|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)( O' v8 K4 |3 S S9 j! x$ e
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.' l% F! w* \' `$ ^
3.千万不要再重装系统.( _. {& n% z0 `, i
! ^. B1 { ^( s' S5 k2 Q; f- c# \4 U高级办法:2 \* o* {& l2 b( j) M+ K+ O; p# _
tel.xls.exe的查杀方法
# a1 b) D! V! u) |0 n- Q0 i病毒类型:木马# C3 k2 x- {+ [7 \0 D5 _5 B* r8 M
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 20033 y$ ]: _" T1 P! ?% q( g, T
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
0 W' p+ E$ V0 a9 I害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
6 h# o4 [, s4 j& p! J0 O0 L, l+ R发送到指定邮箱。
% U9 x4 }: T- k$ f, r
9 F F8 x9 N6 E1.生成文件7 ?/ h; k1 ^. A7 \
%systemroot%\SocksA.exe
# L) K' A) A% e2 P非系统盘下 tel.xls.exe和autorun.inf
; v0 O4 h# I) r6 \/ Pautorun.ini内容:
) M" O" r+ D6 v8 W[AutoRun]) q, h6 y0 j$ ~! ?$ p( Z2 x
open=tel.xls.exe
6 h/ w% c9 {* w Gshellexecute=tel.xls.exe
$ e! U1 m Y0 B8 G# _
1 L5 {7 y# M* V& X2.注册表
5 U! t5 {2 w2 U: u. \6 I( M9 D4 U. q(1)添加启动项
& X4 U: U P/ hHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run8 g- o$ R) S7 F2 @$ B% P4 `
"ASocksrv" = "SocksA.exe"
$ \5 o$ p8 S+ s( R更改文件夹选项中显示隐藏文件的值
% C$ D% J- U, q8 ~" L! z( bHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
2 W$ c+ B+ k4 K4 I4 |& q# {/ w: Z2 Polder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)% P6 b& p; G# X! G
# J4 m( q$ p. a- d. K/ l% O感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标- ^, m% Q8 Z; ?4 u
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运( {9 _3 w1 f) k$ |+ f! D
行。' @6 X- P+ G2 n& `7 Z
4 ?* p" x% R" J7 q0 _
查杀方法
; t( r4 ^- u1 M: b( G0 ~1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们; |$ \. \( x8 f1 @! } o9 z
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
/ h0 D3 k- |6 g$ a7 nkillbox选择重启删除,或进入安全模式删除。7 G; ~8 W4 y; R
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
; G6 f' J) O5 |7 b7 I" u# l6 Wnoautorun.reg,导入注册表即可。
/ R# s- ~5 I3 M2 I5 W2 c( G p7 l9 s- O. \" p: o# G
Windows Registry Editor Version 5.00
F8 z1 b! W3 Y% n
Y- X a* F3 b( I! r+ l# e[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]; [0 } w& E1 L9 G$ Y K8 u
"NoDriveTypeAutoRun"=dword:000000ff& u& J( S' S+ m: g7 T e6 M
' ~; I# i. K% F( H
3.恢复显示所有的文件项:打开regedit,找到
! Y" s0 `7 @' [3 @5 s9 dHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
" ^/ `" N" h5 ~Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
4 S* j4 Y( x Z4 T, F1 P果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
; ]3 c# \% z: J/ T' K5 U# H,然后修改它的键值为1。
, \5 Q" P6 z2 R* d
# Z. w4 |+ V' S! B) l+ L4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
! H8 d/ T. Y+ r3 Y, f# V受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根+ d# W6 H" ^* A# K# @9 ]
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
