|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)( m: J( Y3 e( z- K
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.3 V i# R( \6 V% ~* P1 N9 t6 t9 f
3.千万不要再重装系统.
6 N" Y5 f, ^& m( P: b( t' a5 h9 [% k( Y
高级办法:
) Y& U/ j8 @' y% t1 ytel.xls.exe的查杀方法/ c& e. g6 [: g8 o
病毒类型:木马
9 s8 b. K4 G3 [+ R影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
- G7 K; I- D& Z/ }0 R; L. y1 h病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
- [2 L9 l' x: ~8 J# ?7 J8 g3 e害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件% N/ I/ P. z( X6 i) B1 E( c$ G7 N* p
发送到指定邮箱。 }9 S9 y9 \7 C. a8 O
$ o& I ~" Z) y0 a6 K/ r. g
1.生成文件
: d+ r. r% h$ P6 A%systemroot%\SocksA.exe
3 g0 {% p9 t! |$ q非系统盘下 tel.xls.exe和autorun.inf1 ^* S$ K0 L. Z* `9 m% L# e, [
autorun.ini内容:( a; | M. ~9 e. H
[AutoRun]
. X* Y) g8 u' f% qopen=tel.xls.exe9 ?9 x! M0 H* h" d5 f9 w. _
shellexecute=tel.xls.exe6 M- C" v9 e1 b- A* a
. F6 x0 x5 n% y8 |! {$ k2.注册表
4 w! t/ j/ R4 n7 N& K( U+ \(1)添加启动项2 r+ J4 X( N% `* U0 M; T
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/ t( |7 x' P2 T9 g/ C4 j/ C- k5 @"ASocksrv" = "SocksA.exe"& {( \/ o6 Q, a& s8 B( ~
更改文件夹选项中显示隐藏文件的值
/ |* e3 p5 Q' g# T# {HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F* M0 ^5 {; V& k$ c5 \
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)$ {6 I% |7 z7 c# B
Z' ?$ M& x6 {; c; ~6 k w
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
. Q- }( @- ~# ~0 }5 e,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
q0 x- g! x x X: T# M行。) p$ m& D: u# T/ v
& N; q+ {4 o1 o" R- h6 a查杀方法3 o( R) R4 T n; R
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
& V, ^5 ^/ e9 M b, m+ M结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用" }) D+ w3 v, F) l0 Y; i
killbox选择重启删除,或进入安全模式删除。
2 Y8 E2 _4 y; \7 [) a, @2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
H1 R$ _& M. z/ p6 W; A! L9 cnoautorun.reg,导入注册表即可。
3 b" }6 z# l ~, l3 y6 p
3 D+ U1 A0 k( }/ l3 d" y. l7 c3 b g0 y) GWindows Registry Editor Version 5.008 h. U) e8 H1 ^. D9 {, e7 I
$ F+ k* M8 ^, P. z# a: g& H2 q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
$ Y2 Y8 |* H) m- ]- T8 F0 z"NoDriveTypeAutoRun"=dword:000000ff
) p% D! L3 I3 @* f% `/ ^) Y' K) f6 Z2 s8 j9 a
3.恢复显示所有的文件项:打开regedit,找到. b7 ?& \. G0 P, k
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
/ N! E/ ?! W% y0 L" Y- x: gAdvanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
6 U1 t( ^" {. o/ e3 N果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
. C$ a7 a5 K5 D$ s,然后修改它的键值为1。" ^+ x, j [+ V* i0 _; h" L0 T
' L' ]. f x$ J3 p
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
& N$ R0 [' P! _$ i c受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根4 c! l* V( d+ t2 U- L" u
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
