|
|
发表于 2007-9-22 13:27:03
|
显示全部楼层
tel.xls.exe病毒的清除方法 1.Ctrl+Alt+Delete打开进程管理器,结束tel进程,到每个根目录下删除autorun.inf文件.(能找到autorun.inf最好,找不到就点击工具栏的"工具"---"文件夹选项"---"查看"---将"隐藏受保护的操作系统文件"前面的对勾去掉---将"显示系统文件夹内容"前面的对勾勾上---"显示所有文件和文件夹".)
$ A% Y2 ?/ R9 q, D) c* ?9 J2.到网上找autorun专杀工具,找熊猫烧香的专杀工具,找威金病毒专杀工具.
8 Q! T% G( g/ r+ q) o3.千万不要再重装系统.
- H! _" n: b v7 B$ }' e1 i6 X) m" ?7 z. v3 B: y5 c
高级办法:
+ G( {) y" |1 S4 \tel.xls.exe的查杀方法; S. ~5 R& u0 l1 G: V; o H) K. v
病毒类型:木马* H7 ?# U0 ]9 }6 O/ y
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 20031 u4 c* |, H& d* X
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危9 r. r9 A1 \/ Y0 X: F) P
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件; F/ i6 _, U4 |9 Z
发送到指定邮箱。' X% l% \$ L7 w5 Q% v
" w# ?/ {! p+ n# M; t
1.生成文件- ^" \4 `( E2 j1 L7 i$ ^" U4 s
%systemroot%\SocksA.exe
, e1 p' \: ^% r非系统盘下 tel.xls.exe和autorun.inf
+ F1 d4 a! ]. K" hautorun.ini内容:
4 V& O7 h4 c0 t3 c# m( l[AutoRun]
4 R! F9 J" }4 t" w& O$ Z5 x2 _open=tel.xls.exe; \; r0 t6 T, ]9 d, i9 G! F
shellexecute=tel.xls.exe
" F, f/ h! H2 z) j+ U2 F& r% b, s' i2 ~. D8 ~& d
2.注册表
4 W& e4 J) t0 b(1)添加启动项
+ Y" a6 ?% K$ n! nHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" h% n9 R: L. z
"ASocksrv" = "SocksA.exe"
/ |5 O# g" B! n! _4 ^# i2 g# ~更改文件夹选项中显示隐藏文件的值- s6 } D; C/ G3 @+ }9 s1 L) g
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F* F/ D: w; }/ x* F7 ?2 G
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
; j; @1 A3 C7 A2 l4 {
1 p y$ x7 O9 { m0 s1 j+ u感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
: L# o- g0 K- \9 C% X) P,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
( U5 X6 J% a1 ?. g& k9 S- U5 ]' F. B行。
. `" f2 {2 o2 `. H `/ w: X& ?3 r' X1 ~9 O! X2 a! d
查杀方法/ G( s' M" i$ b- h, B* W6 C, U
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
2 P9 ^1 Z+ ]! h/ t结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用0 N9 E2 l9 C" P3 d
killbox选择重启删除,或进入安全模式删除。
+ x) L. M6 M7 m$ ^5 |# i2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
/ S" J M) B# E w* rnoautorun.reg,导入注册表即可。9 w4 ^/ P, q7 u: S
, A. v& X# D+ x2 {Windows Registry Editor Version 5.00
- s$ E' G; Y. o; v( S3 y4 B+ i- o6 T4 e- d* x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]7 d/ Y4 g1 u1 {0 T! Y5 W
"NoDriveTypeAutoRun"=dword:000000ff$ q9 e- o, T2 _ M! A
6 B h4 n) V! t& t |
3.恢复显示所有的文件项:打开regedit,找到
; V, K, y3 r8 t# s- j; z* _HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\+ N+ V! p2 I( \0 p; y* g3 T: j
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如2 E* Y+ _, Q* K! R) B
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue3 \8 p! O: A7 K+ b
,然后修改它的键值为1。3 `/ q( U2 u* G/ Z1 c" l
$ T* ]* V/ {: O/ @) T
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏0 ~, l$ ]; g% w2 @! j& V k
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根 M4 V/ c' ?6 z2 M
目录下的autorun.inf和tel.xls.exe文件。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
风雨中木马了
熊猫你以为人人都和你一样啊?
