|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)2 }/ `( y" A% ~6 v3 H7 }: ^
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.4 w+ s# j( T$ M2 ?1 A
3.千万不要再重装系统.
% G- z( }" G3 z' R# F( K) t% g* r3 x. c% ?6 q9 T
高级办法:
* g; r& b: ~% s% @ ltel.xls.exe的查杀方法
$ l b# [! a+ x' U8 Q( k- k病毒类型:木马
7 l0 i# L7 [" ?3 p5 y; d" A$ o影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003/ v6 B. G" X/ G
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
3 O9 X! T7 {) @9 X8 |害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件) l, d+ \, l0 s5 }! U5 H0 U% N& [
发送到指定邮箱。
7 J" o* p: Q ?1 D a: i0 w5 }& d+ ? n6 l. S9 i; Q d- V
1.生成文件3 U. N8 | G. n. u
%systemroot%\SocksA.exe4 R4 u0 x1 K8 _9 Q7 e/ p
非系统盘下 tel.xls.exe和autorun.inf$ F7 T; d0 ~: p& c6 w, I+ F7 \
autorun.ini内容:9 ]: g$ n b# x3 B0 n1 l5 V* e! V# N
[AutoRun]! K/ x' X4 `/ [, I. ~* r0 ]* C$ C9 [
open=tel.xls.exe
# Y0 C% W% o3 q" \& _# d% F1 r% m- eshellexecute=tel.xls.exe
, i$ ^. G( P% t2 Z) C) N# u) v ?; x0 t& ?
2.注册表" \' Y& l- x$ t$ q
(1)添加启动项
" v$ o: ?" l7 G, K ]" HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run+ u9 s; |3 m7 K. Q5 j
"ASocksrv" = "SocksA.exe"
" N, C# d6 k' D a更改文件夹选项中显示隐藏文件的值
. n0 d9 }3 D8 N: tHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
6 L5 c2 E. R0 dolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
. m; \% c' o# g- C Y
{) K4 H) F" B1 w6 {3 B感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标' @& T9 q* ]: l* J! V* K
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
3 [1 K- }/ h4 Z* n行。
2 |) | W# C2 D# }9 `( u
" M2 A- @& O2 M查杀方法
$ _5 `1 I; {2 I" @; `4 A1 F1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
" c& b9 s a# G9 c+ t* y4 n结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
, A2 J! ^7 u2 @. ^( Q/ lkillbox选择重启删除,或进入安全模式删除。% z3 L- `5 H5 Z( Y& Q. v0 W
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
' Z9 |7 O0 B9 h1 S! v5 z% p5 }* qnoautorun.reg,导入注册表即可。
/ s7 b" B1 n/ S) y n1 c: [; Q4 f/ Y1 I3 o
Windows Registry Editor Version 5.00
4 Z, { N! T/ x" |3 d r3 P
$ F; y" K* e! U5 o5 \) |$ P2 Y8 T; x[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]0 @& g+ A" {8 ~. Z5 W! L
"NoDriveTypeAutoRun"=dword:000000ff
9 o, ~+ u3 J6 G9 ~" J$ ?7 n9 b% Q6 w9 v: X# p
3.恢复显示所有的文件项:打开regedit,找到% \+ ^" N& N; {1 J0 L$ }
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\# O7 \$ s- M7 E3 z& `
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
, D8 J5 A3 p4 I: b& f果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue& b7 K! d/ E* w4 B
,然后修改它的键值为1。
6 {3 q, h& T9 T$ A. z8 { I A; @. h0 B; W8 h1 l
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
; J) Z4 j$ B+ p/ u. u ]; J受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
6 S/ E" d3 k! C) V9 E5 @ e* B8 b目录下的autorun.inf和tel.xls.exe文件。 |
|