|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)" _* ?1 f8 f R# E( ]
2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.' X3 s5 F# C9 q/ n7 K' c# v7 l9 c: u
3.千万不要再重装系统.7 p% W# H+ @! A6 R
9 B0 A7 v) ]% { j: }' L9 g高级办法:( e+ U, H" O1 [2 N8 u" d% W
tel.xls.exe的查杀方法8 |. i# t* e& K
病毒类型:木马$ M: G6 k) a$ K* ~9 C% W
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003/ R* _+ }: o! D! S& B
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危( d/ a$ a( o/ p& f8 C' v5 Q
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件$ A4 I8 Y+ f6 X2 Q7 k. U+ f6 `
发送到指定邮箱。
8 a# j6 ~8 x! z0 f* b
9 L, K a* i0 o% ~" S( v" d1.生成文件
, O* e' ? v$ c( A3 {8 P) V1 @%systemroot%\SocksA.exe
' X. H- V: @. v, [9 c5 P, S4 \非系统盘下 tel.xls.exe和autorun.inf6 G! N8 f' _" N
autorun.ini内容:, E/ O& `/ [/ Q( Y3 O2 `( K
[AutoRun]2 o" g9 Y$ O7 ^# {$ l e& a! }
open=tel.xls.exe
! x4 J5 \$ h& Z1 r6 [shellexecute=tel.xls.exe
$ K t4 O( t P- g8 ^" H4 L8 o' Y: Z+ ]1 @' I) E7 Y& o. K
2.注册表
% b' a2 B' y: R& n(1)添加启动项: F/ s ?6 |* @+ A7 ^0 q) q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run1 q! f* S B s8 R
"ASocksrv" = "SocksA.exe"
6 ]4 r/ O. r& f0 R0 x% G更改文件夹选项中显示隐藏文件的值
. ?2 [7 `; L# P' k. C& B5 g8 AHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F& `& I2 e! Y2 d4 O( A
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)5 [- L4 v4 F" h% A! m; t- C
6 c/ Y" G2 h! k7 I感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标8 x. `5 u9 _5 J; f+ m, @' P4 R
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运$ I. t2 @3 b6 }3 j, _* x
行。+ v" F! I& s2 {
: x* B3 o9 B/ r# f0 Y3 _
查杀方法9 g) ?7 q: U3 o j( a! d; E
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们! g! x' }: V' U% @2 P c$ |' o
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用0 ~9 H1 G1 D O; y+ x+ c
killbox选择重启删除,或进入安全模式删除。
3 P3 B% e. A2 J& i7 {+ N& a0 g2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
! N0 [& l3 q3 r l1 hnoautorun.reg,导入注册表即可。$ a' G- D* _; y# m3 ~) I/ Y
4 t& |/ B! T4 m1 ]% X1 GWindows Registry Editor Version 5.00
7 J2 L6 y p8 |7 g% W
9 k3 x/ O+ z7 j[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]1 B q r: U3 M% P! D4 t/ Q! \
"NoDriveTypeAutoRun"=dword:000000ff2 o% d+ {5 g9 w0 ?3 n6 m
& R( O# E! b1 g
3.恢复显示所有的文件项:打开regedit,找到
! l; Y9 {" i" S% v. m. C: }$ w' E8 pHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\, W4 S2 S$ c$ ^8 `) o
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
4 P4 C5 y$ X* `" ]4 c果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
7 T) R3 Y6 u9 C, \,然后修改它的键值为1。. n0 v6 ~6 y1 p* ^+ t
5 Q; a1 X' ?! T7 {$ J4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
# \9 n% e# c3 n( r8 F. u受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根& _; D# u# y% I5 k
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
