病毒的名字是tel.xls.exe病毒
病毒類型:木 馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:盜取QQ賬號密碼的木馬病毒,特點是可以通過可移動磁盤傳播。
該病毒的主要危害是盜取QQ帳戶和密碼,盜取方式為鍵盤記錄,
包括軟件盤,將盜取的號碼和密碼通過郵件發送到指定郵箱。
1.生成文件
%systemroot%\SocksA.exe
非系統盤下 tel.xls.exe和autorun.inf
autorun.ini內容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注冊表
(1)添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ASocksrv" = "SocksA.exe"
更改文件夾選項中顯示隱藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的類型為REG_SZ(原本為REG_DWORD)感染病毒后,系統將不再顯示隱藏文件和擴展名,同時tel.xls.exe也偽裝成為EXCEL的圖標,誘導用戶點擊導致深度感染。當用戶雙擊打開磁盤時,autorun.ini使tel.xls.exe自動運
行。
查殺方法:
1.刪除駐留的病毒程序:打開"任務管理器",找到tel.xls.exe和SocksA.exe進程,把它們
結束掉。到C:\WINDOWS\system32里找到SocksA.exe把它刪除。如果無法刪除,使用
killbox選擇重啟刪除,或進入安全模式刪除。
2.禁用移動設備的自動運行功能(目的在于避免重新被U盤感染):把下面的代碼保存為
noautorun.reg,導入注冊表即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
3.恢復顯示所有的文件項:打開regedit,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,檢查它的類型是否為REG_DWORD,如果不是則刪掉 CheckedValue,然后單擊右鍵"新建" - "Dword值",并命名為CheckedValue,然后修改它的鍵值為1。
4.刪除病毒文件:打開"文件夾選項" - "查看",選擇"顯示所有文件和文件夾",并把"隱藏受保護的系統文件"復選框的√去除。在各磁盤上用右鍵選擇"打開",刪除各個非系統盤根目錄下的autorun.inf和tel.xls.exe文件。
關于autorun.inf tel.xls.exe兩個病毒的查殺
autorun風暴主程序名稱為X:\Recycler\Recycler\autorun.exe(相應目錄下還有一desktop.ini使得雙擊
后指向回收站……)同時還有同名的vbs/bat等文件。tel.xls.exe主程序即為此,中毒癥狀為進程中出現名
為kill的excel圖標進程也是通過根目錄的autorun.inf進行啟動兩個病毒均可被卡巴截殺中毒的都可以通過
安全模式的全盤掃描來根治。
------------------
||手動查殺方法||
------------------
1.打開"任務管理器",找到tel.xls.exe和SocksA.exe進程,把它們結束掉。到 C:\WINDOWS\system32里找到SocksA.exe把它刪除。
2.執行"開始"-"運行"-輸入"regedit"打開注冊表
3.找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\A
dvanced\Folder\Hidden\SHOWALL中的CheckedValue,檢查它的類型是否為REG_DWORD
如果不是則刪掉CheckedValue,然后單擊右鍵"新建" - "Dword值",并命名為
CheckedValue,然后修改它的鍵值為1。
4.打開"我的電腦" - "工具" - "文件夾選項" - "查看",
選擇"顯示所有文件和文件夾",
并把"隱藏受保護的系統文件"復選框的√去除。
5.關閉任務管理器里的explorer.exe,選“文件”新建任務cmd,然后輸入
del C:\autorun.inf/f/s/q/a和del C:\tel.xls.exe/f/s/q/a,
然后D盤,相同操作,有幾個盤殺幾個盤。然后用SREng把啟動項目里的
SocksA.exe刪掉,msconfig也行吧
6.重新啟動計算機。
