|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
8 O Z0 {% F" X" O; d& w7 k2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
( f0 @3 Y; _# P8 P" \3 n3.千万不要再重装系统.) h7 u9 G7 a0 n8 q- X0 W7 J4 ]# P% ]
6 w3 f" m' a& i# Q1 g$ g3 i3 E高级办法:
& ~& o: N( _+ x) F i' Htel.xls.exe的查杀方法- e- {3 V" ?" m5 J g) Z
病毒类型:木马
& y2 q* E/ C2 v5 ^. E& a9 b' I影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
7 g: h" |3 C3 W1 x病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
; Y' g4 E$ c6 U+ E `3 o害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
8 H$ f' y/ ], T! |. L发送到指定邮箱。% W5 A, W t- |. J9 } g/ r( r
4 c$ n+ i. B+ }" B
1.生成文件+ G" _2 W- o4 v4 |4 ^
%systemroot%\SocksA.exe6 d: s' z6 H4 X/ b
非系统盘下 tel.xls.exe和autorun.inf
! Q$ x! r7 v' o- m5 rautorun.ini内容:
! _- W5 y7 q# r- H, d' w9 v[AutoRun]3 E. f$ e9 {7 V5 x i% F
open=tel.xls.exe
. j2 ~/ N6 p# Oshellexecute=tel.xls.exe
8 i4 h" q; Y+ f$ e' H" y6 l
, X2 G. H* L3 \, j% C$ q2.注册表
1 }" `% ] w$ h" u. [5 |- H/ c(1)添加启动项! G" M. \& K5 U* l; |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' h; E! T+ {5 _$ R
"ASocksrv" = "SocksA.exe"" @) t$ f- ^* k' e, s
更改文件夹选项中显示隐藏文件的值
2 h8 I" X8 V* R) qHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F5 Z7 G2 K" S A" c5 o# S
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
4 \' T+ B( E5 h1 p- J+ x1 y
% i& R2 w" w" [- b- r感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
6 m$ y& L; j9 i1 v,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运: }# L7 j8 L4 e" H; s1 x
行。
; D5 J0 u4 H" v1 k0 m! g
+ c0 p0 e6 Y# o# y/ A y查杀方法
. |( m- z; ]/ h" k( m1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
: n3 r) r2 E6 i6 ?) G, V8 {$ e: M结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
. t Y' a- m5 D" b% U1 Akillbox选择重启删除,或进入安全模式删除。
2 k8 ~1 b, } w2 }2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为0 S* _5 O) y3 }/ s
noautorun.reg,导入注册表即可。
: B% q1 ~4 m2 \4 a0 `; k2 E! T4 [( t" f1 [4 z
Windows Registry Editor Version 5.00
+ _2 F, _+ _$ ~' V, c) k; M0 e+ L" H K5 d% E* x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]7 W5 j! @. D. O, s
"NoDriveTypeAutoRun"=dword:000000ff7 f$ ^- y8 s' a- l9 x+ `6 p
, a O- b4 T: c! y5 ^
3.恢复显示所有的文件项:打开regedit,找到; f8 Z# m. N! ^ s: c$ }* l% ?6 F
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\4 G: r+ ]; E4 K, P* T, u
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
0 u- [' J3 N# [; C& l# I8 e9 ?- N O果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
; E3 s- U' Z8 X,然后修改它的键值为1。
/ ^/ l/ S$ y9 u1 E3 K
$ O+ O; j& N. G$ b( S* X4 S4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
+ \: N# n, [: R1 m1 D* }* j. Y受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
4 L' |4 C1 [5 p- G目录下的autorun.inf和tel.xls.exe文件。 |
|