|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
) W- ]8 O$ E- B, r) \2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
& B' t& ?1 a$ \3.千万不要再重装系统.: F4 q% G& O0 z3 @) U6 K
! I C6 P* t9 l. x高级办法:2 y) y5 L4 M) V) `0 `% j) B
tel.xls.exe的查杀方法
1 [4 d5 f& W! b0 c病毒类型:木马9 h3 A$ _, Y$ C6 i' D' `
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
3 c A4 @. J+ o/ \病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
$ H; y. ^1 n7 @# @' i3 |害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
/ ~- V6 K# c3 k1 b/ X8 @+ Y发送到指定邮箱。
# y7 j8 R% X2 @; ^% C1 |
' X, O0 \; W% g2 S) H Y: \0 Z' @' ~1.生成文件
4 i9 @6 f: @. ?- O' F- n- r* I%systemroot%\SocksA.exe5 v* O3 F! z: _* S2 e2 ?: g) d
非系统盘下 tel.xls.exe和autorun.inf! L+ W) r) ]& Q3 ]4 ^! t, H" O" Q
autorun.ini内容:2 Q" `9 C/ R, _- c5 X) K2 U; z1 z
[AutoRun]
- S M7 ?: V" |: R( k Jopen=tel.xls.exe) s9 B3 n0 {+ {+ u6 o2 [) g5 s( ?
shellexecute=tel.xls.exe
4 E* T" A8 e8 \ o
5 h7 C$ m5 R6 u; i2.注册表/ q! H0 r: ^" @
(1)添加启动项
7 S# v$ X \! v1 v& L1 u: sHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5 [2 u0 Z& Z ^% q"ASocksrv" = "SocksA.exe"
H2 B5 t" U5 C f9 p* F/ |! x$ }更改文件夹选项中显示隐藏文件的值9 k7 d5 A5 B# V5 V6 u! f$ \8 p
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
) s4 ] Z5 q6 {5 Bolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
% J7 s' X) ^. ^7 b8 _; ]- h
8 x7 t) ^) y9 R/ Q+ a8 h/ s感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
" U/ T( S& g0 p2 e,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运$ v- C, i9 `; h! l6 u* e
行。( }% O1 q7 A! a+ L9 i
! ?5 s/ K" i7 k) Z7 |( y* y% X
查杀方法# T1 U9 b8 V6 a" F7 c: Q7 d
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
4 G( i. K3 F. G3 v% O/ [0 P9 w7 B# W结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
4 ~: W/ _& a" i1 }killbox选择重启删除,或进入安全模式删除。, l* ?. r# T9 y$ G' ]
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
/ H# }! ?( M& P% A% j$ F( znoautorun.reg,导入注册表即可。# w: x( I a) C& e- `* h
4 D) @6 [9 g8 C/ H3 ?
Windows Registry Editor Version 5.00
. g$ g% N0 R5 F5 W# e+ p+ u
) b1 d9 L4 P) W/ M[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]& E1 C5 a- f% f# D8 L- [
"NoDriveTypeAutoRun"=dword:000000ff9 Q1 ?0 v4 P5 T( w7 o* @
8 w3 p @6 U; F( q
3.恢复显示所有的文件项:打开regedit,找到
9 |/ a0 @/ N6 c% s" q2 ?+ ?, uHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\3 i$ \# l; l4 O) k2 x9 g5 R# c$ W0 g
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如; R* y( P4 t H& z: U' ?( j. v9 |/ c
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
* s; S+ [2 ~/ ^: @5 m; | ],然后修改它的键值为1。* R! {, e: A3 v" G8 m; b( u
* T P( `: F& k% H$ y
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
1 ^2 X5 {5 p$ y7 p9 B. S( b受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
F. ^" H7 @6 `+ t7 A目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
