|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
5 i; b7 J8 ^" F$ _, F0 B0 f G3 w/ h2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.6 i+ b/ c1 L8 e
3.千万不要再重装系统.
! j2 d! E9 X' ]: q# T. K
- {, R* M, R4 `9 a! T# q高级办法:5 J2 N. k% q7 U7 b, ?5 g
tel.xls.exe的查杀方法* x& g) b# j3 A! t8 m
病毒类型:木马 B& ~% t6 Z" @
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
8 f J. ~+ N0 N' p. O$ g* M病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
" E- ~% d2 ]$ f5 j3 s害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件) l8 ]4 q1 n2 b" |: U
发送到指定邮箱。
! e* V7 @+ ^! w* J( a. K9 R& F0 Z, O# r T0 Z# y; P0 d
1.生成文件, O- L. F4 r- _, v0 W
%systemroot%\SocksA.exe% d& g$ x' n& D4 _
非系统盘下 tel.xls.exe和autorun.inf5 p/ _; P( m/ p& d0 Y+ z
autorun.ini内容:
# o8 R# m" H1 h, T" {* U3 j[AutoRun]
" X' n- R6 `; O& R& Q1 w G2 Oopen=tel.xls.exe
$ G0 R0 q4 a5 q8 m5 a# Tshellexecute=tel.xls.exe
2 @; d1 W7 d# `8 Y9 I6 T* S& C2 x0 I) N% o8 p1 J
2.注册表; d" W# a% ?/ W+ X# c- Y1 I
(1)添加启动项
6 h0 x+ ^* V$ e6 T. jHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run3 l6 y0 x* c& B, }- ^" l4 c `9 t3 h) k
"ASocksrv" = "SocksA.exe", u1 O/ ^( d0 V7 t) n
更改文件夹选项中显示隐藏文件的值( ^+ M4 ] @ J
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F' ?( }4 Q# g$ {5 G9 F# P' u+ `
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
" O, x. k- G, O4 C. q8 w# U7 `/ x, `, z. ]
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
$ g- o' J* b0 q+ d,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运6 Z& v/ p, ?2 v. |$ V' A2 h- ?3 p1 m K
行。
/ v/ R4 o. M3 M+ w1 r0 K" r% N& q6 o! k& V% z( A: X
查杀方法
$ g$ M1 W& I0 \1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们$ N7 w4 @7 U: A: h+ X
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用# N3 R- U% h0 w( G8 N( v& `
killbox选择重启删除,或进入安全模式删除。
. D! R' e, J7 |( J! O$ v2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
7 [( }1 f' d8 ~1 u- D! b; Xnoautorun.reg,导入注册表即可。
$ l; d1 K) `" W- J0 w6 J& `5 A" m& O8 M
Windows Registry Editor Version 5.003 E# k( F. o+ m: {4 f. w
7 ]/ w! p' d" m3 r8 Y$ \) [ _
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
8 C' Y8 C+ \8 C* E3 i"NoDriveTypeAutoRun"=dword:000000ff/ R) ?5 E6 m* R6 j& f2 ?1 j2 z
1 b5 A$ s$ t3 y' Q/ Q3.恢复显示所有的文件项:打开regedit,找到! ]# ~7 a; V {; \& c: B3 G
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\% v& O( ~' f6 R6 H" D! N% n! V
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如6 P0 b- k2 R1 y# U& V9 q: ~
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue7 E& S0 L* w" L8 Z! @+ |1 [
,然后修改它的键值为1。
2 Z$ X/ G0 ]6 v% {# q/ D z8 k+ S1 c/ F: L
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏/ m$ r% n$ t3 f# S' i; U! L
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
1 r. g9 o1 n' c# t% r0 k目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
