|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
6 _) s4 \- q& W/ Q2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
6 l* U& P: L9 L8 O" t3.千万不要再重装系统.
0 \0 v# r* p \4 q# R6 M. z6 d
' ~; p& W& M+ P* @( ]高级办法:
p4 n4 l; u$ g$ \; V0 P# W8 x9 @tel.xls.exe的查杀方法
2 \# S$ P& l% W1 s7 }1 R1 o2 e* `病毒类型:木马9 k- R/ W" U1 d! W7 {
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
+ n! o9 q. r) \+ S# a病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危" q: b2 j" _2 {/ F& X8 U: }( r
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
6 H6 W* P: q, K发送到指定邮箱。3 [, U0 T! j) K; Z8 ` x4 n p% l
' |2 N) X: U; t0 a! ~ K9 n, j1.生成文件# `7 X9 d! d L2 l4 F
%systemroot%\SocksA.exe% V L3 [ x3 g
非系统盘下 tel.xls.exe和autorun.inf
; y; _+ P- j: o2 uautorun.ini内容:4 O- I, N R# h d* M/ E$ b8 w% M& I
[AutoRun]
6 g% a: w9 f0 I7 U! E" h( Iopen=tel.xls.exe
* N6 O: f8 ~, T0 w0 Y* e# X2 A2 ^shellexecute=tel.xls.exe+ y; f% l3 ~6 Y5 U7 c, U* u
& I- _" X) ?4 Z; f2 R$ y; p, [2.注册表8 C6 h* F. ~' H2 r3 r3 c
(1)添加启动项
6 N/ q% O O1 U% J$ F( BHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) E; @6 c$ u4 N2 i
"ASocksrv" = "SocksA.exe"3 ?9 @ W) U: ~6 r. H- e+ T
更改文件夹选项中显示隐藏文件的值8 B2 M- m6 F/ H
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
/ D4 w$ p4 ]' Bolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)' S: P' D. T' S
3 g; {' w, M# [$ s感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标: j" G* I# C, A7 ] T" r
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运9 n/ P+ S. H' {
行。
* d4 `/ r7 z/ ^1 u; ]4 ]3 G
7 F9 j8 }5 v0 G) ^# m# Y A( X查杀方法% V& W! a3 z: D' ^& |+ `
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
. ]- l1 C$ e0 D' z结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用7 M7 C8 F/ g" p$ e$ A
killbox选择重启删除,或进入安全模式删除。 [$ ?( h; f( d r: U
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
, `: } c. h( v# o9 `* k: ?noautorun.reg,导入注册表即可。
6 @0 e0 g% B( y
$ e2 [3 d4 w' F. t4 {Windows Registry Editor Version 5.00
) |! v7 R2 K* H/ _ |1 Z) O$ m- E4 M! d
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer], a# \% n' [% Y3 [7 y, Q
"NoDriveTypeAutoRun"=dword:000000ff
6 l% N% L! H* N
5 Y4 j! w$ a& s! O" o8 d; q. L3.恢复显示所有的文件项:打开regedit,找到
: y# L: ?3 H0 [HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
' I, j* L& F# b# ?* iAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如' Q4 }1 t4 R- T. o$ Z
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue3 C$ I8 Y9 Y. J, M% B( T- `1 x
,然后修改它的键值为1。
p, ~9 _3 O) Q& |
: n# {; @9 x/ ]4 c" }4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
9 w% h% ?+ C0 C5 Q受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
5 I( r- c; {, X目录下的autorun.inf和tel.xls.exe文件。 |
|