注册 登录
编程论坛 Windows论坛

谁知道这是什么病毒?

lengxin 发布于 2006-11-05 14:08, 1247 次点击
谁知道这是什么病毒?名字为tel.xls.exe,和一个autorun文件,删除后马上又出现,在任务管理器的应用程序中显示kill正在运行,现在已经察看不了隐藏文件之类了,打开每个盘反应都有点慢,打开u盘只能击右键选这“打开”后才能打开!!!快被这个东西给整疯了,每个盘里面都有,貌似系统重装也不行,重装的话只能格c盘阿,因为我其它盘的资料很重要。那位知道,快来救命啊!!!
问题补充:好像不是rose病毒,我在注册表中杀了还是有。硬盘根本不敢格式化,有很多重要资料!!
这个病毒好像现在是越来越多的人在中了,用瑞星是杀不掉的!!
根本就不能将所有文件显示出来,修改隐藏受保护的系统文件”的选项后也不能看见
15 回复
#2
qijingbin2006-11-05 14:52

在文件夹—>工具栏—>工具—>文件夹选项,将 系统文件 隐藏文件 和 文件后缀名 设置为显示
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe
两个文件,将其删除。U盘同样,下面的系统里面有说U盘的,看完再说!
开始—>运行—>msconfig—>启动—>,删除类似sacksa.exe之类的不认识的项
或者打开注册表 运行—>regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\WINDOWS\system32\SVOHOST.exe 的项
C:/WINDOWS/ 跟 C:/WINDOWS/system32/ 目录下删除
SVOHOST.exe[注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒]
session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意
重启电脑后,基本可以了
#3
李彬2006-11-05 15:36
用卡巴直接可以搞定,原来我们这里也有遇到过,就用他搞定的!
#4
李彬2006-11-05 15:36
用卡巴直接可以搞定,原来我们这里也有遇到过,就用他搞定的!
#5
柒鹰旅2006-11-05 22:48
2楼的答案已经很完整了.
你也可以参考这帖子:
https://bbs.bc-cn.net/viewthread.php?tid=100954
#6
lengxin2006-11-10 12:59
我用的是2000系统,卡巴根本都不支持,我那样做了 .但是还是有啊,根本查不出来啊,????
#7
sub2006-11-10 20:05
找一个server版装上
#8
sub2006-11-10 20:06
你还可以把硬盘摘下来 挂在xp系统下杀毒
#9
柒鹰旅2006-11-11 00:31
卡巴有服务器版本的.


我那样做了 .但是还是有啊,根本查不出来啊,????


应该是你没有把木马/病毒的进程完全结束吧.
#10
杀毒反黑2006-11-12 00:48
你为什么不 先把安全做到家
一台没有毒的电脑你 要把注册表( 全大开 加锁 防御IE 拖掉病毒外壳)然后从起电脑就可以了
不管 你的IE杂个玩 病毒都无法自动运行 恶意网站也改不了你的注册表!
#11
月语蓝桥2006-12-03 15:35

关于Excel图标病毒tel.xls.exe手动完全解决方案
病毒名称:Trojan.Win32.VB.atg(Kaspersky) worm.p2p.generic
病毒别名:Worm.FileCopy.u.45056(毒霸)


      Trojan.VB.vqy(瑞星)
病毒大小:45,056 字节
加壳方式:N/A
样本MD5:38f0d47e4bbf2c5f05c51f6c48a90629
样本SHA1:ac97088838bd44a351e678b53ad77893a89c9720
发现时间:2006.10
更新时间:2006.10
关联病毒:
传播方式:可通过可移动磁盘、共享驱动器等途径传播


技术分析
==========

病毒是一个具有Excel图标的EXE可执行程序,运行后复制自身到系统目录:
%Windows%\svchost.exe
并创建多个副本:
%Windows%\Session.exe
%System%\FileKan.exe
%System%\SocksA.exe

向每个分区根目录复制:
tel.xls.exe
AUTORUN.INF
并创建AUTORUN.INF的副本:
%Windows%\BACKINF.TAB

AUTORUN.INF内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto

创建启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

破坏“显示所有文件和文件夹”设置:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"

每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
从%Windows%\Session.exe复制还原各分区根目录的tel.xls.exe,从%Windows%\BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。


清除步骤
==========

1. 结束病毒进程:
%Windows%\svchost.exe

2. 删除病毒文件:
%Windows%\Session.exe
%Windows%\svchost.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe

3. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF

4. 删除病毒启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1

如果不会结束进程的操作,而且系统已经设置显示所有文件和文件夹,也可以尝试以下另外一种清除方法:
1. 删除病毒文件:
%Windows%\Session.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe

2. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF

3. 重新启动计算机

4. 删除病毒文件:
%Windows%\svchost.exe

5. 删除病毒启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

6. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
#12
IT浪子2006-12-07 13:56
楼上的真详细
#13
yqfang3102006-12-08 05:14

如果你有备份的话,最好恢复一下,然后右击各个盘,不要双击,再把那个文件删了
#14
ytbxass2006-12-11 21:52

一看就知道中毒了...最新的卡巴能杀..
不过还是先恢复一遍.再右键打开所有的隐藏文件,删吧...
#15
xiongxueming2007-06-14 18:27

是最新的病毒!你可以升级你的杀毒软件
#16
ppm882007-06-14 19:32

现在的病毒是越来越牛了


做好安全工作再干活其实很重要的
1
©2025, BC-CN.NET
电脑版