牛人 |
|
等級:論壇騎士(三級) |
積分:6964分 |
注冊:2006-8-14 |
發(fā)表:2172(1202主題貼) |
登錄:3726 |
|
|
socksa.exe病毒刪除,socksa.exe查殺手記 |
tel.xls.exe[Win32.Troj.*]查殺手記
打開任務管理器,發(fā)現每次在雙擊試圖打開硬盤的時候,都會啟動一個名為kill.exe的程序。并且在Window/System32里面出現了一個名為SocksA.exe的文件,并且每次刪除之后還會出現,無法刪除
------------------------------------------
Win32.Troj.*(尚未有防病毒軟件的定義)
病毒類型:木馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:盜取QQ帳號密碼的木馬病毒,特點是可以通過可移動磁盤傳播。該病毒的主要危害是盜取QQ帳戶和密碼,盜取方式為鍵盤記錄,包括軟件盤,將盜取的號碼和密碼通過郵件發(fā)送到指定郵箱。
測試環(huán)境:win xp + vmware + rising antivirus
1.生成文件
%systemroot%\SocksA.exe
非系統盤下 tel.xls.exe和autorun.inf
autorun.ini內容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注冊表
(1)添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ASocksrv" = "SocksA.exe"
更改文件夾選項中顯示隱藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的類型為REG_SZ(原本為REG_DWORD)
感染病毒后,系統將不再顯示隱藏文件和擴展名,同時tel.xls.exe也偽裝成為EXCEL的圖標,誘導用戶點擊導致深度感染。當用戶雙擊打開磁盤時,autorun.ini使tel.xls.exe自動運行。
查殺方法
1.開機進入安全模式
2.打開"任務管理器",找到tel.xls.exe和SocksA.exe進程,把它們結束掉。到C:\WINDOWS\system32里找到SocksA.exe把它刪除。
3.執(zhí)行"開始"-"運行"-輸入"regedit"打開注冊表
4.找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,檢查它的類型是否為REG_DWORD,如果不是則刪掉CheckedValue,然后單擊右鍵"新建" - "Dword值",并命名為CheckedValue,然后修改它的鍵值為1。
5.打開"我的電腦" - "工具" - "文件夾選項" - "查看",選擇"顯示所有文件和文件夾",并把"隱藏受保護的系統文件"復選框的√去除。
6.在各磁盤上用右鍵選擇"打開"(否則又將運行病毒),刪除各個非系統盤根目錄下的autorun.inf和sxs.exe文件。
7.重新啟動計算機。完成!
---------------------------------------------------------------------------------------------------------------------
Win32.Troj.*(QQ Robber)系列病毒查殺通用方法
感染病毒后,進入安全模式,通過注冊表發(fā)現不正常的啟動項目(通常在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下),找到后刪除項,以及該項指向的文件(通常在%systemroot%下),同時刪除各個磁盤下的非正常文件(通常為隱藏擴展名的,偽裝成其他圖標),并修正注冊表中用于表示顯示隱藏文件的值。
|
|