求救！系统tel.xls.exe感染了木马，用卡巴杀完后所有的盘都打不开了

benben_2044

求救！系统tel.xls.exe感染了木马，用卡巴杀完后所有的盘都打不开了

我电脑感染木马了，昨天用卡巴杀完后，今天发现硬盘都打不开了，提示windows找不到tel.xls.exe,请问高手我该怎么办呀。

zhaonimm

用  SRENG扫描报告发上来！ 等高手帮你分析下！！

彩虹骑士

网上有转杀工具自己去下。

彩虹骑士

tel.xls.exe的查杀方法



病毒类型：木马
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为：盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危
害是盗取QQ帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件
发送到指定邮箱。

1.生成文件
%systemroot%\SocksA.exe
非系统盘下 tel.xls.exe和autorun.inf
autorun.ini内容：
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe

2.注册表
(1)添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ASocksrv" = "SocksA.exe"
更改文件夹选项中显示隐藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)

感染病毒后，系统将不再显示隐藏文件和扩展名，同时tel.xls.exe也伪装成为EXCEL的图标
，诱导用户点击导致深度感染。当用户双击打开磁盘时，autorun.ini使tel.xls.exe自动运
行。

查杀方法
1.删除驻留的病毒程序：打开"任务管理器"，找到tel.xls.exe和SocksA.exe进程，把它们
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除，使用
killbox选择重启删除，或进入安全模式删除。
2.禁用移动设备的自动运行功能（目的在于避免重新被U盘感染）：把下面的代码保存为
noautorun.reg，导入注册表即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

3.恢复显示所有的文件项：打开regedit，找到
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如
果不是则删掉 CheckedValue，然后单击右键"新建" - "Dword值"，并命名为CheckedValue
，然后修改它的键值为1。

4.删除病毒文件：打开"文件夹选项" - "查看"，选择"显示所有文件和文件夹"，并把"隐藏
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开"，删除各个非系统盘根
目录下的autorun.inf和tel.xls.exe文件。
“以上是从百度扫的，建议楼主看下”

︶ㄣ坦然︶ㄣ

跟着学习，谢谢~~

Anti

原帖由 benben_2044 于 2007-5-16 17:36 发表
求救！系统tel.xls.exe感染了木马，用卡巴杀完后所有的盘都打不开了

我电脑感染木马了，昨天用卡巴杀完后，今天发现硬盘都打不开了，提示windows找不到tel.xls.exe,请问高手我该怎么办呀。

既然卡巴能杀,那这个应该就是后遗症了.用360安全卫士修复即可解决.

jimmyleo

将各盘符下的autorun.inf删除即可
因为指向的病毒已不存在 所以报错

费饭饭

原帖由 jimmyleo 于 2007-5-19 13:04 发表
将各盘符下的autorun.inf删除即可
因为指向的病毒已不存在 所以报错

正解，用winrar打开硬盘，把他删了。

hong3405

跟着学习