|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
5 n: G: j8 m; U R5 i% H! c/ k2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具./ ^$ F, r/ ^% f! x& F
3.千万不要再重装系统.& p# }% A7 C5 O* Y3 F4 } a
/ b6 I3 }/ a) [9 C z' T
高级办法:6 s. T! s: C# a/ I& v; Q
tel.xls.exe的查杀方法, Q; ?7 ^1 Z& \( s9 `2 A- S4 Z* n8 @
病毒类型:木马7 b S" Q |% O0 r) ]" P; n
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003& M6 q7 I8 h. V l" ?* b/ s
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危, T `3 J I h: R4 s
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件* O* [9 D/ j# p
发送到指定邮箱。& h5 H' Y, [$ B1 l5 I4 ~, t
" S: \/ I" b, h0 t0 A2 g1 ]1.生成文件' Y! x2 t1 f0 B$ _( y* A/ g* h
%systemroot%\SocksA.exe; I; @: }8 r; r
非系统盘下 tel.xls.exe和autorun.inf
& y9 u* C, p" G d* A$ l0 z1 rautorun.ini内容:
# k; _ j! w# B3 ~; Z8 ?+ J( I[AutoRun], @7 y5 {" j) Q) U
open=tel.xls.exe
' v0 n1 [! V; ^ _ [8 @5 i0 Wshellexecute=tel.xls.exe3 z8 R+ E8 T9 j2 N- m& V- s. m
0 O: W/ v( }0 k/ k. d2.注册表& l0 z7 F+ u& \, O, Z
(1)添加启动项. q0 [/ y9 }$ o# k; t4 S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run5 {! D+ p/ n- @9 V- [
"ASocksrv" = "SocksA.exe"" `9 v( O. J: a9 u
更改文件夹选项中显示隐藏文件的值
/ ~' n" s: [$ {# GHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F \& ~& O) {& Y, g1 J. c: S
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD): r9 k! X0 U& m1 o
2 C5 \7 @. k4 y6 Q感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标: O2 Q) n; A+ m
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
# F2 }5 M) J- P0 w, L行。
5 P% R4 R: q4 s! j# u k
7 F+ c, f, d/ J( x, K" t5 P查杀方法
' Z* T* S6 N! G! I% z1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
2 c7 W5 o" \6 o0 H6 o结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
4 G7 ~& B0 I! X0 hkillbox选择重启删除,或进入安全模式删除。/ [6 J$ s. P( i& W0 k S
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为! o; [9 J0 T& t+ Q! O6 h6 o
noautorun.reg,导入注册表即可。
2 k5 `2 s9 o2 p* D$ r: j/ |0 h7 E W
Windows Registry Editor Version 5.00
' z) n8 p, `! e' R
( o! g$ w+ R# |7 x7 _9 e1 X[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
& t% S2 X0 a( T* G+ e4 b"NoDriveTypeAutoRun"=dword:000000ff
: n6 c4 O# g/ w4 s# q' N
1 c `3 ]1 b4 L# [0 g- Z3 i" I$ a3.恢复显示所有的文件项:打开regedit,找到+ a+ ?% F, W& o% s% d
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\' |5 V% p7 i3 ^: ?3 O/ J
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如6 @8 V4 O8 |$ f/ _
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue9 T5 k: V2 ~+ p" K3 |5 h
,然后修改它的键值为1。# k/ k8 u, O7 h& x; `( Z( t
8 N6 o& K2 h5 ~4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
1 Y! K4 Z+ l$ r- j2 T% d4 Z受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
! H d# o" J6 U% B' P6 q目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
