病毒的名字是tel.xls.exe病毒 %systemroot%\SocksA.exe 非系统盘下 tel.xls.exe和autorun.inf autorun.ini内容:
(1)添加启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ASocksrv" = "SocksA.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运 1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们 结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用 killbox选择重启删除,或进入安全模式删除。 2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为 noautorun.reg,导入注册表即可。 Windows Registry Editor Version 5.00 3.恢复显示所有的文件项:打开regedit,找到 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ 4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。 autorun风暴主程序名称为X:\Recycler\Recycler\autorun.exe(相应目录下还有一desktop.ini使得双击 后指向回收站……)同时还有同名的vbs/bat等文件。tel.xls.exe主程序即为此,中毒症状为进程中出现名 为kill的excel图标进程也是通过根目录的autorun.inf进行启动两个病毒均可被卡巴截杀中毒的都可以通过 安全模式的全盘扫描来根治。 ------------------
|
|