病毒的名字是tel.xls.exe病毒
病毒類型:木 馬
影響系統(tǒng):Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:盜取QQ賬號(hào)密碼的木馬病毒,特點(diǎn)是可以通過(guò)可移動(dòng)磁盤傳播����。
該病毒的主要危害是盜取QQ帳戶和密碼,盜取方式為鍵盤記錄���,
包括軟件盤���,將盜取的號(hào)碼和密碼通過(guò)郵件發(fā)送到指定郵箱。
1.生成文件
%systemroot%\SocksA.exe
非系統(tǒng)盤下 tel.xls.exe和autorun.inf
autorun.ini內(nèi)容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注冊(cè)表
(1)添加啟動(dòng)項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ASocksrv" = "SocksA.exe"
更改文件夾選項(xiàng)中顯示隱藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的類型為REG_SZ(原本為REG_DWORD)感染病毒后�����,系統(tǒng)將不再顯示隱藏文件和擴(kuò)展名�����,同時(shí)tel.xls.exe也偽裝成為EXCEL的圖標(biāo)���,誘導(dǎo)用戶點(diǎn)擊導(dǎo)致深度感染����。當(dāng)用戶雙擊打開(kāi)磁盤時(shí),autorun.ini使tel.xls.exe自動(dòng)運(yùn)
行���。
查殺方法:
1.刪除駐留的病毒程序:打開(kāi)"任務(wù)管理器"���,找到tel.xls.exe和SocksA.exe進(jìn)程,把它們
結(jié)束掉��。到C:\WINDOWS\system32里找到SocksA.exe把它刪除���。如果無(wú)法刪除����,使用
killbox選擇重啟刪除��,或進(jìn)入安全模式刪除����。
2.禁用移動(dòng)設(shè)備的自動(dòng)運(yùn)行功能(目的在于避免重新被U盤感染):把下面的代碼保存為
noautorun.reg,導(dǎo)入注冊(cè)表即可�。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
3.恢復(fù)顯示所有的文件項(xiàng):打開(kāi)regedit,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,檢查它的類型是否為REG_DWORD��,如果不是則刪掉 CheckedValue�����,然后單擊右鍵"新建" - "Dword值"�,并命名為CheckedValue����,然后修改它的鍵值為1。
4.刪除病毒文件:打開(kāi)"文件夾選項(xiàng)" - "查看"�����,選擇"顯示所有文件和文件夾"���,并把"隱藏受保護(hù)的系統(tǒng)文件"復(fù)選框的√去除����。在各磁盤上用右鍵選擇"打開(kāi)"�����,刪除各個(gè)非系統(tǒng)盤根目錄下的autorun.inf和tel.xls.exe文件。
關(guān)于autorun.inf tel.xls.exe兩個(gè)病毒的查殺
autorun風(fēng)暴主程序名稱為X:\Recycler\Recycler\autorun.exe(相應(yīng)目錄下還有一desktop.ini使得雙擊
后指向回收站……)同時(shí)還有同名的vbs/bat等文件�����。tel.xls.exe主程序即為此����,中毒癥狀為進(jìn)程中出現(xiàn)名
為kill的excel圖標(biāo)進(jìn)程也是通過(guò)根目錄的autorun.inf進(jìn)行啟動(dòng)兩個(gè)病毒均可被卡巴截殺中毒的都可以通過(guò)
安全模式的全盤掃描來(lái)根治。
------------------
||手動(dòng)查殺方法||
------------------
1.打開(kāi)"任務(wù)管理器"�����,找到tel.xls.exe和SocksA.exe進(jìn)程����,把它們結(jié)束掉。到 C:\WINDOWS\system32里找到SocksA.exe把它刪除��。
2.執(zhí)行"開(kāi)始"-"運(yùn)行"-輸入"regedit"打開(kāi)注冊(cè)表
3.找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\A
dvanced\Folder\Hidden\SHOWALL中的CheckedValue��,檢查它的類型是否為REG_DWORD
如果不是則刪掉CheckedValue����,然后單擊右鍵"新建" - "Dword值",并命名為
CheckedValue���,然后修改它的鍵值為1�����。
4.打開(kāi)"我的電腦" - "工具" - "文件夾選項(xiàng)" - "查看"�����,
選擇"顯示所有文件和文件夾"����,
并把"隱藏受保護(hù)的系統(tǒng)文件"復(fù)選框的√去除�����。
5.關(guān)閉任務(wù)管理器里的explorer.exe�,選“文件”新建任務(wù)cmd,然后輸入
del C:\autorun.inf/f/s/q/a和del C:\tel.xls.exe/f/s/q/a�,
然后D盤,相同操作�����,有幾個(gè)盤殺幾個(gè)盤���。然后用SREng把啟動(dòng)項(xiàng)目里的
SocksA.exe刪掉���,msconfig也行吧
6.重新啟動(dòng)計(jì)算機(jī)���。
