|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
/ z4 T) d# U2 V2 W0 v2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.8 N- |% P, `8 o9 e# m0 ?
3.千万不要再重装系统.
% e7 e, C' V2 a) M, a
* J+ d* w. Z3 x! w- |高级办法:" |0 O, q4 R/ V) w4 l8 y
tel.xls.exe的查杀方法3 Y8 D) W1 @5 _5 b
病毒类型:木马
' H9 m, ]" l- n0 y2 ]影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
9 g3 ?( _; N. C0 f" A+ i病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危! r: d- F( M4 Y% y, z
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
# y$ ^7 c( n3 v" L4 f7 Y5 f8 `发送到指定邮箱。
/ G7 v! X2 g% p8 i2 W2 `) m+ c$ B' a. H* I# x9 Z" F( A( S- r
1.生成文件
1 ]7 o- b. M8 G3 U5 I) _ T4 G' a$ X%systemroot%\SocksA.exe' W6 A8 Q4 G. K, ?; F) R- Z+ b
非系统盘下 tel.xls.exe和autorun.inf
9 J: d+ V4 A* V" K: p2 x" `! _. Qautorun.ini内容:9 d- R$ E, t: W9 o" H
[AutoRun]. s p+ J" Y1 v' y
open=tel.xls.exe9 z' F2 s' n" M5 r$ G& F3 o# {* O
shellexecute=tel.xls.exe
1 M7 C( l+ }/ b1 F9 G
3 g: p d; U4 M" I2.注册表
' ?# c) T/ y. c+ e3 U, Z- @(1)添加启动项 p" W) K+ F$ T+ R! X& k
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run! Z* [0 y7 o8 t! q. n% w
"ASocksrv" = "SocksA.exe"
6 y$ t$ n% j6 y. B6 a4 E更改文件夹选项中显示隐藏文件的值, A" f+ R9 l5 P4 ^/ d5 c- u! {- R6 Z2 G
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F; Z( Z+ t0 w4 B7 n7 ~
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
: j/ l l: A$ [9 i( q" m- F0 y, I3 r$ W1 G
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
( |2 ~ ^. b3 d1 m,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运! n' V% y# U- y9 C3 f
行。
) S! j/ Y' q9 P. O2 ?5 w5 ?( e* ]% d/ P, p e; `6 V* i
查杀方法
L1 R2 e4 Z! a! S- a: {1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们" q& {* [2 P5 w
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用8 @1 z9 H' L. V6 [7 C
killbox选择重启删除,或进入安全模式删除。# F; l. ]2 Q# c1 S9 f8 G
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
' {# W3 [ }# J& ^noautorun.reg,导入注册表即可。
& U5 M8 ~; J n8 R* x2 |0 N6 {) s7 d0 P, F6 T# \5 F; [2 K. J
Windows Registry Editor Version 5.00
1 O1 ?, [, ^ F1 J Y" h+ K
+ `7 L8 K$ w+ a- [- h5 K[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]: z$ k3 P* B; Q5 i. @
"NoDriveTypeAutoRun"=dword:000000ff
( B7 I, ~$ N% C
( s4 g* ^/ p5 {. `3.恢复显示所有的文件项:打开regedit,找到
/ T1 a6 M% H ?' a; P. R- QHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
% l& x1 Y% H- Z; z! Q2 sAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如, u; f% Q; `, \- M( ]4 `8 q
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
* h! r# n6 f6 r: d6 a,然后修改它的键值为1。
1 x& C8 r& W4 r/ R
) p4 {! j9 W& f, F$ ?9 `$ G4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏$ w1 E; J4 \1 D( ]9 I
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
$ t5 m' T9 @, I' R( g. X6 q目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
