系統癥狀
每次雙擊盤符出現一個新窗口
windows任務管理器出現了一個Excel的程序
鼠標右鍵點盤符出現"Auto"字樣
無法顯示隱藏文件
無法 取消或者鉤選 隱藏已知文件類型的擴展名

樣本信息
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件屬性為隱藏

樣本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星--Trojan.VB.vtj

樣本分析

注冊表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

修改注冊表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 被修改為 1

釋放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log
每個盤符下釋放
AUTORUN.INF
tel.xls.exe

AUTORUN.INF文件內容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf

解決方案
1.Ctrl + Alt + Del 打開任務管理器
結束應用程序中的Excel

2. 刪除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log

3. 刪除注冊表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

4.恢復顯示所有的文件項
開始=>運行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL刪除 CheckedValue 鍵值 然后單擊右鍵"新建" - "Dword值"，并命名為CheckedValue,然后修改它的鍵值為1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue]? ?雙擊 從 1 改回 0

5.右鍵=>打開進入每個盤符 依次刪除每個盤符里的文件
AUTORUN.INF
tel.xls.exe

轉載于:https://blog.51cto.com/sally/14544

總結

以上是生活随笔為你收集整理的u盘病毒之tel.xls.exe的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。