|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
/ R& C j# \& a2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
' o( _# ?& h# E* j' I/ Q3.千万不要再重装系统." E. s5 e) I4 e# _6 ~; p7 Q
) Z g8 W1 {) ~- j) I. y) m
高级办法:0 W) G, `2 o' G* o+ {* {! L& w* P
tel.xls.exe的查杀方法! J" x6 I9 G' I
病毒类型:木马. h% H: x3 K1 S" T9 a. ~
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
' ~9 A# w2 l1 Z病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危5 X* W( [3 E# Y I- F4 ~& ~
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件8 i( q. z- k# \. ?/ j
发送到指定邮箱。
% x2 s" o$ I* F7 U, W2 h S) |4 _) I+ Z" P& S
1.生成文件1 Z/ U1 K; L5 ?0 N- p) J8 G
%systemroot%\SocksA.exe4 I+ C7 m7 @, r% B
非系统盘下 tel.xls.exe和autorun.inf8 q' l" w4 K$ I" A, @( }- N
autorun.ini内容:
% @' C; h9 y: r3 A, _) d# ][AutoRun]
! O* F6 G, o+ B$ B+ J% f' |* |% }open=tel.xls.exe. g B* Q# k# k2 F. c8 P+ V
shellexecute=tel.xls.exe
5 n2 L9 m: G4 S8 h
; u8 R/ B3 @- |4 c R) e- d2.注册表
0 h& M% r- S% V9 G* l; r(1)添加启动项
) ?$ v0 R3 i; Y/ h/ ZHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run1 b2 P4 [- {6 o* Q `( _! k6 |
"ASocksrv" = "SocksA.exe", ]- }8 a9 x7 S5 Q
更改文件夹选项中显示隐藏文件的值
; ^' {) X1 k# Z( @HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F! r3 w0 M+ q. c* Y" F+ V
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)0 v+ s# X) a1 J4 V1 w z
+ R4 |7 a9 b) D, _
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标1 f5 u/ N# I8 B8 F
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运6 @7 j% l L; G' `: T6 @1 E+ a
行。
3 ^0 L3 I. A; O f- l# g
& Z6 O, P( ^8 Q4 p4 r; |8 N8 D& e1 O查杀方法
. r$ u6 d, Z l, k' r% \1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们6 b, F+ h& F: L
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
6 g1 m. j( _8 {0 ^$ i' A( pkillbox选择重启删除,或进入安全模式删除。% p) Q% w$ k- P
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
7 A9 e. G2 \! gnoautorun.reg,导入注册表即可。5 G8 O; M# Y2 k8 L$ A) e/ t
# T% C A4 H0 j! G/ {" g
Windows Registry Editor Version 5.00. c; \$ r9 d2 m' J6 L- x3 H# ^
! E. S# u W% C5 y1 L' u e) D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
; u+ s+ h' R: @"NoDriveTypeAutoRun"=dword:000000ff
- r- Y5 W i7 `) q
8 l8 m0 C% }" B* x/ C& `3 Y3.恢复显示所有的文件项:打开regedit,找到
6 R3 G& @1 F; A% u! _7 Y# hHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\& O6 J2 e; G, `! h0 A% I
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
8 F p8 x' d9 A5 }- y, b7 v7 z; e果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue( P# F+ F. k( ?3 J% q) O+ g& J) j J
,然后修改它的键值为1。' i5 W. K" t8 h! s! X+ }
) R* C) U1 X; |& N& V2 `4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏" ]5 O7 M }5 E# N0 g
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
; W- u \* V' ?目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
