|
| socksa.exe病毒删除,socksa.exe查杀手记 |
tel.xls.exe[Win32.Troj.*]查杀手记
打开任务管理器,发现每次在双击试图打开硬盘的时候,都会启动一个名为kill.exe的程序。并且在Window/System32里面出现了一个名为SocksA.exe的文件,并且每次删除之后还会出现,无法删除
------------------------------------------
Win32.Troj.*(尚未有防病毒软件的定义)
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。
测试环境:win xp + vmware + rising antivirus
1.生成文件
%systemroot%\SocksA.exe
非系统盘下 tel.xls.exe和autorun.inf
autorun.ini内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注册表
(1)添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ASocksrv" = "SocksA.exe"
更改文件夹选项中显示隐藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。
查杀方法
1.开机进入安全模式
2.打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。
3.执行"开始"-"运行"-输入"regedit"打开注册表
4.找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1。
5.打开"我的电脑" - "工具" - "文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。
6.在各磁盘上用右键选择"打开"(否则又将运行病毒),删除各个非系统盘根目录下的autorun.inf和sxs.exe文件。
7.重新启动计算机。完成!
---------------------------------------------------------------------------------------------------------------------
Win32.Troj.*(QQ Robber)系列病毒查杀通用方法
感染病毒后,进入安全模式,通过注册表发现不正常的启动项目(通常在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下),找到后删除项,以及该项指向的文件(通常在%systemroot%下),同时删除各个磁盘下的非正常文件(通常为隐藏扩展名的,伪装成其他图标),并修正注册表中用于表示显示隐藏文件的值。
|
|
