后修改它的键值为1。+ e- w9 Y6 u: j! x
8 J+ \  o; r9 v* I; m
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
8 _2 I6 o: o" u# `/ d受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
$ c9 {8 d9 r# G; a; C" i目录下的autorun.inf和tel.xls.exe文件。
发表于 2007-9-22 13:59:29 | 显示全部楼层
:hhana 上面是网上查到复制过来的.
发表于 2007-9-22 14:02:30 | 显示全部楼层
恭喜你中了可爱的木马:zding
发表于 2007-9-22 14:59:39 | 显示全部楼层
恭喜
发表于 2007-9-22 16:02:17 | 显示全部楼层
风雨中木马了
发表于 2007-9-22 16:50:19 | 显示全部楼层
:hdiuie 风雨,看来你RP不咋的啊。中木马了这么多人高兴的恭喜你。。。哈哈。。。。。。。。。。
发表于 2007-9-22 17:31:17 | 显示全部楼层
风雨肯定是看了限制级网站中的:ziqtou
发表于 2007-9-23 14:47:42 | 显示全部楼层
熊猫你以为人人都和你一样啊?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

傲天阁游戏公会
联系我们
咨询电话 : 020-88888888
事务 QQ : 85075421
电子邮箱 : admin@admin.com

小黑屋|手机版|Archiver|傲天阁游戏公会 ( 粤ICP备14058347号 )|免责声明

GMT+8, 2025-6-29 22:01 , Processed in 0.091035 second(s), 6 queries , Redis On.

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表