病毒的名字是tel.xls.exe病毒
病毒類型:木 馬
影響系統(tǒng):Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:盜取QQ賬號密碼的木馬病毒,特點是可以通過可移動磁盤傳播��。
該病毒的主要危害是盜取QQ帳戶和密碼��,盜取方式為鍵盤記錄����,
包括軟件盤,將盜取的號碼和密碼通過郵件發(fā)送到指定郵箱�����。
1.生成文件
%systemroot%\SocksA.exe
非系統(tǒng)盤下 tel.xls.exe和autorun.inf
autorun.ini內容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注冊表
(1)添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ASocksrv" = "SocksA.exe"
更改文件夾選項中顯示隱藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的類型為REG_SZ(原本為REG_DWORD)感染病毒后�,系統(tǒng)將不再顯示隱藏文件和擴展名,同時tel.xls.exe也偽裝成為EXCEL的圖標�����,誘導用戶點擊導致深度感染�����。當用戶雙擊打開磁盤時,autorun.ini使tel.xls.exe自動運
行�。
查殺方法:
1.刪除駐留的病毒程序:打開"任務管理器",找到tel.xls.exe和SocksA.exe進程���,把它們
結束掉�。到C:\WINDOWS\system32里找到SocksA.exe把它刪除��。如果無法刪除��,使用
killbox選擇重啟刪除��,或進入安全模式刪除��。
2.禁用移動設備的自動運行功能(目的在于避免重新被U盤感染):把下面的代碼保存為
noautorun.reg���,導入注冊表即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
3.恢復顯示所有的文件項:打開regedit�����,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL中的CheckedValue���,檢查它的類型是否為REG_DWORD���,如果不是則刪掉 CheckedValue�,然后單擊右鍵"新建" - "Dword值"�����,并命名為CheckedValue���,然后修改它的鍵值為1����。
4.刪除病毒文件:打開"文件夾選項" - "查看"��,選擇"顯示所有文件和文件夾"�����,并把"隱藏受保護的系統(tǒng)文件"復選框的√去除�。在各磁盤上用右鍵選擇"打開",刪除各個非系統(tǒng)盤根目錄下的autorun.inf和tel.xls.exe文件�。
關于autorun.inf tel.xls.exe兩個病毒的查殺
autorun風暴主程序名稱為X:\Recycler\Recycler\autorun.exe(相應目錄下還有一desktop.ini使得雙擊
后指向回收站……)同時還有同名的vbs/bat等文件。tel.xls.exe主程序即為此,中毒癥狀為進程中出現(xiàn)名
為kill的excel圖標進程也是通過根目錄的autorun.inf進行啟動兩個病毒均可被卡巴截殺中毒的都可以通過
安全模式的全盤掃描來根治�。
------------------
||手動查殺方法||
------------------
1.打開"任務管理器",找到tel.xls.exe和SocksA.exe進程�,把它們結束掉。到 C:\WINDOWS\system32里找到SocksA.exe把它刪除�����。
2.執(zhí)行"開始"-"運行"-輸入"regedit"打開注冊表
3.找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\A
dvanced\Folder\Hidden\SHOWALL中的CheckedValue��,檢查它的類型是否為REG_DWORD
如果不是則刪掉CheckedValue�,然后單擊右鍵"新建" - "Dword值",并命名為
CheckedValue����,然后修改它的鍵值為1。
4.打開"我的電腦" - "工具" - "文件夾選項" - "查看"�����,
選擇"顯示所有文件和文件夾"���,
并把"隱藏受保護的系統(tǒng)文件"復選框的√去除�。
5.關閉任務管理器里的explorer.exe�����,選“文件”新建任務cmd���,然后輸入
del C:\autorun.inf/f/s/q/a和del C:\tel.xls.exe/f/s/q/a�����,
然后D盤��,相同操作����,有幾個盤殺幾個盤��。然后用SREng把啟動項目里的
SocksA.exe刪掉�,msconfig也行吧
6.重新啟動計算機。
