tel.xls.exe变种fun.xls.exe病毒手工清除方法及专杀工…

<BR><FONT size=2>系统症状<BR>每次双击盘符出现一个新窗口<BR>windows任务管理器出现了一个Excel的程序<BR>鼠标右键点盘符出现"Auto"字样<BR><BR>无法显示隐藏文件<BR>无法取消或者钩选 隐藏已知文件类型的扩展名 <BR><BR>样本信息<BR>File size: 49152 bytes <BR>MD5: d88f7c6c15585404c30c92a11c429c36 <BR>SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e <BR>文件属性为隐藏<BR><BR>样本命名<BR>Kaspersky--Trojan.Win32.VB.atg<BR>瑞星--Trojan.VB.vtj<BR><BR>样本分析<BR>注册表中添加<BR>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<BR>[ASocksrv]SocksA.exe<BR><BR>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<BR>[BSserver]FileKan.exe<BR><BR>修改注册表<BR>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL<BR>[CheckedValue] 被清空..<BR><BR>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt<BR>[UncheckedValue] 被修改为 1<BR><BR>释放文件<BR>C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp<BR>C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp<BR>C:\WINDOWS\system32\algsrv.exe<BR>C:\WINDOWS\system32\FileKan.exe<BR>C:\WINDOWS\system32\SocksA.exe<BR>C:\windows\ufdata2000.log<BR><BR>每个盘符下释放<BR>AUTORUN.INF<BR>tel.xls.exe<BR><BR>AUTORUN.INF文件内容<BR>[AutoRun]<BR>open=tel.xls.exe<BR>shellexecute=tel.xls.exe<BR>shell\Auto\command=tel.xls.exe<BR>shell=Auto<BR>[VVflagRun]<BR>aabb=kdkfjdkf<BR><BR>解决方案<BR>1.Ctrl + Alt + Del 打开任务管理器 <BR>结束应用程序中的Excel<BR>2. 删除文件<BR>C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp<BR>C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp<BR>C:\WINDOWS\system32\algsrv.exe<BR>C:\WINDOWS\system32\FileKan.exe<BR>C:\WINDOWS\system32\SocksA.exe<BR>C:\windows\ufdata2000.log<BR><BR>3. 删除注册表<BR>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<BR>[ASocksrv]SocksA.exe<BR><BR>HKCU\Software\Microsoft\Windows\CurrentVersion\Run<BR>[BSserver]FileKan.exe<BR><BR>4.恢复显示所有的文件项<BR>开始=&gt;运行=&gt;regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1<BR><BR>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt<BR>[UncheckedValue] 双击 从 1 改回 0<BR><BR>5.右键=&gt;打开进入每个盘符 依次删除每个盘符里的文件<BR>AUTORUN.INF<BR>tel.xls.exe<BR><BR>或使用病毒专杀工具解决病毒<BR><BR>tel.xls专杀-Trojan.Win32.VB.atg<BR><BR><BR></FONT><STRONG><FONT size=3>fun.xls.exe专杀工具下载：http://www.usbcleaner.cn/index1.htm</FONT></STRONG> <BR>