|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
& v) s: p$ z4 V1 s; f# d) o$ R/ u2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
M4 \, [$ T& j/ V: `7 }3.千万不要再重装系统.
L' r* X9 c: a: [8 P; O! l! x) V9 \( r: T
高级办法:
) v5 `/ T/ q" N. I! y. g$ Mtel.xls.exe的查杀方法
. ] T* C# z4 [. @3 g. E病毒类型:木马
4 x- G0 } R- [2 F& D, G/ r; W* r影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 20035 u" s' I" p# t* [' Y4 V$ L* x9 P
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危& J% E5 d; V+ u* u5 G" O
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
' I/ J% W4 v% u( I/ ?发送到指定邮箱。3 I. ~7 @" J' \+ J
$ s4 a( t! s0 e3 Q& b; i4 Q
1.生成文件4 y* c7 o& d+ J7 a
%systemroot%\SocksA.exe8 r& _/ Q2 j+ P3 K( n G7 l
非系统盘下 tel.xls.exe和autorun.inf [6 G0 Z* m' ]* W. o, a5 b
autorun.ini内容:( s4 a; U* g5 k9 ~7 r& y$ n
[AutoRun]/ I9 \5 W7 C) Z; x, j
open=tel.xls.exe
; }; q4 O! ?0 G S0 qshellexecute=tel.xls.exe
* b: m6 P: W3 r" g) s& g# y
: G1 p7 T m$ b, F2.注册表" |0 M& g. E- \9 y9 h
(1)添加启动项5 d# D' B9 `) [1 V+ @) @& i+ \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run3 O( O t- p& Z Q: y h
"ASocksrv" = "SocksA.exe"
/ N: Y9 A9 T, J$ c) B( N更改文件夹选项中显示隐藏文件的值
: e# N+ k# b0 R0 t% |! ]3 ^HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
; O- J7 y( T* y; x% N, folder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)' N$ h/ c" a; \+ \% W2 z, @% j. k
7 o- W* Q c- I. P感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
) Q* ^/ E: O" w; \' M,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
/ Q4 Q9 V, h _1 F f行。
9 C0 u( g: t4 I! c4 C% }
( f) ~" m1 E& o) b7 S+ {* I查杀方法
+ ]* A0 @8 o9 |; H& r U" [1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
! L" Q% A$ a# x0 Q5 A9 ?结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用/ R# ?" K( ?1 k8 h
killbox选择重启删除,或进入安全模式删除。- z7 w8 q# r. G# s
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
. R! C; T O0 ]+ W0 Anoautorun.reg,导入注册表即可。
* m2 G) O8 s* x, c: ~3 d+ o- Y! Y+ r# q/ U3 \ \: ]" A% g, S5 P
Windows Registry Editor Version 5.00( p4 D' I6 J7 `7 e E2 `1 v
4 y v( H0 Y' Y$ Z* {[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]+ q+ G, z6 Q3 ]
"NoDriveTypeAutoRun"=dword:000000ff
! ]* C$ [7 r3 O$ a( [4 w$ M, Q O+ I6 p3 t. I5 ?
3.恢复显示所有的文件项:打开regedit,找到& E* ~& C2 Z: B5 R2 n- r/ D
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
0 y4 m, c2 s/ U# N! E# t l! JAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
K; J1 P, m& O$ J& P! R8 v果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue7 `+ s3 @) P& t7 S g- z0 r
,然后修改它的键值为1。
( i% N0 ^4 Y' `0 s- a% b9 a# }* W) |. _, z$ A$ r* \- n
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏$ r b! g9 M, `" P
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根6 E1 M, ?8 r' I
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
