|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)1 S8 ?8 M {9 a8 j4 O
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.1 o/ |0 E2 ]; ~0 ?: t+ s s5 w
3.千万不要再重装系统.1 R( [- g% D8 Z! r! u, w" C9 z: t2 O
& q# e% p) l# o/ K( g' a/ [4 h& \
高级办法:3 I, z$ x, A1 G) k6 P
tel.xls.exe的查杀方法0 g( V7 a" ?; B2 ]1 K1 [0 J, x
病毒类型:木马3 X" ~) g" M4 X
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 20034 e" h0 B& w; r
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
" i6 L/ T# @" s: V! z; x害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件8 q k5 z- ] R
发送到指定邮箱。
6 \, Q; c0 c. P8 R1 I' M" i7 v+ ^; ?9 m9 _/ M( b
1.生成文件
~) C. j+ o7 T%systemroot%\SocksA.exe
- d# e4 B: C) v* Z) w2 e: {非系统盘下 tel.xls.exe和autorun.inf
) k5 K! ~+ h( z5 f% Uautorun.ini内容:
4 F' K i. m8 L( j6 `[AutoRun]
% r* a2 t: J' u8 X2 j9 l) d7 N% jopen=tel.xls.exe
. ?7 ^5 f# r8 sshellexecute=tel.xls.exe
: d! j* L# T* Q( F {; A' E3 U
. @+ r3 E7 D3 K5 z* H2.注册表! ~$ O! W+ p6 @. r: h0 ?
(1)添加启动项
& t {; I$ M t0 H- PHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. O3 l# B; _! x"ASocksrv" = "SocksA.exe"( z+ g0 v A8 m7 T2 J" C
更改文件夹选项中显示隐藏文件的值. X% V7 \" \5 B9 p b$ q4 n
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
& i2 q1 X' F2 O. golder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
6 y/ g+ ^6 Z+ ^" ]' Y; d5 ?4 t1 m* r' D4 f; I% u
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
0 L+ Q: g* @; O" {2 S,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
; t2 e8 f/ s1 L; I3 B0 L行。
; _9 H" e% c8 B$ ~: r5 W6 l, a6 i
; C: @, x1 \; B) i; P9 C查杀方法
% S6 p" R; B2 _3 t7 o* G4 ^/ u9 ~1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们5 D& V1 F4 }1 d+ v# e
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
+ M7 {! K7 J+ u' u* f. D8 ]killbox选择重启删除,或进入安全模式删除。9 P% P P3 B0 [" C# Z
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为3 k% j6 _ a/ Y2 u! T6 z
noautorun.reg,导入注册表即可。
1 @8 \% \4 ?( |. b2 z7 {9 {7 s) L4 B5 ], X: H3 x5 w! k2 o; O
Windows Registry Editor Version 5.00- \# d, Z& c) N# j
* o: r! [8 Y* @5 C
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]9 S. X9 v* [8 }! o0 I, Y! B$ \
"NoDriveTypeAutoRun"=dword:000000ff
5 _+ h0 q' X- c Y% {0 o6 |* p
. F, Y. V9 C5 r3.恢复显示所有的文件项:打开regedit,找到
/ r$ y9 W' O; c! R8 Y( J: N, [HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\, V# } T5 l/ V1 u
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如 x# u* f) \$ I3 O
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
. E/ B4 K7 ^, i2 g, E1 @. h# K' [,然后修改它的键值为1。
, o: D# S& T" H; ?" \1 I; }5 j- [0 q& @" I
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
; l& I# R2 E) {4 ~8 [! d受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
- e# C7 @" M7 V( i# G目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
