关于Excel图标病毒tel.xls.exe手动完全解决方案
病毒名称：Trojan.Win32.VB.atg（Kaspersky） worm.p2p.generic
病毒别名：Worm.FileCopy.u.45056（毒霸）

　　　　　 Trojan.VB.vqy（瑞星）
病毒大小：45,056 字节
加壳方式：N/A
样本MD5：38f0d47e4bbf2c5f05c51f6c48a90629
样本SHA1：ac97088838bd44a351e678b53ad77893a89c9720
发现时间：2006.10
更新时间：2006.10
关联病毒：
传播方式：可通过可移动磁盘、共享驱动器等途径传播

技术分析
==========

病毒是一个具有Excel图标的EXE可执行程序，运行后复制自身到系统目录：
%Windows%\svchost.exe
并创建多个副本：
%Windows%\Session.exe
%System%\FileKan.exe
%System%\SocksA.exe

向每个分区根目录复制：
tel.xls.exe
AUTORUN.INF
并创建AUTORUN.INF的副本：
%Windows%\BACKINF.TAB

AUTORUN.INF内容：
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

破坏“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"

每隔10秒钟检查复制病毒副本，重写注册表启动项和“显示所有文件和文件夹”设置信息：
从%Windows%\Session.exe复制还原各分区根目录的tel.xls.exe，从%Windows%\BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。

清除步骤
==========

1. 结束病毒进程：
%Windows%\svchost.exe

2. 删除病毒文件：
%Windows%\Session.exe
%Windows%\svchost.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe

3. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：
tel.xls.exe
AUTORUN.INF

4. 删除病毒启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值："CheckedValue"="0"
新建DWORD值，名称：CheckedValue，数据：1

如果不会结束进程的操作，而且系统已经设置显示所有文件和文件夹，也可以尝试以下另外一种清除方法：
1. 删除病毒文件：
%Windows%\Session.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe

2. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：
tel.xls.exe
AUTORUN.INF

3. 重新启动计算机

4. 删除病毒文件：
%Windows%\svchost.exe

5. 删除病毒启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

6. 修改“显示所有文件和文件夹”设置，到注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值："CheckedValue"="0"
新建DWORD值，名称：CheckedValue，数据：1

如果你有备份的话，最好恢复一下，然后右击各个盘，不要双击，再把那个文件删了

一看就知道中毒了...最新的卡巴能杀..
不过还是先恢复一遍.再右键打开所有的隐藏文件,删吧...

是最新的病毒！你可以升级你的杀毒软件

现在的病毒是越来越牛了

做好安全工作再干活其实很重要的