|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
- y2 |. n3 G, K0 p( A3 {2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.' p. F7 [* A0 K/ X
3.千万不要再重装系统.
; _! C, y' a: j3 _7 `4 Q
8 K, K4 ^$ \- i$ ?高级办法:
, @1 ]& w+ A4 _) ?0 o1 {2 ptel.xls.exe的查杀方法+ B: \! u# j+ W& k# V
病毒类型:木马" i! e2 q3 q6 q- L' N
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
6 v% T- n" ~9 ]9 s3 |8 p病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危6 U$ O" X# @# z( Z4 L. z5 e' @
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
" S+ J. T4 O& Z发送到指定邮箱。
- W0 l0 r9 ~+ E6 n. N0 q" N( h G, o( @) f2 i8 r
1.生成文件
8 b8 j3 d) a! U+ f* K# d%systemroot%\SocksA.exe
" D1 v+ ^/ n; z: C q非系统盘下 tel.xls.exe和autorun.inf
* |" C w P- g1 e6 t; vautorun.ini内容:
- v2 A' |/ U1 h5 a0 f4 z, F[AutoRun]! ]# C1 q2 c% }2 q
open=tel.xls.exe, R& Y0 r$ x; v6 W, k
shellexecute=tel.xls.exe; l9 z; G* }& S7 [( p# W! Y
5 A& ~7 v9 v, U2.注册表; V" _: P2 I4 T/ {" `( `
(1)添加启动项
$ @5 @ g* X7 j/ c. SHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run! r0 G9 n2 I8 A9 B0 |4 C: O0 s
"ASocksrv" = "SocksA.exe" ^) v& `6 q2 ~8 d8 _7 q
更改文件夹选项中显示隐藏文件的值- o, L2 y3 m8 A
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
- @- r! Q4 U7 f& |) e7 I+ Kolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)- E' ~4 q7 [5 H1 _. F% [1 E
. x- b% q" ^% ?感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
- E' m! M5 u4 ~6 Q0 Z! n,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
& {, d3 ^; F7 j) m行。$ \( {' [& g2 v7 b' j& |
) B8 a+ F6 Y5 g% d. }. D4 M4 n" r# T9 q查杀方法
! N- j2 z; @' |' s8 r1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
; P- }% f& k6 W: z5 p# b结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用& p' [% s# U6 o+ B/ b" ]
killbox选择重启删除,或进入安全模式删除。! I8 S2 Q' u9 J3 P) V
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
; Q0 q: K% H6 j; m+ pnoautorun.reg,导入注册表即可。+ U2 q: \% P) j& x% ~
7 ?& l; `* y3 ~- A
Windows Registry Editor Version 5.00
* ]4 A& R9 B- w a( a w# l8 a2 {6 {) ^0 S: M% \$ x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]6 u! B" l. g& m" K) s8 i
"NoDriveTypeAutoRun"=dword:000000ff. B6 Q2 ^6 X: o6 C
/ N% a5 R- x7 w4 I% R5 `
3.恢复显示所有的文件项:打开regedit,找到8 B9 S! q I5 U3 Q7 k
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
, O; p6 b/ O* `Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如! C$ N2 o) I/ r9 U
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue6 n$ ~+ k% e6 L, t
,然后修改它的键值为1。 N9 z+ }3 P* r6 s- U
$ {) `6 Y& C5 @8 B5 E* n
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
V6 R& H% Y% Z3 i& O受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根+ {* n) @5 c7 j6 y3 t4 y( ?, Z3 \& Y
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
