|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
. J1 O; q8 H" k! `7 L2 B1 W2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.3 p3 N9 P- P K( v0 {2 s& O
3.千万不要再重装系统.
8 }' h( M" i/ G! @$ w' g
0 ]1 H" G0 |' f) Z+ b高级办法:' Z2 M. }- }( z' }
tel.xls.exe的查杀方法7 F$ h* q9 q7 k$ B% k* q& ?
病毒类型:木马
e2 @6 E3 R# h. g% m影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 20035 S# A- I( T" F) E, S- f
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危: f# S( J+ j& B1 {# t
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件. n, |; D6 [3 A; v9 N
发送到指定邮箱。
8 G5 j5 M g+ M H" ]. M* o: ?' I9 h3 G& b. X
1.生成文件
% J+ [7 i& V6 f; k1 q* N%systemroot%\SocksA.exe
2 m0 J M8 o- ?4 k8 k) `非系统盘下 tel.xls.exe和autorun.inf8 i r4 u( Q5 y, Q+ `
autorun.ini内容:& [3 R; ` B# h5 s* [2 J( i- P. P
[AutoRun]
( `! f, o' v- \ S m! W* W8 yopen=tel.xls.exe
. p* }9 r; n$ Oshellexecute=tel.xls.exe
, w! U) C- G7 s% W
! |9 ~, t3 u$ p6 d2.注册表
# V! L9 O4 N% T: Y2 i(1)添加启动项& p7 z0 e8 ^3 b8 W* v# n5 n1 ~! `
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run( q9 M# s& {% @8 B# {
"ASocksrv" = "SocksA.exe"
3 C8 k! g" }2 {! |; x5 @" J( }/ \( b更改文件夹选项中显示隐藏文件的值8 H# J: D. c% t5 ~
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
' l% @# s' r E$ K" Y+ ?# P- V- Jolder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD); x3 X7 `: Y1 ?; i
5 q6 h! ?- i6 z感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标1 Z) @. i1 ^" p0 D
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
a3 w# W6 E$ |+ ^ l; J; p行。
2 H2 Y1 P6 Q8 K3 j: _9 Z# B8 }, V1 {9 `5 p
查杀方法
( u4 U% K* g9 H1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们! F0 ]2 C' _& _" D
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用6 H( h) Q' h H" T4 b; w8 N$ Q* f) f9 M/ F
killbox选择重启删除,或进入安全模式删除。
" v: ]& C, ?, L$ ?9 w, z! A2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为! M5 ?: j3 ]. L
noautorun.reg,导入注册表即可。! ~. _+ j" _0 E, h0 W
# Q# z. T: c5 d9 Y; C! H; q
Windows Registry Editor Version 5.00
0 V/ @) J7 F( o" l ~3 q; _$ G' w& y1 J/ N3 f# [- l4 j1 A
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
$ o( \% m! [4 S"NoDriveTypeAutoRun"=dword:000000ff" ?$ p$ G2 Y% ?8 \8 \
: P' f! o- @$ R' o5 f2 e/ N3.恢复显示所有的文件项:打开regedit,找到
% H: X5 i) C. x8 j/ XHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
! x/ \" \9 O9 I+ u+ P# V+ O( n" xAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如7 V5 b6 ]$ H: e( v
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue, i$ X2 i) n! f" |+ ~ ^# @; z
,然后修改它的键值为1。2 R9 B% y, B& [9 H
) A$ G8 `. w3 m6 r4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏$ Q/ g" ^3 e @ B
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
9 L* Y, T3 Y! |6 g* L- i3 c$ O目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
