RSS

木馬 tel.xls.exe

02 一月

以下是我最近中的毒,NOD32掃不到,所以只好手動清除。

以下內容是我整理網路上所有解讀方式

 

資料來源: 忘了!  哈哈~

 

 

病毒類型:木馬

影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:盜取QQ帳號密碼

 

第一步:關閉病毒進程

1.   Ctrl + Alt + Del 工作管理員,找到類似 [SVOHOST.exe](不是  SVCHOST)的程序,右鍵—>結束程序樹狀目錄

2.   並結束應程式 [Kill]

 

第二步:顯示出被隱藏的系統文件

1.   執行regedit

2.      HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1

 

3.   關閉病毒的自動執行

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

刪除類似C:\WINDOWS\system32\SVOHOST.exe 的項目

 

4.   刪除以下登錄檔

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[ASocksrv]SocksA.exe

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[BSserver]FileKan.exe

第三部:刪除病毒

1.   C:\WINDOWS\ C:\WINDOWS\system32\ 目錄下刪除

SVOHOST.exe[注意系統圖標怪異的那個類似excel的圖標的是病毒]

session.exesacaka.exe、以及所有excel類似圖標的文件

 

2.   看到每個磁碟槽跟目錄下有 autorun.inf tel.xls.exe 兩個文件,將其刪除。

 

3.   另外如果有以下檔案也刪除

C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp

C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp

C:\WINDOWS\system32\algsrv.exe

C:\WINDOWS\system32\FileKan.exe

C:\WINDOWS\system32\SocksA.exe

C:\windows\ufdata2000.log

 

第四部:恢復開啟磁碟裝置

解決問題:磁碟機案右鍵會出現 Auto = 無法雙擊開啟磁碟機

 

1.   利用記事本把以下內容複製進去

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

 

2.   另存新檔成副檔名為 tmp.reg 的檔案,並執行。

開啟工作管理員(Ctrl + Alt + Del),關閉處理程序 explorer.exe

然後在從 檔案 > 執行新工作 輸入 explorer.exe

第五步:開香檳慶祝

 
發表留言

Posted by 於 2007 年 01 月 02 日 in 電腦和網際網路

 

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

 
%d 位部落客按了讚: