|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
- x( B4 ]% U% d+ N4 P2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
$ K6 z' e; ?1 ?. x6 H D3 G* i/ D3.千万不要再重装系统.
6 K! G/ _0 _6 E$ b2 @
& v6 w% D& ?; m6 c# Q* `高级办法:
* m: K% b6 b1 Y% e8 [4 ntel.xls.exe的查杀方法
! M. v9 e" J0 _/ q! L病毒类型:木马4 z* H. B$ F8 J: j, P( [0 s
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003; S( Z% g" z6 Y, r
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
& L" M$ H! D) z7 i: f2 x害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件6 b: S) a1 U$ F. E5 q1 T( B @
发送到指定邮箱。" `8 u, l$ m: m0 ?/ m: \2 ?$ \
4 d* o/ j) y! @. @5 M5 j. r6 O4 b1.生成文件7 P: A. y2 M4 `7 }* X' m
%systemroot%\SocksA.exe, W X/ f, v0 _5 t: n
非系统盘下 tel.xls.exe和autorun.inf
9 b4 Y6 S$ s6 v+ ]( c$ ^0 |8 lautorun.ini内容:
7 U% G+ ?/ Y \5 T0 |/ F/ z( {[AutoRun]1 J0 W, Q8 K N& X# e/ i
open=tel.xls.exe
D8 {4 Z1 D9 A- K; Gshellexecute=tel.xls.exe( n( [, ?+ f' O
, s+ K6 n0 K- B8 |$ a4 _2.注册表9 J+ ]7 [, K- I
(1)添加启动项5 {2 p( b; S3 h+ O% E/ E# s! }
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
( J+ L% H. o1 M, s0 M! R1 V' \8 a* ?"ASocksrv" = "SocksA.exe"
L& R* e) W% C) d( Z更改文件夹选项中显示隐藏文件的值
" k; ]% j9 C/ d; A: ?4 I0 B* F* q- KHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F* j( P: [; ]- l! k9 l
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)6 X9 C; y, ^. J" N
P. Y& `4 l& L4 [1 W# L) ?感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
) U6 L% ~! g0 V4 [7 P/ C( ?0 V,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运, Q/ C1 o5 q# _9 x% @+ E, V
行。- v' e$ o; s+ @
. k! k4 F" E! O0 a
查杀方法/ ~* _0 I" j9 L4 J5 H& R7 b* t
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
. Y1 Y- E) Y" C3 p% m结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用; w+ m# x6 U$ Z6 }; C
killbox选择重启删除,或进入安全模式删除。
2 d7 Q- G$ _: c4 P; @2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
" Z. ~, b$ \! snoautorun.reg,导入注册表即可。
, b+ J, u F! V) g7 j5 Q: p8 l6 X3 N `; h
Windows Registry Editor Version 5.00
. d5 K% B2 c! L% o9 g, V4 J+ i \
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
( q8 q9 j7 `& n9 D9 f"NoDriveTypeAutoRun"=dword:000000ff
/ }" @& T" J8 V
- a; Q/ _- U; i' {6 Y3.恢复显示所有的文件项:打开regedit,找到- B* G. F4 B- U6 h; N. E( s
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
/ F( N% N7 ^$ u* p5 m0 V0 V/ rAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如' l1 P- h: R# t3 _: L
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
5 v" A- V" |8 y; Y,然后修改它的键值为1。
+ E( T; s: `. T4 O5 a. C) e
* W0 T2 n3 D! ^4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
7 ?+ g" b5 \: z. c8 z9 K6 C9 v受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
E( Q0 b, O( F: H& w目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
