|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)' p# ]' K: P8 c" _( i+ Z' J% p5 y
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.6 R2 U# R( O4 q8 \
3.千万不要再重装系统.8 v& ?5 y7 p6 W5 ` {! l6 d, V
- M6 t- N- U$ J" M. t6 a5 \高级办法:
: o P4 }, I8 R' n6 I1 F' z+ ^tel.xls.exe的查杀方法
- S2 b/ W; U. @3 [7 p7 ]病毒类型:木马
0 m9 Z! }/ P1 @3 ^9 E* E影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
# n5 E3 M0 d! o* ~病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危: w* I& J1 {1 r; O
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
3 A f' Y- z( T发送到指定邮箱。/ ?" R# K2 K: P! k. l, G
3 }. N! A3 G/ C5 D$ H0 l1.生成文件/ i" F0 y# T) h4 x; b
%systemroot%\SocksA.exe
+ K- o# A( b& n; _非系统盘下 tel.xls.exe和autorun.inf
+ U, z, d( b" K/ |- Kautorun.ini内容:
s5 }; Q3 i# A9 `9 c G0 K3 U1 m; J[AutoRun]
; s9 }4 d8 n# popen=tel.xls.exe5 \( C3 p* f' I4 {5 T0 R% b
shellexecute=tel.xls.exe: u, g4 I6 ^) ?- I
" y( T7 Z6 ^8 w. J4 k8 m) U
2.注册表
. M0 i0 ~8 i* d8 d# V' ](1)添加启动项
4 D5 i0 }1 B2 Q/ F8 ~* DHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run3 z) ?& U$ V; w9 u
"ASocksrv" = "SocksA.exe"
8 U; k" H6 C5 a9 Q p更改文件夹选项中显示隐藏文件的值* g$ _1 e7 o4 N
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
0 B( k$ O5 I @older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD): ~5 l/ P& [" E5 x- U3 U4 q
/ K% Q" l' S: a' s5 W# ^, {
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
. _& g7 b: Y+ Z+ T7 X3 R% t,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
1 U1 K" Q, j, a( V5 }( ?0 F7 E+ n行。
2 O1 t" y' |8 ], c# H) g, `2 P; h0 K. J/ X
查杀方法
l2 s$ E( G- q4 E' A( n, \1 s1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
8 J' }: W5 a9 r" t9 A7 g: z结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用8 h9 u- C# ]1 i% j. B: M
killbox选择重启删除,或进入安全模式删除。9 {* O7 t' u6 p1 \. E* A
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为3 u2 M2 A& i% f) B" M0 u
noautorun.reg,导入注册表即可。9 I3 n( v. U& [7 ~7 c7 ~2 ?
' S. B+ c. X. G m, X# h+ `- [& gWindows Registry Editor Version 5.00
* `$ r" A K- f+ M4 h( M, R5 N8 c3 `7 D1 m( M
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
0 f, D) `! V( ?3 z& x- C; S8 G"NoDriveTypeAutoRun"=dword:000000ff( h5 A( m6 `9 {/ D N) @
7 z* v! _* A+ b' w# K
3.恢复显示所有的文件项:打开regedit,找到
+ r$ m. `/ c( P) y/ G1 ^/ JHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
, E9 h4 W( \: _5 {Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如/ B. n% A! e+ I$ a6 ?" p
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
8 Z5 N7 `: G( A,然后修改它的键值为1。
( i& T% H1 ? o- q$ Y
& G; _1 l! u) M) k4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
$ q% e: ]8 K+ a9 u$ y- o' Z受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根* T5 A6 |* ?( A, e
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
