病毒 tel.xls.exe 病毒处理

系统症状
每次双击盘符出现一个新窗口， 任务管理器出现了一个 的程序，鼠标右键点盘符出现 字样，无法显示隐藏文件，无法隐藏已知文件类型的扩展名等

样本信息

MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件属性为隐藏

样本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星 --Trojan.VB.vtj

样本分析
注册表中添加 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun[ASocksrv]SocksA.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRun[BSserver]FileKan.exe
修改注册表
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
[CheckedValue] 被清空
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt
[UncheckedValue] 被修改为
释放文件
C:Documents and SettingsAdministratorLocal SettingsTemp~DF8785.tmp
C:Documents and Settings Administrator Local SettingsTemp~DFD1D6.tmp
C:WINDOWSsystem32algsrv.exe
C:WINDOWSsystem32FileKan.exe
C:WINDOWSsystem32SocksA.exe
C:windowsufdata2000.log
每个盘符下释放： AUTORUN.INF

文件内容：





[VVflagRun]


五、解决方案
Ctrl + Alt + Del 打开任务管理器，结束应用程序中的删除文件 、删除注册表 、恢复显示所有的文件项
打开注册表，找到 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer
AdvancedFolderHiddenSHOWALL ，单击右键 新建 ，并命名为 然后修改它的键值为
双击 改回

右键 打开进入每个盘符 依次删除每个盘符里的文件



另注： 禁用移动设备的自动运行功能（目的在于避免重新被 盘感染）
把下面的代码保存为 ，导入注册表即可。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
 

的查杀方法

按照本文操作保证药到病除

第一步： 下载Firefox浏览器并运行。这一步非常重要，病毒利用IE漏洞传播是许多网友重复感染的原因。官方下载地址：下载

病毒类型：木马

病毒行为：盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危
害是盗取QQ帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件
发送到指定邮箱。

生成文件

非系统盘下 tel.xls.exe和autorun.inf
autorun.ini内容：


2.注册表
(1)添加启动项

"ASocksrv" = "SocksA.exe"
更改文件夹选项中显示隐藏文件的值
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedF
olderHiddenSHOWALLCheckedValue 的类型为REG_SZ(原本为REG_DWORD)

感染病毒后，系统将不再显示隐藏文件和扩展名，同时tel.xls.exe也伪装成为EXCEL的图标
，诱导用户点击导致深度感染。当用户双击打开磁盘时，autorun.ini使tel.xls.exe自动运


查杀 方法
1.删除驻留的 病毒程序：打开"任务管理器"，找到tel.xls.exe和SocksA.exe进程，把它们
结束掉。到C:WINDOWSsystem32里找到SocksA.exe把它删除。如果无法删除，使用
killbox选择重启删除，或进入安全模式删除。
2.禁用移动设备的自动运行功能（目的在于避免重新被U盘感染）：把下面的代码保存为
oautorun.reg，导入注册表即可。

3.恢复显示所有的文件项：打开regedit，找到

AdvancedFolderHiddenSHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如
果不是则删掉 CheckedValue，然后单击右键"新建" - "Dword值"，并命名为CheckedValue


4.删除 病毒文件：打开"文件夹选项" - "查看"，选择"显示所有文件和文件夹"，并把"隐藏
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开"，删除各个非系统盘根
目录下的autorun.inf和tel.xls.exe文件。