[病毒查杀] tel.xls.exe 病毒的清除 documents, 密码, 病毒, 可移动磁盘, settings

病毒类型：木马  
影响系统：win 9x/me,win 2000/nt,win xp,win 2003  
病毒行为：盗取qq帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取qq帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件发送到指定邮箱。

1.生成文件  
该病毒是一个具有excel图标的exe可执行程序，运行后复制自身到系统目录：
%windows%\svchost.exe
并创建多个副本：
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
%windows%\session.exe
%windows%\system32%\filekan.exe
%windows%\system32%\socksa.exe
c:\windows\ufdata2000.log

向每个分区根目录复制：
tel.xls.exe
autorun.inf
并创建autorun.inf的副本：
%windows%\backinf.tab

autorun.inf内容：
code:[autorun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\auto\command=tel.xls.exe
shell=auto

2.注册表  
(1)添加启动项  
hkey_local_machine\software\microsoft\windows\currentversion\run  
"asocksrv" = "socksa.exe"  
(2)更改文件夹选项中显示隐藏文件的值hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue 的类型为reg_sz(原本为reg_dword)，值为0。
感染病毒后，系统将不再显示隐藏文件和扩展名，同时tel.xls.exe也伪装成为excel的图标，诱导用户点击导致深度感染。当用户双击打开磁盘时，autorun.ini使tel.xls.exe自动运行。

每隔10秒钟检查复制病毒副本，重写注册表启动项和“显示所有文件和文件夹”设置信息：
从%windows%\session.exe复制还原各分区根目录的tel.xls.exe，从%windows%\backinf.tab复制还原各分区根目录的autorun.inf。

查杀方法：
一、专杀工具：
目前，瑞星、卡巴斯基等已经可以查杀该病毒，也可以这两个专杀工具清除：
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill.rar
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill2.rar

二、手动清除：
1.删除驻留的病毒程序：打开"任务管理器"，找到tel.xls.exe和socksa.exe进程，把它们结束掉。
删除以下各文件：
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
c:\windows\system32\filekan.exe
c:\windows\system32\socksa.exe
c:\windows\ufdata2000.log

2.删除注册表项：
hklm\software\microsoft\windows\currentversion\run
[asocksrv]socksa.exe
hkcu\software\microsoft\windows\currentversion\run
[bsserver]filekan.exe

3.禁用移动设备的自动运行功能（目的在于避免重新被u盘感染）：把下面的代码保存为noautorun.reg，导入注册表即可。  
  

1. windows registry editor version 5.00  
   
2. [hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer]
   
3. "nodrivetypeautorun"=dword:000000ff  

复制代码

（将以上文字复制到记事本，另存为noautorun.reg，双击运行即可。此方法比较管用，永决后患）

3.恢复显示所有的文件项：打开regedit，找到  
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall中的checkedvalue，检查它的类型是否为reg_dword，如果不是则删掉 checkedvalue，然后单击右键"新建"- "dword值"，并命名为checkedvalue，然后修改它的键值为1。（安全模式下进行，否则删掉后还会立即生成）。

4.删除病毒文件：打开"文件夹选项" - "查看"，选择"显示所有文件和文件夹"，并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开"，删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。

5、运行msconfig，把启动项中的“socksa.exe”删除。