|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
) R, j8 [" D1 Q- L: @2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
5 V% I7 m2 P' y3 _3 j' R3.千万不要再重装系统.
# s2 m2 n2 Q v% g
8 j) e+ e6 j" m; P# j高级办法:
8 d1 y, |! }" t/ [! [1 ]tel.xls.exe的查杀方法
. R: h7 t. l) d8 x# @病毒类型:木马
+ E0 z( F3 K- I影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
3 [; `8 G5 C: R5 D病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危; i2 t( n3 x c7 l
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
! W Y5 I7 W+ r: M8 ?! |发送到指定邮箱。 t3 B4 T+ V6 a+ [; P4 h$ Y5 b/ |
( Q, |4 p( _; ]/ b
1.生成文件
, c- v" [( H* Z6 |%systemroot%\SocksA.exe9 F* B$ s4 X t7 b) v" x
非系统盘下 tel.xls.exe和autorun.inf7 \$ Z8 M7 x0 k' o# c& n3 R
autorun.ini内容:) ^0 N# z" R' `# M; \2 ?# ?- `
[AutoRun]
. P: }! ?4 _7 |( o% Y* @2 ^9 sopen=tel.xls.exe
: q" E: n9 O v8 hshellexecute=tel.xls.exe7 r$ `/ l0 ~ U9 }
$ W0 ^& `4 b5 o. F- B5 V3 z& ^+ B6 e2.注册表
+ x, I- Z: v: |3 n. |" c(1)添加启动项
! c+ l" N, |' x l( i4 rHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- q2 K$ q6 R7 L( K( y
"ASocksrv" = "SocksA.exe": U; \! e/ s5 t9 y+ [# X
更改文件夹选项中显示隐藏文件的值
- A. t/ T0 e; I) D5 QHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F' T1 v: z0 E2 X- P- p
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
" V5 X4 p1 `/ p6 {7 r2 }
4 Q- B$ _1 @7 p& a5 I' g5 J感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
; S/ ?4 Q5 G: Y,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运* d8 N' s# \! d9 j! z# W- r
行。 U, p3 s9 {' J3 t
/ X7 R5 D* _# g查杀方法- K% l1 M) n" z" x$ B9 [" n
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们/ C2 _0 @* Z3 B8 E
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用' u+ p, {1 k$ H: h3 W$ I; ^0 v, e
killbox选择重启删除,或进入安全模式删除。( _* U( M. X+ j' {! J& y
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为1 T/ U4 c) l% Z4 ~; w9 V
noautorun.reg,导入注册表即可。
: P0 W, b: }+ |' X3 {/ l/ V# U+ w3 }, w' s% k
Windows Registry Editor Version 5.00
; j6 x; |1 Z: B0 E( V; f: _; \% w1 g! Y
+ |3 {+ {' L) v* J1 [5 Z[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]8 L" d. |( C, `( B8 ?* L; k4 [
"NoDriveTypeAutoRun"=dword:000000ff
6 ~, W! `! r8 L: D2 Q% o- i7 ]. A2 A+ r8 l2 |
3.恢复显示所有的文件项:打开regedit,找到$ x! ^, @" j+ x
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
5 G- U9 D3 g8 t% J' R# K$ ~# C. b$ cAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
& E. a" ^- l7 B果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue+ l% t7 z( Y3 N/ N: N
,然后修改它的键值为1。2 E4 p, ^0 p7 S2 i% ]
% p5 ~7 ?" M- v& _
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏9 w4 Z {5 Z6 {
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根2 ^; x1 d" s) w8 a
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
