|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)2 x/ V/ y$ z! @! x/ q
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
+ ~) }5 R- f& r+ ?3.千万不要再重装系统.
5 b0 C. X5 M* @! n, z; ~$ m
O5 t7 y; F: W/ \ r高级办法:: q+ @3 ^& P: b6 S7 v
tel.xls.exe的查杀方法# u2 ^, O# t% X: ] j# r- H
病毒类型:木马9 c5 G; T$ L5 b# r$ J8 I
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003* K, H( o7 {$ @5 P: }
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
' l2 c. V! X* ^4 |4 F害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
3 g: D* m6 B# j2 C5 _4 z! P发送到指定邮箱。% ]. I; V$ T" N) B1 M& \
+ e2 p, X& D6 s* A. M1.生成文件
# x1 ^9 e( z; G- w# A2 X8 H%systemroot%\SocksA.exe1 b$ c% J p! i% A7 n& e
非系统盘下 tel.xls.exe和autorun.inf; |: H2 J9 E$ K, \
autorun.ini内容:
5 `1 M) f% ^) k[AutoRun]$ A% K$ _4 G/ f8 ~7 X
open=tel.xls.exe
. ]. r% U% V& }' r" G: b, W" J Nshellexecute=tel.xls.exe
+ O& Q5 ~* O! K
& T( [, m! _: v6 M2.注册表
5 [( d3 k( e! g7 p9 t6 R9 D(1)添加启动项
- b5 p: }7 |) ~0 `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run# n l) I( f1 J0 s
"ASocksrv" = "SocksA.exe"
4 h1 n% X1 p6 C, f! g2 M" q更改文件夹选项中显示隐藏文件的值
" S7 g) W2 C5 W! aHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
5 x$ h) A5 a, f8 }7 Zolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)" G+ {9 C4 U8 P6 }9 M% f
- x# ~) D8 P/ T5 K$ L
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
! c+ K; w- ^( ~6 l4 z9 |# j,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
/ d7 R% {* S, n' t! x行。
$ t) f; l+ u6 c' H# v
: Q" E' \! } y- Z7 F- Q8 B查杀方法" `, I* `" K: }, E
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
( g2 S$ F. @8 B( v# }! J3 G结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
# r6 y U- |1 d6 m5 p8 E* Xkillbox选择重启删除,或进入安全模式删除。
q4 r ~! F4 l3 {2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为( [3 ?' Y+ f( D1 M2 [# Y( |2 {
noautorun.reg,导入注册表即可。
: O0 J( @; B% O s# m' @0 E1 R8 {' ^5 p2 O4 H. z- N4 y5 |
Windows Registry Editor Version 5.00
# |% r# T7 Y1 n8 ^
' l3 P; R$ i( k8 T, Q- I# ?[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]& E' u' T$ I1 N8 E/ q0 v; N% @8 D
"NoDriveTypeAutoRun"=dword:000000ff
: H1 D0 X8 _+ P: K3 g* `* a0 ^, M& c7 }/ a$ ^+ R
3.恢复显示所有的文件项:打开regedit,找到) c1 f, S5 x4 a
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
4 x+ V) ?2 J% E4 NAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
: ] j3 s# q: l, I9 V果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
# Z, h7 J# y6 s" t7 }3 l( U,然后修改它的键值为1。
1 `3 V, e7 s9 W/ m! J$ I- L1 P
+ P, \ D& i$ M: J1 ?6 J7 R4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
+ O+ c- C: O, Z% d U6 t7 W l受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
) K2 A5 X# u9 f+ V b4 J% V5 J目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
