|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
, U W' P2 Z2 `2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.5 X3 F* w* ~' H1 V8 p
3.千万不要再重装系统. ^' N9 n E' j" F& X3 M' I
. p7 b5 ~3 W) I( t9 p& I9 u6 w% D高级办法:
. b5 A7 ~$ q; P Ytel.xls.exe的查杀方法
2 v8 s; l2 k3 V6 M. B病毒类型:木马
3 K2 w4 T. z4 Z% T影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
7 z- E" N* O& ]4 I) a& h病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危& n( k$ [6 w1 |4 {( @; e
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件! L; x4 g @" ?
发送到指定邮箱。6 }; c0 v0 V) e6 h& j1 P
$ L5 M0 S; o9 n0 y A. {# W7 o
1.生成文件
5 w/ a: q/ w/ m%systemroot%\SocksA.exe
' H9 D# D! h; {* i. k" e3 M9 }( L! J& b非系统盘下 tel.xls.exe和autorun.inf
4 ]6 L8 c. ~9 c) H+ Rautorun.ini内容:
5 U6 p, v& Y* ^6 L! I5 I9 b3 A[AutoRun]+ H' N; [: @# l& m+ r: f& O
open=tel.xls.exe$ B: l3 K! y# }
shellexecute=tel.xls.exe* {1 f6 w3 Z1 y- X- U
* p4 p" R+ f1 w$ w3 K" u$ f# I2.注册表( U, r, \) P3 V3 z9 {
(1)添加启动项( V& E) w) r3 K( j
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run* B) i( x$ A; B0 {/ T+ d/ `
"ASocksrv" = "SocksA.exe"# c9 ?1 I3 H& H; R6 h' u+ L, n
更改文件夹选项中显示隐藏文件的值
, N# X0 T) N# @; OHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F* M9 U: ^& x- W H, P) C Q6 {8 |
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
4 B" I1 W- W2 |2 b! V& M' ?
$ `$ h/ P% a7 z! D3 g感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
( n. k8 K7 F0 Y4 N,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运, u: p1 ~! _ t# D
行。
8 ~0 p/ e: J( U; ~
4 p# k! ?7 l8 j7 ?* g* B* F0 ~查杀方法
/ l0 ?1 O- B* a' t+ q+ J" c7 {1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们 H: |9 @9 R. n# `7 S b
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用) }: e: D* ?* D+ X4 P
killbox选择重启删除,或进入安全模式删除。
) C0 H+ T- _; m @* d* w2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
% u1 x- H, d) wnoautorun.reg,导入注册表即可。' w! a) c& [& E7 h
( {( o# ^) Z- w2 S% |: D
Windows Registry Editor Version 5.00$ W9 w$ ?) `5 P1 y2 u/ b
& O" Q& z" r# m7 v7 E3 U8 z
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]- X" b5 U0 j, D* ^
"NoDriveTypeAutoRun"=dword:000000ff+ G) G- c' y/ _0 i
3 j; i# Q# `0 @3.恢复显示所有的文件项:打开regedit,找到6 O4 a/ t0 z) F& h
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
/ N2 S6 `& g4 CAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如% ~8 v; {4 ]) h$ ]
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue! {; ]8 N# r: w
,然后修改它的键值为1。
$ H a! s, C% l' f( M7 }
$ L: _6 |( a$ @8 @% F9 c4 w4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏; {. K5 r+ h" e& h
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
# t: d- y. d5 u% e目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
